V različici protokola Strežnik Sporočilo Blokiraj (SMB) 3.0, uveden v Windows Server 2012 / Windows 8, je bilo mogoče šifrirati podatke, ki se prenašajo po omrežju med datotečnim strežnikom SMB in odjemalcem. Šifriranje SMB prometa vam omogoča, da zaščitite podatke, ki se prenašajo preko nezaupnega ali odprtega omrežja, pred prestrezanjem in spreminjanjem. Šifriranje podatkov je pregledno s stališča stranke in ne zahteva znatnih organizacijskih stroškov in virov, kot pri izvajanju infrastrukture VPN, IPSec in PKI. V zadnji različici protokola SMB 3.1.1 (uveden v sistemih Windows 10 in Windows Server 2016) se uporablja vrsta šifriranja AES 128 GCM, bistveno pa se poveča učinkovitost algoritma šifriranja. Poleg tega se izvede samodejno podpisovanje in preverjanje integritete podatkov..
Preučimo funkcije implementacije šifriranja SMB v Windows Server 2012. Najprej morate razumeti, da če odjemalec in strežnik podpirata različice protokola SMB, potem je med vzpostavitvijo povezave med strežnikom in odjemalcem izbrana najvišja različica podprtega SMB za interakcijo tako odjemalca kot strežnika. To pomeni, da vsi odjemalci z operacijskim sistemom pod sistemom Windows 8 / Server 2012 ne bodo mogli komunicirati z omrežnim imenikom, za katerega je omogočeno šifriranje SMB..
Na datotečnem strežniku lahko dobite različico protokola SMB, ki ga uporablja eden ali drug odjemalec (različica uporabljenega protokola v povezavi je navedena v stolpcu Dialect):
Get-smb povezava
Šifriranje za prenos SMB prometa je privzeto onemogočeno na datotečnem strežniku Windows Server 2012. Šifriranje lahko omogočite tako posamično za vsako SMB kroglico kot za celoten strežnik.
Če morate omogočiti šifriranje v določenem imeniku, odprite konzolo na strežniku Upravitelj strežnikov in pojdite na oddelek Storitve datotek in shranjevanja -> Delnice. Izberite želeno javno mapo in odprite njene lastnosti. Nato pojdite na zavihek Nastavitve, kjer omogočite možnost Šifrirajte dostop do podatkov. Spremembe shranite.
Šifriranje SMB lahko omogočite tudi s konzole PowerShell. Omogoči šifriranje za eno mapo:
Set-SmbShare-Name Namestitev -EncryptData $ true
Ali za vse povezave SMB s strežnikom (ne glede na to, ali gre za mape v skupni rabi ali administrativne vire):
Set-SmbServerConfiguration -EncryptData $ true
Po omogočanju šifriranja SMB za mapo v skupni rabi se vsi zastavljeni odjemalci (pred Windows 8) ne bodo mogli povezati s tem imenikom, kot ne podpirajo različice protokola SMB 3.0. Če želite omogočiti dostop do takšnih odjemalcev sistema Windows (takšen dostop je praviloma organiziran začasno, sicer ni smiselno omogočiti šifriranja), lahko dovolite povezavo s strežnikom brez šifriranja:
Set-SmbServerConfiguration -RejectUnencryptedAccess $ false
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
