Vo verzii protokolu server správa Blok (SMB) 3.0, Po zavedení systému Windows Server 2012 / Windows 8 bolo možné šifrovať údaje prenášané sieťou medzi súborovým serverom SMB a klientom. Šifrovanie prenosu SMB vám umožňuje chrániť údaje prenášané cez nedôveryhodnú alebo otvorenú sieť pred zachytením a modifikáciou. Šifrovanie údajov je z pohľadu klienta transparentné a nevyžaduje značné náklady na organizáciu a zdroje, napríklad pri implementácii infraštruktúry VPN, IPSec a PKI. V najnovšej verzii protokolu SMB 3.1.1 (zavedené v systéme Windows 10 a Windows Server 2016) sa používa typ šifrovania AES 128 GCM a výrazne sa zvyšuje výkon šifrovacieho algoritmu. Okrem toho sa vykonáva automatické podpisovanie a kontrola integrity údajov..
Preskúmame funkcie implementácie šifrovania SMB v systéme Windows Server 2012. Najprv musíte pochopiť, že ak klient a server podporujú rôzne verzie protokolu SMB, potom pri nadviazaní spojenia medzi serverom a klientom sa pre interakciu vyberie najvyššia podporovaná verzia protokolu SMB. klient aj server. To znamená, že všetci klienti s OS pod Windows 8 / Server 2012 nebudú schopní interagovať so sieťovým adresárom, pre ktorý je povolené šifrovanie SMB..
Na súborovom serveri môžete získať verziu protokolu SMB používanú jedným alebo iným klientom (verzia protokolu použitého v rámci pripojenia je uvedená v stĺpci Dialekt):
Get-SmbConnection
V predvolenom nastavení je šifrovanie prenosu prenosu SMB na súborovom serveri Windows Server 2012 zakázané. Šifrovanie môžete povoliť jednotlivo pre každú guľu SMB a pre celý server.
Ak potrebujete povoliť šifrovanie v konkrétnom adresári, otvorte konzolu na serveri Správca servera a choďte do sekcie File and Storage Services -> Shares. Vyberte požadovaný verejný priečinok a otvorte jeho vlastnosti. Potom prejdite na kartu nastavenie, kde povoliť možnosť Šifrovanie prístupu k údajom. Uložte zmeny.
Šifrovanie SMB môžete povoliť aj z konzoly PowerShell. Povoliť šifrovanie pre jeden priečinok:
Set-SmbShare - Inštalácia mena --EncryptData $ true
Alebo pre všetky pripojenia SMB k serveru (či už ide o zdieľané priečinky alebo administratívne prostriedky):
Set-SmbServerConfiguration -EncryptData $ true
Po povolení šifrovania SMB pre zdieľaný sieťový priečinok sa k tomuto adresáru nebudú môcť pripojiť všetci starší klienti (starší ako Windows 8), pretože nepodporujú verziu protokolu SMB 3.0. Ak chcete povoliť prístup k takýmto klientom Windows (spravidla je taký prístup organizovaný dočasne, inak nemá zmysel povoliť šifrovanie), môžete povoliť pripojenie k serveru bez šifrovania:
Set-SmbServerConfiguration -RejectUnencryptedAccess $ false
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
