U verziji protokola server poruka Blokiraj (SMB) 3.0, uveden u Windows Server 2012 / Windows 8, postalo je moguće šifriranje podataka koji se prenose preko mreže između poslužitelja datoteka SMB i klijenta. Šifriranje SMB prometa omogućuje vam da zaštitite podatke koji se prenose preko nepouzdane ili otvorene mreže od presretanja i izmjena. Šifriranje podataka je transparentno sa stajališta klijenta i ne zahtijeva značajne troškove organizacije i resursa, kao što je slučaj s implementacijom VPN, IPSec i PKI infrastrukture. U posljednjoj verziji protokola SMB 3.1.1 (uveden u sustavu Windows 10 i Windows Server 2016) koristi se šifriranje AES 128 GCM, a izvedba algoritma šifriranja značajno se povećava. Pored toga vrši se automatsko potpisivanje i provjera integriteta podataka..
Ispitati ćemo značajke implementacije SMB enkripcije u Windows Server 2012. Prije svega, trebate razumjeti da ako klijent i poslužitelj podržavaju različite verzije SMB protokola, onda kad uspostavljate vezu između poslužitelja i klijenta, za interakciju je odabrana najviša podržana verzija SMB-a. i klijenta i poslužitelja. To znači da svi klijenti s OS-om ispod sustava Windows 8 / Server 2012 neće moći komunicirati s mrežnim imenikom za koji je omogućeno SMB šifriranje..
Na datotečnom poslužitelju možete dobiti verziju SMB protokola koji koristi jedan ili drugi klijent (inačica korištenog protokola odabrana unutar veze navedena je u stupcu Dialect):
Get-SmbConnection
Šifriranje za prijenos SMB prometa prema zadanim postavkama onemogućeno je na datotečnom poslužitelju Windows Server 2012. Možete omogućiti šifriranje pojedinačno za svaku SMB kuglu i za cijeli poslužitelj.
Ako trebate omogućiti šifriranje u određenom direktoriju, otvorite konzolu na poslužitelju Upravitelj poslužitelja i idite na odjeljak Usluge datoteka i pohrane -> Dijeli. Odaberite željenu javnu mapu i otvorite njena svojstva. Zatim idite na karticu postavke, gdje je omogućena opcija Šifrirajte pristup podacima. Spremite promjene.
Također možete omogućiti SMB šifriranje iz PowerShell konzole. Omogući šifriranje za jednu mapu:
Set-SmbShare -Name Instalacija -EncryptData $ true
Ili za sve SMB veze s poslužiteljem (bilo da se dijele mape ili administrativni resursi):
Set-SmbServerConfiguration -EncryptData $ true
Nakon omogućavanja SMB enkripcije za zajedničku mrežnu mapu, svi naslijeđeni klijenti (prije Windowsa 8) neće se moći povezati s ovom direktorijom, kao ne podržavaju verziju protokola SMB 3.0. Da biste omogućili pristup takvim Windows klijentima (u pravilu je takav pristup privremeno organiziran, inače nema smisla omogućiti šifriranje), možete omogućiti povezivanje s poslužiteljem bez šifriranja:
Set-SmbServerConfiguration -RejectUnencryptedAccess $ false
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
