Trong phiên bản của Khối thông báo máy chủ (SMB) 3.0 giao thức được giới thiệu trong Windows Server 2012 / Windows 8, có thể mã hóa dữ liệu được truyền qua mạng giữa máy chủ tệp SMB và máy khách. Dữ liệu được mã hóa minh bạch theo quan điểm của khách hàng và không yêu cầu bất kỳ tổ chức hoặc tài nguyên quan trọng nào, không giống như việc triển khai cơ sở hạ tầng VPN, IPSec hoặc PKI. Trong phiên bản mới nhất của SMB 3.1.1 (được sử dụng trong Windows 10 và Windows Server 2016), loại mã hóa AES 128 GCM được sử dụng và hiệu suất của thuật toán được tăng lên đáng kể. Ngoài ra, việc ký và xác minh dữ liệu tự động được thực hiện.
Chúng ta hãy xem xét các khía cạnh của việc triển khai mã hóa SMB trong Windows Server 2012. Trước hết, bạn phải hiểu rằng nếu máy khách và máy chủ hỗ trợ các phiên bản SMB khác nhau, khi kết nối được thiết lập giữa máy khách và máy chủ thì phiên bản SMB cao nhất được hỗ trợ cả bởi máy khách và máy chủ được chọn. Điều đó có nghĩa là tất cả các máy khách đang chạy các phiên bản Windows cũ hơn Windows 8 / Server 2012 sẽ không thể tương tác với thư mục mạng đã bật mã hóa SMB.
Trên máy chủ tệp, bạn có thể tải phiên bản của giao thức SMB được sử dụng bởi máy khách (phiên bản của giao thức được sử dụng được hiển thị trong cột Phương ngữ):
Get-SmbConnection
Theo mặc định, mã hóa lưu lượng SMB bị tắt trên máy chủ tệp Windows Server 2012. Bạn có thể bật mã hóa riêng cho từng chia sẻ SMB hoặc tất cả các kết nối SMB.
Nếu bạn phải bật mã hóa cho thư mục cụ thể, hãy mở Trình quản lý máy chủ bảng điều khiển trên máy chủ của bạn và đi tới Dịch vụ tệp và lưu trữ -> Chia sẻ . Chọn thư mục chia sẻ mong muốn và mở thuộc tính của nó. Sau đó đi tới Cài đặt và bật Mã hóa quyền truy cập dữ liệu . Lưu các thay đổi.
Bạn cũng có thể bật mã hóa SMB từ bảng điều khiển PowerShell. Bật mã hóa cho một lượt chia sẻ:
Set-SmbShare –Name Install -EncryptData $true
Hoặc đối với tất cả các kết nối SMB tới máy chủ (tới các thư mục được chia sẻ hoặc tài nguyên quản trị):
Set-SmbServerConfiguration –EncryptData $true
Sau khi mã hóa SMB cho chia sẻ mạng được bật, tất cả các máy khách kế thừa (trước Windows 8) sẽ không thể kết nối với chia sẻ này, vì chúng không hỗ trợ SMB 3.0. Để cho phép các máy khách Windows này truy cập vào phần chia sẻ (theo quy tắc, đó là quyền truy cập tạm thời, nếu không thì không có ý nghĩa gì để bật mã hóa), bạn có thể cho phép kết nối với máy chủ mà không cần mã hóa:
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Set-SmbServerConfiguration –EnableSMB1Protocol $false