How to enable SMB Encryption on Windows Shares

Transferul intre client si server-ul Windows ce hosteaza un network share este necriptat by default. Iar in scenariile unde se pune accent pe securitatea informatiilor, acest lucru poate fi o problema serioasa. Incepand cu SMB v3 si Windows 2012, exista SMB Encryption. Si toata criptarea asta end to end se poate face printr-un simplu click:

In schimb trebuie sa aveti grija la clientii legacy ce nu suporta SMB v3. Daca veti incerca sa accesati un astfel de share cu Windows 7 o sa primiti un mesaj de Access Denied.

SMB Encryption poate fi activat la nivel de share sau la nivelul intregului server. La nivel de share se poate vedea in imaginea de mai sus checkbox-ul responsabil de aceasta setare. A doua varianta (la nivelul intregului server) se activeaza doar din linie de comanda cu Set-SmbServerConfiguration (ce merge impreuna cu Get-SmbServerConfiguration):

Optiunea necesara pentru a activa SMB Encryption la nivelul intregului server este EncryptData, iar in cazul meu este pe False pentru a permite compatibilitatea cu clientii legacy. Tot ce trebuie sa faceti este sa schimbati aceasta optiune pe True.

Nota: Din clipa in care setati EncryptData pe True, orice client ce nu stie SMB v3 v-a prima Access Denied cand va incerca sa acceseze serverul prin protocolul SMB. Nu va putea nici macar sa listeze share-urile.

Tot in imaginea de mai sus puteti observa RejectUnencryptedAccess si probabil va intrebati de ce este pe True. Optiunea permite fallback pentru clientii vechi ce nu stiu SMB V3 atunci cand e pe False si face enforcement atunci cand e pe True. Ca un exemplu, daca activam encryption la nivel de share si setam RejectUnencryptedAccess pe False, clientii cu Windows 10 vor putea accesa share-ul conexiunea fiind criptata, iar clientii cu Windows 7 vor face fallback la SMB v2 si vor accesa share-ul necriptat. Tot la fel si cand e activat la nivel de server.