Ve verzi protokolu Server Zpráva Blok (SMB) 3.0, V systémech Windows Server 2012 a Windows 8 bylo možné šifrovat data přenášená sítí mezi souborovým serverem SMB a klientem. Šifrování přenosu SMB umožňuje chránit data přenášená nedůvěryhodnou nebo otevřenou sítí před zachycením a úpravami. Šifrování dat je transparentní z pohledu klienta a nevyžaduje značné organizační a zdrojové náklady, jako je tomu u implementace infrastruktury VPN, IPSec a PKI. V nejnovější verzi protokolu SMB 3.1.1 (představen ve Windows 10 a Windows Server 2016) je použit typ šifrování AES 128 GCM a výkon šifrovacího algoritmu je výrazně zvýšen. Kromě toho se provádí automatické podepisování a kontrola integrity dat..
Podívejme se na funkce implementace šifrování SMB v systému Windows Server 2012. Nejprve musíte pochopit, že pokud klient a server podporují různé verze protokolu SMB, pak při navazování spojení mezi serverem a klientem je pro interakci vybrána nejvyšší podporovaná verze SMB. klient i server. To znamená, že všichni klienti s OS pod Windows 8 / Server 2012 nebudou moci komunikovat se síťovým adresářem, pro který je povoleno šifrování SMB..
Na souborovém serveru můžete získat verzi protokolu SMB používaného jedním nebo jiným klientem (verze protokolu použitého v rámci připojení je uvedena ve sloupci Dialekt):
Získejte spojení
Ve výchozím nastavení je šifrování pro přenos přenosu SMB na souborovém serveru Windows Server 2012 zakázáno. Šifrování můžete povolit jednotlivě pro každou kouli SMB i pro celý server.
Pokud potřebujete povolit šifrování v konkrétním adresáři, otevřete konzolu na serveru Správce serveru a jděte do sekce File and Storage Services -> Shares. Vyberte požadovanou veřejnou složku a otevřete její vlastnosti. Poté přejděte na kartu Nastavení, kde povolit možnost Šifrovat přístup k datům. Uložit změny.
Můžete také povolit šifrování SMB z konzoly PowerShell. Povolit šifrování pro jednu složku:
Set-SmbShare - instalace jména -EncryptData $ true
Nebo pro všechna připojení SMB k serveru (ať už se jedná o sdílené složky nebo prostředky pro správu):
Set-SmbServerConfiguration -EncryptData $ true
Po povolení šifrování SMB pro sdílenou síťovou složku se nebudou moci k tomuto adresáři připojit všichni starší klienti (starší než Windows 8), protože nepodporují verzi protokolu SMB 3.0. Chcete-li povolit přístup k takovým klientům Windows (zpravidla je tento přístup organizován dočasně, jinak nemá smysl povolit šifrování), můžete povolit připojení k serveru bez šifrování:
Set-SmbServerConfiguration -RejectUnencryptedAccess $ false
Set-SmbServerConfiguration -EnableSMB1Protocol $ false