Tweet
SMB 3.1.1 – Những cải tiến bảo mật quan trọng mà quản trị viên Windows cần biết
Trong nhiều năm, SMB (Server Message Block) là giao thức tiêu chuẩn để chia sẻ file và máy in trong môi trường Windows. Tuy nhiên, SMB cũng từng là mục tiêu của nhiều cuộc tấn công nổi tiếng như WannaCry hay NotPetya, khai thác các lỗ hổng trên SMB 1.0.
Để tăng cường bảo mật, Microsoft đã liên tục cải tiến giao thức SMB qua nhiều phiên bản. Trong đó, SMB 3.1.1 (ra mắt cùng Windows 10 và Windows Server 2016) mang đến nhiều nâng cấp đáng chú ý.
Những cải tiến bảo mật của SMB 3.1.1
SMB 3.0 đã giới thiệu khả năng mã hóa (SMB Encryption) nhằm bảo vệ dữ liệu truyền giữa máy khách và máy chủ.
SMB 3.1.1 tiếp tục nâng cao bảo mật với các tính năng:
Để tận dụng đầy đủ các tính năng bảo mật của SMB 3.1.1, cần đáp ứng các yêu cầu sau:
Nếu kết nối tới các hệ điều hành cũ, Windows sẽ tự động hạ xuống phiên bản SMB thấp hơn:
Có thể sử dụng PowerShell để bật SMB Encryption.
Mã hóa cho một thư mục chia sẻ:
Set-SmbShare -Name <ShareName> -EncryptData $true
Bật mã hóa cho toàn bộ File Server:
Set-SmbServerConfiguration -EncryptData $true
Tạo một Share mới và bật mã hóa ngay từ đầu:
New-SmbShare -Name <ShareName> -Path <Path> -EncryptData $true
Vì sao nên tắt SMB 1.0?
SMB 1.0 là giao thức rất cũ và đã tồn tại nhiều lỗ hổng nghiêm trọng. Đây chính là giao thức từng bị khai thác trong cuộc tấn công ransomware WannaCry năm 2017.
Microsoft khuyến nghị loại bỏ hoàn toàn SMB 1.0 nếu không còn thiết bị nào phụ thuộc vào giao thức này.
Có thể vô hiệu hóa SMB 1.0 bằng PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Hoặc gỡ hoàn toàn thành phần SMB 1.0:
Remove-WindowsFeature FS-SMB1
Lưu ý rằng Windows Server 2019 trở lên đã tắt SMB 1.0 theo mặc định, vì vậy chỉ cần thực hiện các lệnh trên nếu trước đó bạn đã chủ động bật lại SMB 1.0.
Kết luận
SMB 3.1.1 không chỉ bổ sung cơ chế mã hóa dữ liệu mà còn tăng cường bảo vệ ngay từ giai đoạn thương lượng kết nối thông qua Preauthentication Integrity, giúp giảm đáng kể nguy cơ tấn công Man-in-the-Middle và giả mạo phiên kết nối. Đối với các hệ thống Windows hiện đại, nên sử dụng SMB 3.1.1, bật SMB Encryption cho các thư mục chia sẻ quan trọng và loại bỏ hoàn toàn SMB 1.0 để đáp ứng các yêu cầu bảo mật hiện nay.
Trong nhiều năm, SMB (Server Message Block) là giao thức tiêu chuẩn để chia sẻ file và máy in trong môi trường Windows. Tuy nhiên, SMB cũng từng là mục tiêu của nhiều cuộc tấn công nổi tiếng như WannaCry hay NotPetya, khai thác các lỗ hổng trên SMB 1.0.
Để tăng cường bảo mật, Microsoft đã liên tục cải tiến giao thức SMB qua nhiều phiên bản. Trong đó, SMB 3.1.1 (ra mắt cùng Windows 10 và Windows Server 2016) mang đến nhiều nâng cấp đáng chú ý.
