a Internet

Ative ou desative os protocolos SMBv1, SMBv2 e SMBv3 no Windows

0 14.778 8 minutos lidos

SMB (Server Message Block) é um dos protocolos por excelência para compartilhamento de arquivos na rede local, em 1998 a Microsoft renomeou este protocolo para CIFS (anteriormente conhecido como SMB, mas foi renomeado para CIFS (Common Internet File System)). Desde então, ele é conhecido como SMB / CIFS em muitos lugares, as versões mais recentes do SMB / CIFS têm suporte integrado para links físicos e simbólicos, tamanhos de arquivo maiores e ainda temos autenticação e transferência segura de arquivos usando protocolos criptográficos. Samba é a implementação gratuita do protocolo Windows SMB / CIFS, portanto, teremos compatibilidade entre os sistemas Microsoft e os sistemas operacionais Linux e Unix sem problemas. Hoje, em RedesZone, explicaremos como ativar ou desativar os diferentes protocolos SMBv1,

Características SMB / CIFS em suas diferentes versões

SMB é um protocolo de rede que nos permite compartilhar arquivos, pastas e impressoras na rede local entre diferentes sistemas operacionais, incluindo Windows, Linux, MacOS e qualquer sistema operacional Unix que inclua Samba. Este protocolo está dentro da camada de aplicação e abaixo dele usa a porta TCP 445, portanto, as transferências de dados são confiáveis ​​porque há retransmissão de dados no caso de um problema. Desde o nascimento do SMB / CIFS até agora, temos várias versões que incorporam melhorias no funcionamento e também na segurança do protocolo, porém nem todos os servidores que trabalham com SMB / CIFS utilizam as versões mais recentes do protocolo. , portanto, podemos enfrentar travamentos inesperados ao tentar conectar a um servidor SMB local.

O acesso aos recursos SMB / CIFS pode ser feito por meio de autenticação com usuários locais, por meio de autenticação baseada em servidor RADIUS ou LDAP e, é claro, por meio da autenticação do Active Directory. No nível de configuração, podemos configurar o servidor para evitar senhas nulas, também podemos criar contas de convidados que permitirão o acesso a determinados recursos sem qualquer tipo de autenticação. Outros recursos do SMB / CIFS são que podemos habilitar o suporte para atributos estendidos do OS / 2 em um recurso compartilhado, bem como armazenar esses atributos DOS se estivermos usando sistemas operacionais Microsoft. Claro, podemos estabelecer uma máscara para criar arquivos e também diretórios, para que os arquivos ou pastas que vamos criar tenham permissões específicas.

Em relação ao desempenho do SMB / CIFS, podemos habilitar E / S assíncronas, a fim de obter melhores velocidades de leitura e gravação nos recursos do Samba, além disso, só poderia ser utilizado para arquivos de tamanho superior ao definido na configuração do servidor. Ao configurar um servidor SMB / CIFS, a versão utilizada é muito importante, tanto no servidor quanto no cliente. No nível de configuração, podemos definir vários parâmetros para definir o protocolo de nível de servidor máximo suportado, bem como o protocolo de nível de servidor mínimo, para fornecer a melhor segurança para os clientes. Por exemplo, uma configuração muito segura seria suportar apenas o protocolo SMB3, no entanto, podemos ter problemas com alguns clientes que suportam apenas até SMB2,

PME / CIFS versão 1

A primeira versão deste protocolo nasceu em 1983 e foi construída usando o NetBIOS da Microsoft, no entanto, nas versões posteriores o NetBIOS não era mais usado. Todas as versões mais antigas do Microsoft Windows usam SMBv1, no entanto, as versões mais recentes do Windows 10 e do Windows Server não têm o SMBv1 instalado no sistema operacional por motivos de segurança, já que este protocolo demonstrou falhar. Atualmente não é seguro e é não recomendado para ser usado. Por exemplo, o Windows Server 2016 e posterior e o Windows 10 Fall Creators Update não incluem esta versão por padrão.

Também é verdade que alguns roteadores ainda usam a primeira versão do protocolo em seus servidores SMB / CIFS, neste caso pouco ou nada pode ser feito para configurá-lo com versões superiores, pois depende do fabricante na grande maioria dos casos caso. caso. Por exemplo, se você tiver um firmware de terceiros, como OpenWRT ou DD-WRT, poderá desabilitar este protocolo SMBv1 e habilitar as versões mais recentes, porque o software no firmware o suporta.

