Форум системных администраторов

IT => Windows => Тема начата: goro от 05 февраля 2018, 21:14:55

Название: Зашифрованый доступ по SMB
Отправлено: goro от 05 февраля 2018, 21:14:55
Доброго времени суток.
Возникла необходимость шифровать пеердачу данных по SMB.
На файловом сервере(WS2016) включаю опцию

(http://joxi.ru/ZrJJkXWH174V8r.png)

Проверяю, вроде все работает.

НО на терминальном сервере(WS2008R2) получаю картину

(http://joxi.ru/krDJROeH0nDPR2.png)

Т.е. нет доступа...
SMBv2/v3
включал



sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Как заставит рботать WS2008R2 c шифрованной шарой?
Название: Зашифрованый доступ по SMB
Отправлено: goro от 05 февраля 2018, 21:58:36
Конечно может помочь команда
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
которая разрешит незашифрованный доступ для клиентов, не поддерживающих SMB 3.0....НО хотелось бы найти возможность всегда использовать SMB3.0, дже на WS2008R2.


Есть такая возможность?
Название: Зашифрованый доступ по SMB
Отправлено: Triangle от 05 февраля 2018, 22:13:17
2008r2 это только 2.1, на технете обсуждалось неоднократно.


Updated: 05 February 2018, 22:13:45

https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/
Название: Зашифрованый доступ по SMB
Отправлено: goro от 07 февраля 2018, 14:31:30
Коллеги, а можно ли на контроллере домена на такие шары как NETLOGON, SYSVOL, включить шифрование и разрешить использование SMB2.1(Set-SmbServerConfiguration –RejectUnencryptedAccess $false), но запретить SMB1 ?
Название: Зашифрованый доступ по SMB
Отправлено: sirarthur от 08 февраля 2018, 09:30:10
на такие шары как NETLOGON, SYSVOL, включить шифрование
а с какой целью?
если уж очень необходима безопасность - настройке ipsec внутри домена, 802.1х  и т.д.
https://msdn.microsoft.com/en-us/library/cc237121.aspx


Updated: 08 February 2018, 09:32:49

Ибо нетлогон собственно и выступает провайдером создающим защищенный канал передачи данных между контроллерами домена, и рабочими станциями.
Цитировать
NetLogon Service is very important for Domain Controllers. This service is started and configured to start Automatic when you promote a server to Domain Controller. If this service is not running then there are a few things which fail. This article explains the functionality of NetLogon service on Domain Controllers as mentioned below:

This service is responsible for creating Secure Channel between Domain Controllers and client computers. Secure Channel is created to pass the authentication packets.
Название: Зашифрованый доступ по SMB
Отправлено: goro от 09 февраля 2018, 11:14:17
 ipsec внутри домена...
Кто использовал? Какие моменты, "подводные камни" нужно учесть?