SMB 3.1.1 in Windows Server 2016 nutzen

Die neue Version des Server-Message-Block-Protokolls (SMB) soll durch Erweiterung der SMB-Encryption Man-in-the-Middle-Angriffe verhindern können. Schon SMB 3.0 in Windows 7 und Windows Server 2012 tat sein Bestes, um den Zugriff von Angreifern auf übertragene Daten einzuschränken. In SMB 3.1.1 wird der Chiffre bereits beim Verbindungsaufbau ausgetauscht und soll so Sicherheit gewährleisten, schon bevor sich Client und Server gegenseitig authentifiziert haben. Microsoft bezeichnet diese Neuerung als "Pre-Authentication Integrity". Die Daten zur Authentifizierung werden mit SHA-512 verschlüsselt.

Da die ältere Funktion "Secure Negotiate" selten genutzt wird und teilweise sogar Probleme bereitet hat, vor allem beim Betrieb von Dritthersteller-Software, lässt sich diese Funktion deaktivieren. Das kann die Leistung in der Kommunikation verbessern, wenn die Funktion ohnehin nicht genutzt wird.

SMB wird sicherer

In SMB 3.1.1 wird die Technik durch Pre-Authentication Integrity ersetzt und ist nicht mehr notwendig. Bei Verbindungen mit älteren SMB-Versionen kann Secure Negotiate nicht mehr umgangen werden, was die Verbindung zu älteren Systemen stabilisiert. Dritthersteller-Produkte, die Secure Negotiate nicht nutzen, werden von Windows Server 2016 blockiert, außer sie unterstützen "Pre-Authentication Integrity". Das kann vor allem für Systeme problematisch sein, die verschiedene Rechenzentren und die darin installierten Server miteinander verbinden.

SMB 3.1.1 nutzt für die Verschlüsselung AES-128-GCM. Laut Microsoft kommt diese Codierung besser mit aktuellen Prozessoren von Intel und AMD zurecht. Dieser Sachverhalt kann die Zugriffe per SMB deutlich beschleunigen, vor allem zwischen Servern, wenn zum Beispiel Storage Spaces Direct zum Einsatz kommen sollen oder die neue Storage-Replikation in Windows Server 2016. Beide neuen Funktionen sind dazu

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.