PME / CIFS versão 2

A Microsoft lançou a versão SMBv2 para Windows Vista em 2006 e no Windows Server 2008. Embora esse protocolo seja privado, toda a sua especificação foi lançada para permitir que programas como Samba para Linux e Unix o usem e para diferentes sistemas operacionais sejam interoperáveis. Caso contrário, apenas os sistemas operacionais Windows podem trocar informações entre si.

O SMB2 é uma grande mudança em relação à primeira versão, tanto em operação quanto em segurança. O SMB2 reduz o estabelecimento de conexão em relação ao SMB1.0, reduzindo o número de comandos e subcomandos, além de permitir que solicitações adicionais sejam enviadas antes que a resposta a uma solicitação anterior chegue, economizando tempo e melhorando a velocidade quando temos alta latência nas conexões , ou quando queremos obter o melhor desempenho possível. Outras opções muito importantes são a possibilidade de combinar várias ações em uma única solicitação, reduzindo assim a quantidade de informações trocadas. O SMB 2.0 integra uma série de identificadores para evitar a reconexão do zero no caso de uma breve falha da rede, desta forma não teremos que restabelecer a comunicação.

Esta nova versão do SMB 2.0 suporta links simbólicos, caching, assinatura de mensagens com HMAC-SHA256 e melhor escalabilidade para ter vários usuários simultâneos no mesmo servidor, além disso, também ajuda a melhorar o número de recursos compartilhados e arquivos abertos pelo servidor. . Enquanto o SMBv1 usa um tamanho de dados de 16 bits e o limite máximo do tamanho do bloco é 64 KB, no SMB2 32 ou 64 bits é usado para armazenamento, isso significa links de rede super-rápidos, como Gigabit, Multigigabit ou redes 10G, transferência de arquivos é muito mais rápido ao enviar arquivos muito grandes.

Em RedesZone, conseguimos atingir velocidades de 1,2 Gb / s em rede 10G usando SMB2, com servidor QNAP TS-1277 NAS com armazenamento SSD, e no PC de origem também tínhamos armazenamento SSD, porque armazenamento Os discos rígidos tradicionais não suportam esses velocidades a menos que estejamos usando algum RAID de muitas unidades.

Windows Vista e Windows Server 2008 e sistemas operacionais posteriores usam SMB2 por padrão, no entanto, você ainda pode encontrar SMB1 em alguns computadores, portanto, pode ser necessário ativá-lo especificamente para se conectar a esses servidores mais antigos também. Finalmente, o SMB 2.1, que foi introduzido no Windows 7 e no Windows Server 2008 R2, melhorou ainda mais o desempenho com um novo mecanismo de bloqueio oportunista.

PME / CIFS versão 3

Este SMB versão 3.0 era anteriormente chamado de SMB 2.2, foi introduzido com o Windows 8 e o Windows Server 2012, com algumas novas mudanças muito importantes destinadas a adicionar novos recursos e melhorar o desempenho do SMB2 em data centers virtualizados. Algumas das mudanças introduzidas foram as seguintes:

  • Protocolo direto SMB: permite que o SMB seja usado sobre o acesso direto à memória RDMA remota, qualquer servidor com esta versão incorpora esse recurso para melhorar significativamente o desempenho.
  • SMB multicanal: este recurso nos permite fazer várias conexões por sessão SMB, forçar as comunicações tanto quanto possível e compactar a rede local onde estamos executando o servidor e os clientes.
  • Inclinação totalmente transparente.

Porém, o recurso mais importante é a autenticação do usuário no SMB, agora ela está totalmente criptografada, antes de ser sempre feita em texto não criptografado, para que um usuário malicioso pudesse colocar um sniffer de rede e capturar as credenciais do usuário. Graças a isso, a autenticação é realizada de forma segura. A capacidade de ter criptografia de ponta a ponta com AES também foi incorporada para criptografar ou criptografar transferências de arquivos e pastas. Portanto, com SMB 3.0, temos duas possibilidades de configuração:

  • Autenticação segura com criptografia e transferência não criptografada de arquivos e pastas.
  • Autenticação e troca de arquivos e pastas com criptografia simétrica, isso nos fornecerá o máximo de segurança, mas o desempenho pode ser prejudicado.