Những cải tiến bảo mật của SMB 3.1.1
SMB 3.0 đã giới thiệu khả năng mã hóa (SMB Encryption) nhằm bảo vệ dữ liệu truyền giữa máy khách và máy chủ.
SMB 3.1.1 tiếp tục nâng cao bảo mật với các tính năng:
- Preauthentication Integrity
- Toàn bộ quá trình thương lượng (Negotiate) và thiết lập phiên làm việc (Session Setup) được băm (hash) và ký số trước khi xác thực.
- Nếu bất kỳ gói tin nào bị sửa đổi trên đường truyền, quá trình kết nối sẽ thất bại ngay lập tức.
- Thuật toán mã hóa mạnh hơn
- SMB 3.1.1 hỗ trợ AES-128 GCM, vừa tăng hiệu năng vừa cải thiện khả năng bảo vệ dữ liệu so với các phiên bản trước.
- Các cải tiến bổ sung
- SMB 3.1.1 tiếp tục tối ưu nhiều cơ chế bảo mật và độ tin cậy trong quá trình truy cập file.
Để tận dụng đầy đủ các tính năng bảo mật của SMB 3.1.1, cần đáp ứng các yêu cầu sau:
- Cả máy khách (Client) và máy chủ (Server) đều phải hỗ trợ SMB 3.1.1.
- Hệ điều hành tối thiểu:
- Windows 10
- Windows Server 2016 hoặc mới hơn
- Các thiết bị mạng nằm giữa hai đầu kết nối không được sửa đổi hoặc can thiệp vào lưu lượng SMB, nếu không cơ chế Preauthentication Integrity có thể không hoạt động đúng.
Nếu kết nối tới các hệ điều hành cũ, Windows sẽ tự động hạ xuống phiên bản SMB thấp hơn:
- Windows 8.1 / Windows Server 2012 R2 → SMB 3.02
- Windows 8 / Windows Server 2012 → SMB 3.0
Có thể sử dụng PowerShell để bật SMB Encryption.
Mã hóa cho một thư mục chia sẻ:
Set-SmbShare -Name <ShareName> -EncryptData $true
Bật mã hóa cho toàn bộ File Server:
Set-SmbServerConfiguration -EncryptData $true
Tạo một Share mới và bật mã hóa ngay từ đầu:
New-SmbShare -Name <ShareName> -Path <Path> -EncryptData $true
Vì sao nên tắt SMB 1.0?
SMB 1.0 là giao thức rất cũ và đã tồn tại nhiều lỗ hổng nghiêm trọng. Đây chính là giao thức từng bị khai thác trong cuộc tấn công ransomware WannaCry năm 2017.
Microsoft khuyến nghị loại bỏ hoàn toàn SMB 1.0 nếu không còn thiết bị nào phụ thuộc vào giao thức này.
Có thể vô hiệu hóa SMB 1.0 bằng PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Hoặc gỡ hoàn toàn thành phần SMB 1.0:
Remove-WindowsFeature FS-SMB1
Lưu ý rằng Windows Server 2019 trở lên đã tắt SMB 1.0 theo mặc định, vì vậy chỉ cần thực hiện các lệnh trên nếu trước đó bạn đã chủ động bật lại SMB 1.0.
Kết luận
SMB 3.1.1 không chỉ bổ sung cơ chế mã hóa dữ liệu mà còn tăng cường bảo vệ ngay từ giai đoạn thương lượng kết nối thông qua Preauthentication Integrity, giúp giảm đáng kể nguy cơ tấn công Man-in-the-Middle và giả mạo phiên kết nối. Đối với các hệ thống Windows hiện đại, nên sử dụng SMB 3.1.1, bật SMB Encryption cho các thư mục chia sẻ quan trọng và loại bỏ hoàn toàn SMB 1.0 để đáp ứng các yêu cầu bảo mật hiện nay.
Attached Files