VietNetwork.Vn

Theo mặc định, dữ liệu được truyền qua mạng tới chia sẻ SMB ở dạng văn bản thuần túy, nghĩa là kẻ tấn công có quyền truy cập vào mạng có thể xem các tệp được truyền. Bằng cách kích hoạt mã hóa SMB trên các chia sẻ SMB, điều này có thể được ngăn chặn.

Khi tạo chia sẻ SMB bằng PowerShell hoặc thông qua giao diện người dùng đồ họa (GUI), chúng tôi có tùy chọn bật mã hóa SMB trên chia sẻ. Chúng tôi sẽ chỉ cho bạn cách bật mã hóa SMB trên chia sẻ tệp SMB hiện có trong các ví dụ này bằng cách sử dụng cả PowerShell và GUI trong Windows Server 2016.

1. Kích hoạt mã hóa SMB – PowerShell

Với PowerShell, chúng tôi có thể sửa đổi cấu hình SMB của máy chủ toàn cầu để kích hoạt mã hóa. Nếu chạy lệnh ghép ngắn Get-SmbServerConfiguration như hình bên dưới, chúng ta có thể thấy rằng EncryptData được đặt thành false.


Chúng tôi có thể sửa đổi điều này bằng lệnh ghép ngắn Set-SmbServerConfiguration Powershell bằng cách đặt EncryptData thành 1 cho đúng. Sau đó, nếu chúng ta chạy lại Get-SmbServerConfiguration, chúng ta sẽ thấy rằng EncryptData hiện được đặt thành true.


Nếu chúng tôi không muốn bật mã hóa SMB trên toàn máy chủ, thay vào đó, chúng tôi chỉ có thể chỉ định một chia sẻ cụ thể sẽ được mã hóa. Điều này tương tự như ở trên, nhưng thay vào đó được thực hiện bằng lệnh ghép ngắn Set-SmbShare, theo sau là tên của phần chia sẻ như hiển thị bên dưới.


Lưu ý rằng nếu bạn sử dụng PowerShell để kích hoạt mã hóa trên cơ sở chia sẻ SMB theo cách này và bạn mở GUI cùng lúc (như được trình bày bên dưới), thì bạn sẽ cần làm mới GUI để nó cập nhật và hiển thị chính xác chia sẻ thực sự được mã hóa.

Mặc dù nói chung, cách tốt nhất là kích hoạt mã hóa trên toàn cầu, nhưng bạn có thể gặp phải các trường hợp trong đó ứng dụng khách SMB của bạn không hỗ trợ mã hóa nên những chia sẻ này có thể không sử dụng được mã hóa này.

2. Kích hoạt mã hóa SMB – GUI

Thông qua giao diện người dùng đồ họa, chúng tôi chỉ có thể mã hóa các cổ phiếu SMB trên cơ sở mỗi cổ phiếu, điều này không mạnh bằng việc đặt nó làm máy chủ mặc định trên toàn bộ máy chủ như chúng tôi đã làm ở trên với PowerShell.

Để mã hóa chia sẻ SMB thông qua GUI, chỉ cần mở Trình quản lý máy chủ > Dịch vụ lưu trữ và tệp > Chia sẻ. Bây giờ bạn sẽ thấy một danh sách tất cả các chia sẻ SMB có sẵn trên máy chủ.


Từ đây, nhấp chuột phải vào chia sẻ được đề cập và chọn thuộc tính. Từ phía bên trái, chọn Cài đặt và đánh dấu vào hộp kiểm Mã hóa quyền truy cập dữ liệu và nhấp vào nút OK để áp dụng các thay đổi.


Lưu ý rằng nếu chúng tôi sử dụng PowerShell để bật mã hóa SMB cho toàn bộ máy chủ, tùy chọn này sẽ được đánh dấu và chuyển sang màu xám, sẽ không thể thay đổi thông qua GUI.

Đó là tất cả những gì cần làm, quyền truy cập từ xa vào phần chia sẻ SMB giờ đây sẽ được mã hóa.

Chúng tôi có thể sử dụng PowerShell hoặc giao diện người dùng đồ họa để bật mã hóa SMB trên các chia sẻ SMB. Tùy chọn PowerShell linh hoạt hơn vì chúng tôi có thể kích hoạt mã hóa trên tất cả các chia sẻ hiện tại và tương lai cùng một lúc, trong khi cả PowerShell và GUI có thể được sử dụng để thay thế cho phép mã hóa SMB trên cơ sở mỗi chia sẻ.