Nastavení šifrovaného spojení u SMB

SMB (Server Message Block), známý také jako CIFS (Common Internet File System), je síťový komunikační protokol pro komunikaci mezi uzly v počítačové síti, který se primárně používá pro přenos dat po síti. Na Windows to známe jako síťové jednotky, které si můžeme připojit a pracovat s nimi obdobně jako s lokálními jednotkami.

Aktuální verze protokolu představená spolu s Windows 10 a Windows Server 2016 je verze 3.1.1. Kompletní šifrování přenosu pomocí AES 128 CCM bylo zavedeno ve verzi 3.0, která přišla s Windows 8 a Windows Server 2012. V nejnovější verzi 3.1.1 došlo mimo jiné k implementaci šifrování pomocí AES 128 GCM, které na většině moderních procesorů přináší významné zvýšení výkonnosti.

Při navazování spojení mezi klientem a server se použije vždy nejnovější verze dostupná na obou stranách. Pokud tedy chcete využívat předností nejnovější verze 3.1.1, musíte mít Windows 10 a Windows Server 2016.

Zjištění verze SMB protokolu

Zjistit verzi spojení můžete z klienta pomocí PowerShellu spuštěného s administrátorskými právy pomocí

Verze SMB protokolu u jednotlivých spojení je uvedená ve sloupci Dialect.

Šifrování přenosu dat

Přenos dat ve výchozím stavu není šifrován. Pokud chcete přenos šifrovat, což je při přenosu mimo lokální síť z mého pohledu nezbytné, je nutné šifrování na straně serveru zapnout.

První možností je samozřejmě PowerShell. Pro zapnutí šifrování všech sdílení na daném serveru použijte

Pokud chcete aktivovat šifrování jen na některém sdílení, pak použijte

Druhou možností pro aktivaci šifrování je grafické rozhraní. Otevřete si Server Manager, zvolte File and Storage Services – Shares a u jednotlivých sdílení, kde chcete šifrování aktivovat, si klikněte na sdílení pravým tlačítkem a zvolte Properties a na záložce Settings je volba Encrypt Data Access.

Zakázání protokolu SMB verze 1

Pokud z nějakého důvodu nutně nepotřebujete používat SMB ve verzi 1, je velmi dobrý nápad tuto verzi na serveru zcela zakázat. To můžete pomocí