Národní úřad pro kybernetickou a informační bezpečnost vydal varování před kybernetickými hrozbami cílenými zejména na české...
Nastavení šifrovaného spojení u SMB
SMB (Server Message Block), známý také jako CIFS (Common Internet File System), je síťový komunikační protokol pro komunikaci mezi uzly v počítačové síti, který se primárně používá pro přenos dat po síti. Na Windows to známe jako síťové jednotky, které si můžeme připojit a pracovat s nimi obdobně jako s lokálními jednotkami.
Aktuální verze protokolu představená spolu s Windows 10 a Windows Server 2016 je verze 3.1.1. Kompletní šifrování přenosu pomocí AES 128 CCM bylo zavedeno ve verzi 3.0, která přišla s Windows 8 a Windows Server 2012. V nejnovější verzi 3.1.1 došlo mimo jiné k implementaci šifrování pomocí AES 128 GCM, které na většině moderních procesorů přináší významné zvýšení výkonnosti.
Při navazování spojení mezi klientem a server se použije vždy nejnovější verze dostupná na obou stranách. Pokud tedy chcete využívat předností nejnovější verze 3.1.1, musíte mít Windows 10 a Windows Server 2016.
Zjištění verze SMB protokolu
Zjistit verzi spojení můžete z klienta pomocí PowerShellu spuštěného s administrátorskými právy pomocí
1 | Get-SmbConnection |
Verze SMB protokolu u jednotlivých spojení je uvedená ve sloupci Dialect.
1 2 3 4 | ServerName ShareName UserName Credential Dialect NumOpens ---------- --------- -------- ---------- ------- -------- server data LUKASB\lukas MicrosoftAccount\jmeno.prijme@domena.com 3.1.1 1 server share LUKASB\lukas MicrosoftAccount\jmeno.prijme@domena.com 3.1.1 1 |
Šifrování přenosu dat
Přenos dat ve výchozím stavu není šifrován. Pokud chcete přenos šifrovat, což je při přenosu mimo lokální síť z mého pohledu nezbytné, je nutné šifrování na straně serveru zapnout.
První možností je samozřejmě PowerShell. Pro zapnutí šifrování všech sdílení na daném serveru použijte
1 | Set-SmbServerConfiguration –EncryptData $true |
Pokud chcete aktivovat šifrování jen na některém sdílení, pak použijte
1 | Set-SmbShare –Name <sharename> -EncryptData $true |
Druhou možností pro aktivaci šifrování je grafické rozhraní. Otevřete si Server Manager, zvolte File and Storage Services – Shares a u jednotlivých sdílení, kde chcete šifrování aktivovat, si klikněte na sdílení pravým tlačítkem a zvolte Properties a na záložce Settings je volba Encrypt Data Access.
Zakázání protokolu SMB verze 1
Pokud z nějakého důvodu nutně nepotřebujete používat SMB ve verzi 1, je velmi dobrý nápad tuto verzi na serveru zcela zakázat. To můžete pomocí
1 | Set-SmbServerConfiguration –EnableSMB1Protocol $false |