OliverL
gehört zum Inventar
Das Fall Creators Update hat die von mir erzwungene SMB-Verschlüsselung wieder zurückgesetzt.
Daher empfehle ich dringend die Wieder-Aktivierung, wenn man weiß, was man da tut und was dies für Auswirkungen hat.
$RejectUnencryptedAccess sollte man auf False belassen, wenn man z. B. mit älteren NAS-Systemen wie einem QNAP TS-112 per SMB3 kommunizieren möchte, welches aber keine Verschlüsselung unterstützt. Dies umgehe ich durch ausschließliche Nutzung von Bitlocker über iSCSI auf alle Backup-Ziele.
# Enforce SMB3 + encryption:
# https://technet.microsoft.com/en-us/library/dn551363(v=ws.11).aspx
# https://blogs.msdn.microsoft.com/openspecification/2015/09/09/smb-3-1-1-encryption-in-windows-10/
Get-SmbSession
Get-SmbSession | Select Dialect,ClientComputerName,ClientUserName | ? Dialect -lt 2
Get-SmbServerConfiguration
Set-SmbServerConfiguration -EncryptData $true
# Set-SmbServerConfiguration -RejectUnencryptedAccess $true
Get-SmbServerConfiguration
# show encryption status:
Get-SmbConnection | Select-Object -Property *
Mit diesem Befehl sollte man sich alle SMB-Verbindungen anschauen (das Öffnen von Ordnern reicht dazu im Windows Explorer) und auf die Verschlüsselungs-Eigenschaft achten.
Solche Dinge (Transportverschlüsselung) sowie die Verschlüsselung sämtlicher lokaler Datenträger und Sicherungsmedien sind sehr wichtig, für alle noch so kleinen Unternehmen. Siehe EU DSGVO...
Wenn man nicht möchte, dass ein simpler Diebstahl von Hardware gleich meldepflichtig wird..., mit den entsprechenden Konsequenzen.
Gruß und happy hacking
Oliver
Daher empfehle ich dringend die Wieder-Aktivierung, wenn man weiß, was man da tut und was dies für Auswirkungen hat.
$RejectUnencryptedAccess sollte man auf False belassen, wenn man z. B. mit älteren NAS-Systemen wie einem QNAP TS-112 per SMB3 kommunizieren möchte, welches aber keine Verschlüsselung unterstützt. Dies umgehe ich durch ausschließliche Nutzung von Bitlocker über iSCSI auf alle Backup-Ziele.
# Enforce SMB3 + encryption:
# https://technet.microsoft.com/en-us/library/dn551363(v=ws.11).aspx
# https://blogs.msdn.microsoft.com/openspecification/2015/09/09/smb-3-1-1-encryption-in-windows-10/
Get-SmbSession
Get-SmbSession | Select Dialect,ClientComputerName,ClientUserName | ? Dialect -lt 2
Get-SmbServerConfiguration
Set-SmbServerConfiguration -EncryptData $true
# Set-SmbServerConfiguration -RejectUnencryptedAccess $true
Get-SmbServerConfiguration
# show encryption status:
Get-SmbConnection | Select-Object -Property *
Mit diesem Befehl sollte man sich alle SMB-Verbindungen anschauen (das Öffnen von Ordnern reicht dazu im Windows Explorer) und auf die Verschlüsselungs-Eigenschaft achten.
Solche Dinge (Transportverschlüsselung) sowie die Verschlüsselung sämtlicher lokaler Datenträger und Sicherungsmedien sind sehr wichtig, für alle noch so kleinen Unternehmen. Siehe EU DSGVO...
Wenn man nicht möchte, dass ein simpler Diebstahl von Hardware gleich meldepflichtig wird..., mit den entsprechenden Konsequenzen.
Gruß und happy hacking
Oliver
Zuletzt bearbeitet: