SMB-Dateisynchronisierung: Berechtigungen, Sicherheit und Leistung

  • SMB und Samba ermöglichen die gemeinsame Nutzung und Synchronisierung von Dateien in heterogenen Netzwerken und gewährleisten gleichzeitig die Zugriffskontrolle und Kompatibilität mit Windows.
  • Moderne Versionen von SMB beinhalten Verschlüsselung, erweiterte Signaturen und Integritätsprüfung vor der Authentifizierung, um Daten während der Ãœbertragung zu schützen.
  • Die korrekte Konfiguration von NTFS-Berechtigungen und ACLs ist entscheidend für lokale Server, Azure Files, NetApp Files und Szenarien mit FSLogix.
  • Cloud- und Hybridlösungen erweitern SMB auf S3 oder andere Backends und gewährleisten gleichzeitig die Sicherheit auf Basis von ACLs und Identitätsrollen.
Daniel Terrasa

14 Minuten

Dateisynchronisierung über SMB

La Dateisynchronisierung über SMB Es ist zu einer entscheidenden Komponente für jede Organisation geworden, die Daten über Windows-, Linux-, NAS-, Azure-, AWS- oder Hybridserver hinweg austauscht. Sobald mehrere Terabytes, Dutzende gleichzeitiger Benutzer und Compliance-Anforderungen anfallen, reicht das einfache Freigeben eines Ordners nicht mehr aus: Leistung, NTFS- und Freigabeberechtigungen, Protokollsicherheit und sogar die Datenmigration, ohne den halben Geschäftsbetrieb lahmzulegen, spielen eine wichtige Rolle.

In diesem Artikel finden Sie eine komplette Anleitung wie SMB funktioniert, welche Rolle Samba in gemischten Umgebungen spielt, wie die Sicherheit erhöht werden kann (Verschlüsselung, Signaturen, Protokollversionen), welche Best Practices für Berechtigungen und ACLs in Windows, Azure Files, Azure NetApp Files oder FSLogix zu beachten sind und wie eine anständige Leistung beibehalten selbst wenn Sie riesige Datenmengen zwischen Servern oder in die Cloud verschieben oder synchronisieren.

Was ist SMB und warum ist es nach wie vor so wichtig für die Dateifreigabe?

Protokoll Server-Nachrichtenblock (SMB) Es handelt sich um die „Sprache“ für die gemeinsame Nutzung von Dateien, Druckern und bestimmten Netzwerkdiensten, die Windows-Systeme nativ verwenden. Über SMB kann ein Client auf freigegebene Ordner zugreifen, Dateien öffnen und bearbeiten, Drucker anzeigen oder bestimmte Ressourcen abfragen, als befänden sie sich auf seinem eigenen Computer, obwohl sie sich tatsächlich auf einem entfernten Server befinden.

SMB hat sich über die Jahre weiterentwickelt. Jeder Entwicklungssprung brachte Leistungsverbesserungen, erhöhte Sicherheit (integrierte Verschlüsselung, moderne Signaturen, Integrität vor der Authentifizierung) und mehr Funktionen, die für Hochverfügbarkeits- oder virtualisierte Umgebungen wie Hyper-V oder SQL Server auf Dateiservern entwickelt wurden.

Der Vorteil der Nutzung von SMB besteht darin, dass es Folgendes ermöglicht Integration gemischter Netzwerke (Windows, macOS, Linux, Speichergeräte, öffentliche Clouds), ohne die Benutzer zu zwingen, ihre Arbeitsweise zu ändern: Sie verwenden weiterhin den Datei-Explorer, verbinden Netzlaufwerke und Sie bewahren ihre Unterlagen wie immer auf..

SMB

Sicherheitsebene für KMU: Verschlüsselung, Signaturen und Protokollversionen

SMB-Sicherheit ist kein optionales Extra mehr. Wenn Sie Dateien mit sensiblen Daten austauschen und das Netzwerk nicht vollständig vertrauenswürdig ist, benötigen Sie sie. Verschlüsselung und Schutz vor Abhörangriffen (Man-in-the-Middle-Angriff). Windows Server und Windows 10/11 verfügen in den neuesten Versionen des SMB-Protokolls über bedeutende Sicherheitsverbesserungen.

El SMB-Verschlüsselung Es bietet durchgängigen Schutz für Daten, die zwischen Client und Server übertragen werden. Im Gegensatz zu Lösungen wie IPsec oder dedizierter WAN-Hardware wird die SMB-Verschlüsselung direkt auf dem Protokoll konfiguriert. Sie kann angewendet werden für:

  • Auf der Ebene der gemeinsam genutzten Ressourcen (nur einige Ordner).
  • Auf Serverebene (der gesamte Dateiserver).
  • In der Kartierung selbst Einheit vom Kunden.

Typische Szenarien, in denen die Aktivierung sinnvoll ist, umfassen: kritische Benutzer- oder Anwendungsdaten die unkontrollierte Netzwerke (WANs von Herstellern, Netzwerke von Drittanbietern, Hybridumgebungen) durchlaufen oder wenn Sie SMB verwenden, um hochverfügbaren Speicher für Dienste wie SQL Server oder Hyper-V bereitzustellen.

Ab Windows Server 2022 und Windows 11 verhandelt SMB 3.1.1 automatisch moderne kryptografische Sätze wie AES-256-GCM und AES-256-CCMObwohl die Kompatibilität mit AES-128-GCM und AES-128-CCM erhalten bleibt, wird in der Regel standardmäßig AES-128-GCM verwendet, da es ein sehr gutes Gleichgewicht zwischen Leistung und Sicherheit bietet.

Darüber hinaus kann SMB Direct (SMB über RDMA), das in Hochleistungsumgebungen vorhanden ist, nun Datenverkehr verschlüsseln, ohne den direkten Speicherzugriff zu beeinträchtigenDies verringert die Leistungseinbußen im Vergleich zu klassischem TCP, wenn die Verschlüsselung aktiviert ist.

Anforderungen und Methoden zur Aktivierung der SMB-Verschlüsselung

Bevor Sie voreilig die Verschlüsselung für alle gemeinsam genutzten Ressourcen aktivieren, sollten Sie einige Dinge überprüfen. Grundvoraussetzungen. Um Überraschungen bei Bestandskunden oder ungewöhnlichen Anwendungen zu vermeiden, hier die Liste:

Erstens: Haben Sie einen Kompatible Version von Windows oder Windows Server mit SMB 3.0 oder höher. Und dass dieses Protokoll sowohl auf Client- als auch auf Serverseite aktiviert ist. Zusätzlich benötigen Sie auf beiden Seiten Administratorrechte (oder gleichwertige Berechtigungen), um die Konfiguration zu ändern.

Die Verschlüsselung kann aktiviert werden. über grafische Benutzeroberfläche mit dem Windows Admin Center, über Powershell oder indem Anforderungen an den Client mittels des sogenannten „UNC-Schutzes“ erzwungen werden, der es ermöglicht, die Verschlüsselung auch dann zu erzwingen, wenn der Server diese nicht standardmäßig konfiguriert hat.

Wenn Sie die Verschlüsselung auf einem Server oder einer gemeinsam genutzten Ressource aktivieren, wird standardmäßig nur die SMB-Clients 3.0, 3.02 und 3.1.1 Sie können eine Verbindung herstellen. Dies ist eine bewusste Maßnahme, um sicherzustellen, dass alle Clients, die auf diese Ressource zugreifen, dies verschlüsselt tun. Ältere Clients oder solche ohne SMB 3.x-Unterstützung werden abgewiesen, sofern Sie die Konfiguration nicht anpassen.

Wenn Ihre Umgebung ältere Systeme umfasst, die SMB 3.x nicht unterstützen, können Sie die Ablehnung unverschlüsselter Zugriffe mithilfe von PowerShell und der entsprechenden Eigenschaft deaktivieren. Unverschlüsselten Zugriff ablehnen vom SMB-Server. Dies senkt die Sicherheitsanforderungen, daher ist es ratsam, den Datenverkehr einzuschränken.

SMB

So aktivieren Sie die SMB-Verschlüsselung: Admin Center, PowerShell und UNC-Schutz

In vielen Fällen ist die bequemste Art der Verwaltung eines modernen Dateiservers die Windows Admin CenterÜber die Weboberfläche können Sie die Verschlüsselung sowohl auf Serverebene als auch für bestimmte gemeinsam genutzte Ressourcen aktivieren, ohne die Sache mit Befehlen zu verkomplizieren.

Wählen Sie für eine bestimmte gemeinsam genutzte Ressource einfach die entsprechende Option aus. Name der Aktien Aktivieren Sie im Tab „Dateifreigabe“ die Option zur SMB-Verschlüsselung. Um die Verschlüsselung auf dem gesamten Server zu erzwingen, können Sie in den Dateiservereinstellungen die SMB-3-Verschlüsselung für alle Clients als obligatorisch festlegen und Verbindungen ohne diese Unterstützung ablehnen.

