Enable encryption for certain shares
Das SMB Protokoll ist ein Client-Server Protokoll welches z.B. den Zugriff auf Ordner, Dateien oder Druckern regelt.
Seit Windows 10 oder Windows Server 2016 arbeiten wir mit der Protokollversion 3.1.1. Jede neue Protokollversion bringt Verbesserungen mit sich. Diese beziehen sich im wesentlichen auf die Kommunikation und einer besseren Verschlüsselung.
Damit Daten vom Dateiserver an den Client verschlüsselt übertragen werden können, müssen wir die SMB-Verschlüsselung aktivieren. Das geht mit der Powershell recht schnell und unkompliziert.
Zuerst überprüfen wir den Status der Verschlüsselung.
Get-SmbServerConfiguration
Mit diesem Befehl checken wir die aktuellen Protokollversionen.
Get-SmbConnection
SMB-Verschlüsselung aktivieren
Um nun die SMB-Verschlüsselung zu aktivieren, setzen wir diesen Befehl ab.
Set-SmbServerConfiguration -EncryptData $true
Überprüfen das Ganze noch einmal mit
Get-SmbServerConfiguration
Ab sofort werden alle Daten zwischen Server und Client verschlüsselt übertragen.
Aktivieren der SMB-Verschlüsselung für bestimmte Shares
Mit diesem Befehl aktivieren wir die SMB-Verschlüsselung auf ein bereits vorhandenes Share (Freigabe). In diesem Beispiel auf die Freigabe namens Daten.
Set-SmbShare -Name Daten -EncryptData $true
New-SmbShare -Name Daten -Path C:\Daten -EncryptData $true
Das Ganze lässt sich wieder wie folgt überprüfen.
Get-SmbShare -Name Daten | Format-List -Property *
Wenn ein Client kein SMBv3.x unterstützt aber Zugriff haben muss, dann kann man übergangsweise den Zugriff auf die Freigabe gewähren.
Set-SmbServerConfiguration -RejectUnencryptedAccess $true
Set-SmbServerConfiguration -RejectUnencryptedAccess $false
https://www.der-windows-papst.de/2021/01/03/core-server-eingehende-smb-verbindung-aktivieren/