SMB 3.1.1 in Windows Server 2016 nutzen

Wenn Server tratschen

Windows Server 2016 und Windows 10 kommunizieren mit der neuen Version 3.1.1 des Server-Message-Block-Protokolls. Dieses bietet einige Neuerungen bezüglich Leistung und Sicherheit. Natürlich können Windows Server 2016 und Windows 10 problemlos mit älteren Windows-Versionen und auch mit Linux über SMB kommunizieren. Allerdings kommt in diesem Fall die jeweilige SMB-Version des ältesten Systems zum Einsatz. Wir stellen den Einsatz von SMB 3.1.1 vor und untersuchen Kompatibilitätsprobleme.
Die Zusammenarbeit und der Datenaustausch stehen im Mittelpunkt der Februar-Ausgabe des IT-Administrator. Darin betrachten wir die Teamarbeit mit Office 365 und ... (mehr)

Die neue Version des Server-Message-Block-Protokolls (SMB) soll durch Erweiterung der SMB-Encryption Man-in-the-Middle-Angriffe verhindern können. Schon SMB 3.0 in Windows 7 und Windows Server 2012 tat sein Bestes, um den Zugriff von Angreifern auf übertragene Daten einzuschränken. In SMB 3.1.1 wird der Chiffre bereits beim Verbindungsaufbau ausgetauscht und soll so Sicherheit gewährleisten, schon bevor sich Client und Server gegenseitig authentifiziert haben. Microsoft bezeichnet diese Neuerung als "Pre-Authentication Integrity". Die Daten zur Authentifizierung werden mit SHA-512 verschlüsselt.

Da die ältere Funktion "Secure Negotiate" selten genutzt wird und teilweise sogar Probleme bereitet hat, vor allem beim Betrieb von Dritthersteller-Software, lässt sich diese Funktion deaktivieren. Das kann die Leistung in der Kommunikation verbessern, wenn die Funktion ohnehin nicht genutzt wird.

SMB wird sicherer

In SMB 3.1.1 wird die Technik durch Pre-Authentication Integrity ersetzt und ist nicht mehr notwendig. Bei Verbindungen mit älteren SMB-Versionen kann Secure Negotiate nicht mehr umgangen werden, was die Verbindung zu älteren Systemen stabilisiert. Dritthersteller-Produkte, die Secure Negotiate nicht nutzen, werden von Windows Server 2016 blockiert, außer sie unterstützen "Pre-Authentication Integrity". Das kann vor allem für Systeme problematisch sein, die verschiedene Rechenzentren und die darin installierten Server miteinander verbinden.

SMB 3.1.1 nutzt für die Verschlüsselung AES-128-GCM. Laut Microsoft kommt diese Codierung besser mit aktuellen Prozessoren von Intel und AMD zurecht. Dieser Sachverhalt kann die Zugriffe per SMB deutlich beschleunigen, vor allem zwischen Servern, wenn zum Beispiel Storage Spaces Direct zum Einsatz kommen sollen oder die neue Storage-Replikation in Windows Server 2016. Beide neuen Funktionen sind dazu

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020