SMB3.0でのトラフィック暗号化

サーバーメッセージブロック（SMB）3.0のバージョン Windows Server 2012 / Windows 8で導入されたプロトコルにより、SMBファイルサーバーとクライアントの間でネットワークを介して転送されるデータを暗号化することが可能になりました。データはクライアントの観点から透過的に暗号化され、VPN、IPSec、またはPKIインフラストラクチャの実装とは異なり、重要な組織やリソースを必要としません。 SMB 3.1.1の最新バージョン （Windows10およびWindowsServer 2016で使用）、AES 128 GCMタイプの暗号化が使用され、アルゴリズムのパフォーマンスが大幅に向上します。さらに、自動データ署名と検証が実行されます。

Windows Server 2012でのSMB暗号化の実装の側面を考えてみましょう。まず、クライアントとサーバーが異なるSMBバージョンをサポートしている場合、クライアントとサーバー間で接続が確立されると、サポートされている最高のSMBバージョンがサポートされることを理解する必要があります。クライアントとサーバーの両方が選択されます。これは、Windows 8 / Server 2012より前のバージョンのWindowsを実行しているすべてのクライアントが、SMB暗号化が有効になっているネットワークフォルダーと対話できないことを意味します。

ファイルサーバーでは、クライアントが使用するSMBプロトコルのバージョンを取得できます（使用されるプロトコルのバージョンは[方言]列に表示されます）：

Get-SmbConnection

既定では、SMBトラフィックの暗号化はWindowsServer2012ファイルサーバーでは無効になっています。各SMB共有またはすべてのSMB接続に対して個別に暗号化を有効にすることができます。

特定のディレクトリの暗号化を有効にする必要がある場合は、サーバーマネージャーを開きます サーバーのコンソールを開き、ファイルとストレージサービス–>共有に移動します 。目的の共有フォルダを選択し、そのプロパティを開きます。次に、設定に移動します タブをクリックして、データアクセスの暗号化を有効にします 。変更を保存します。

PowerShellコンソールからSMB暗号化を有効にすることもできます。 1つの共有の暗号化を有効にします：

Set-SmbShare –Name Install -EncryptData $true

または、サーバーへの（共有フォルダーまたは管理リソースへの）すべてのSMB接続の場合：

Set-SmbServerConfiguration –EncryptData $true

ネットワーク共有のSMB暗号化を有効にすると、すべてのレガシークライアント（Windows 8より前）はSMB 3.0をサポートしていないため、この共有に接続できなくなります。これらのWindowsクライアントが共有にアクセスできるようにするには（原則として、一時的なアクセスです。そうでない場合、暗号化を有効にする意味はありません）、暗号化せずにサーバーに接続することを許可できます。

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

ヒント 。このモードを有効にすると、接続しているクライアントは、セキュリティで保護されていない古いバージョンのSMB 1.0に切り替えることができます（Windows Server 2012 R2では、SMB 1.0はデフォルトですでに無効になっています）。サーバーを保護するには、SMB 1.0サポートを無効にすることをお勧めします：
Set-SmbServerConfiguration –EnableSMB1Protocol $false