Se o servidor SMB não suportar AES-NI em seu processador, é provável que o desempenho que obtemos ao transferir arquivos e pastas seja muito baixo, por isso é altamente recomendável ter um processador poderoso com um mecanismo de criptografia de hardware. Atualmente, todos os processadores do ano 2015 possuem em torno desta tecnologia, mas você deve considerá-la em suas especificações técnicas.

Além do SMB versão 3.0, o SMB versão 3.0.2 também foi introduzido no Windows 8.1 e no Windows Server 2012 R2, melhorando a funcionalidade e o desempenho. Além disso, nesses sistemas operacionais, já é possível desabilitar o SMB versão 1.0 para melhorar a segurança, pois durante a conexão os clientes podem negociar qual protocolo SMB usar.

Por fim, a Microsoft introduziu o SMB versão 3.1.1 no Windows 10 e no Windows Server 2016 e posterior. Esta nova versão incorpora criptografia simétrica AES-128-GCM para fornecer a melhor segurança possível e o melhor desempenho de leitura e gravação, também temos a opção de configurar o modo de criptografia CCM. Além disso, ele implementa uma verificação de pré-integridade que usa um hash SHA2-512, um dos mais seguros da atualidade. Por fim, esta versão do SMB 3.1.1 força a negociação dos clientes que utilizam SMB 2.0 ou superior com segurança, ou seja, autenticação com criptografia.

Ativar ou desativar diferentes protocolos SMB no Windows

Atualmente, se estivermos usando as versões mais recentes do sistema operacional Windows, o SMB versão 1.0 está desabilitado por padrão para segurança, pois este é um protocolo que atualmente não é considerado seguro, é necessário que você estivesse usando o SMB 2.0 ou superior para evitar a segurança questões. No entanto, convém verificar se temos ou não os diferentes protocolos habilitados para saber quais precisamos habilitar ou desabilitar.

Em seguida, explicaremos como detectar, desativar ou ativar as diferentes versões do Samba, a primeira coisa que precisamos fazer é clicar na tecla "Windows" e depois pesquisar por " Powershell "Fazemos um clique direito do mouse e" o executar como administrador ".

SMBv1 cliente e servidor

Se quisermos habilitar ou desabilitar o suporte SMBv1 em nosso computador, primeiro precisamos verificar se o habilitamos ou desabilitamos.

Detectar:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Para ativar o protocolo SMBv1 (não é recomendado para segurança), você deve colocar:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Para desativá-lo:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

SMBv2 / SMB3 cliente e servidor

Se quisermos habilitar ou desabilitar o suporte a SMBv2 ou SMBv3 em nosso computador, primeiro precisamos verificar se o habilitamos ou desabilitamos.

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Para ativá-lo:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Para desativá-lo:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Funciona tanto para a versão SMBv2 quanto para a versão SMBv3. Dessa forma, não teremos um comando específico para SMBv3, pois já está integrado ao SMBv2, mas precisamos verificar se a criptografia de dados está habilitada, um recurso exclusivo na última versão .SMBv3:

Get-SmbServerConfiguration | Select EncryptData

Se disser "False", significa que a criptografia de dados não está habilitada, para habilitá-la, precisamos executar o seguinte comando:

Set-SmbServerConfiguration -EncryptData $True

Você precisa se certificar de que o servidor remoto suporta SMBv3, caso contrário, um erro será exibido quando você tentar acessar os recursos compartilhados de qualquer servidor.

0 14.778 8 minutos lidos

Itens semelhantes

Foto do mecanismo de pesquisa do Google: os melhores comandos e dicas de pesquisa

Motor de pesquisa Google: os melhores comandos e dicas de pesquisa

Setembro 29, 2020
Foto de Falha ao importar arquivos para o Drive? Algumas dicas e soluções

Falha ao importar arquivos para o Drive? Algumas dicas e soluções

Junho 22, 2021
Foto do que é uma ponte Wi-Fi e quais são seus benefícios

O que é uma ponte Wi-Fi e quais são suas vantagens

Junho 22, 2021
Foto do Guia para ter Wi-Fi em toda a casa na velocidade máxima

Guia para ter Wi-Fi em toda a casa na velocidade máxima

Junho 21, 2021

Deixar uma resposta

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo