Ping-Admin.Ru

Автор Тема: Зашифрованый доступ по SMB  (Прочитано 460 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 481
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Зашифрованый доступ по SMB
« : 05 Февраля 2018, 21:14:55 »
Доброго времени суток.
Возникла необходимость шифровать пеердачу данных по SMB.
На файловом сервере(WS2016) включаю опцию



Проверяю, вроде все работает.

НО на терминальном сервере(WS2008R2) получаю картину



Т.е. нет доступа...
SMBv2/v3
включал



sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Как заставит рботать WS2008R2 c шифрованной шарой?

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 481
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Зашифрованый доступ по SMB
« Ответ #1 : 05 Февраля 2018, 21:58:36 »
Конечно может помочь команда
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
которая разрешит незашифрованный доступ для клиентов, не поддерживающих SMB 3.0....НО хотелось бы найти возможность всегда использовать SMB3.0, дже на WS2008R2.


Есть такая возможность?

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5837
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Зашифрованый доступ по SMB
« Ответ #2 : 05 Февраля 2018, 22:13:17 »
2008r2 это только 2.1, на технете обсуждалось неоднократно.


Updated: 05 February 2018, 22:13:45

https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 481
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Зашифрованый доступ по SMB
« Ответ #3 : 07 Февраля 2018, 14:31:30 »
Коллеги, а можно ли на контроллере домена на такие шары как NETLOGON, SYSVOL, включить шифрование и разрешить использование SMB2.1(Set-SmbServerConfiguration –RejectUnencryptedAccess $false), но запретить SMB1 ?
« Последнее редактирование: 07 Февраля 2018, 15:40:59 от goro »

Онлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 535
  • Рейтинг: 4
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
Зашифрованый доступ по SMB
« Ответ #4 : 08 Февраля 2018, 09:30:10 »
на такие шары как NETLOGON, SYSVOL, включить шифрование
а с какой целью?
если уж очень необходима безопасность - настройке ipsec внутри домена, 802.1х  и т.д.
https://msdn.microsoft.com/en-us/library/cc237121.aspx


Updated: 08 February 2018, 09:32:49

Ибо нетлогон собственно и выступает провайдером создающим защищенный канал передачи данных между контроллерами домена, и рабочими станциями.
Цитата
NetLogon Service is very important for Domain Controllers. This service is started and configured to start Automatic when you promote a server to Domain Controller. If this service is not running then there are a few things which fail. This article explains the functionality of NetLogon service on Domain Controllers as mentioned below:

This service is responsible for creating Secure Channel between Domain Controllers and client computers. Secure Channel is created to pass the authentication packets.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 481
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Зашифрованый доступ по SMB
« Ответ #5 : 09 Февраля 2018, 11:14:17 »
 ipsec внутри домена...
Кто использовал? Какие моменты, "подводные камни" нужно учесть?