Wenn Sie die Befehlszeile bevorzugen, bietet PowerShell übersichtliche Cmdlets wie zum Beispiel: Set-SmbShare, Set-SmbServerConfiguration o Neu-SmbShare Ressourcen mit von Anfang an aktivierter Verschlüsselung zu erstellen und zu konfigurieren sowie Befehle zum Zuordnen von Laufwerken, die Datenschutz erfordern (-RequirePrivacysowohl von PowerShell als auch von CMD mit NET USE ... /REQUIREPRIVACY.

La UNC-Schutz Es fügt eine weitere Sicherheitsebene hinzu. Dadurch kann der Client so konfiguriert werden, dass er nur verschlüsselte Verbindungen zu bestimmten UNC-Pfaden akzeptiert, selbst wenn der Server standardmäßig keine Verschlüsselung erfordert. Dies ist besonders nützlich, um vor Abfangangriffen in nicht vertrauenswürdigen Netzwerken zu schützen und die Vertraulichkeit für Unternehmenskunden zu gewährleisten.

Bei der Implementierung von Verschlüsselung muss das Vorhandensein von WAN-Beschleuniger oder Zwischengeräte im Netzwerk, die auf die Anzeige von Inhalten im Klartext angewiesen sind. SMB-Verschlüsselung kann deren Funktion beeinträchtigen und zu Zugriffs- oder Leistungsproblemen führen.

Integrität vor der Authentifizierung und moderne Signatur in SMB 3.x

Um die Sicherheit gegen Protokollverschlechterungsangriffe oder Verhandlungsmanipulationen weiter zu erhöhen, beinhaltet SMB 3.1.1 die sogenannte Integrität der vorherigen AuthentifizierungDiese Funktion berechnet kryptografische Hashwerte der Sitzungsverhandlungs- und Konfigurationsnachrichten. Anschließend verwendet sie dieses Ergebnis, um Sitzungs- und Signaturschlüssel abzuleiten.

Dank dieses Mechanismus können Client und Server erkennen, ob jemand Manipulationen vornimmt Die Verbindung wird beispielsweise genutzt, um ein Downgrade auf unverschlüsseltes SMB 2.x zu erzwingen. Wird eine Inkonsistenz in diesen Hashwerten festgestellt, wird die Sitzung sofort geschlossen.

Neben der Verschlüsselung entwickelt sich SMB auch im Bereich der NachrichtensignaturSMB 2.0 nutzte HMAC-SHA256, während SMB 3.0/3.02 AES-CMAC einführte, welches besser für moderne CPUs mit AES-Unterstützung optimiert ist. Mit Windows Server 2022 und Windows 11 wurde AES-128-GMAC als Signaturalgorithmus in SMB 3.1.1 integriert, was in vielen Anwendungsfällen eine verbesserte Leistung bietet.

Der praktische Vorteil ist, dass man jetzt kann separate Signatur und Verschlüsselung. Falls Sie jemals lediglich eine Signatur (Integrität) ohne Verschlüsselung benötigen, ermöglicht SMB dies mit modernen Algorithmen. Dadurch erhalten Sie die Flexibilität, sowohl Prüfungs- als auch Leistungsanforderungen zu erfüllen.

Um diese Funktionen optimal zu nutzen und zu verhindern, dass ein Angreifer die Verwendung von SMB 1.0 erzwingt, ist es eine gute Idee SMBv1 deaktivieren vollständig auf modernen Servern und Clients, etwas, das Microsoft in den neueren Versionen von Windows und Windows Server bereits standardmäßig tut.

Warum Sie SMB 1.0 so schnell wie möglich deaktivieren sollten

SMB 1.0 ist ein Protokoll veraltet, ineffizient und mit gravierenden Sicherheitslücken Hierbei handelt es sich um bekannte Sicherheitslücken, die in den letzten Jahren von Ransomware und anderen Schadprogrammen ausgenutzt wurden. Daher wird es ab bestimmten Versionen von Windows 10 und Windows Server nicht mehr standardmäßig installiert.

Falls Sie in Ihrer Umgebung noch Server oder Computer mit aktiviertem SMB 1.0 haben, ist der erste sinnvolle Schritt folgender: planen Sie seine Entsorgung. Aktuell wird empfohlen, SMB sowohl auf Servern als auch auf Clients zu deaktivieren. Es wird empfohlen, nur SMB 2.x und 3.x beizubehalten. Dadurch wird die Anzahl der Zugriffe drastisch reduziert. Angriffsfläche und verhindert, dass eine legitime Verbindung auf eine unverschlüsselte oder unsichere Version herabgestuft wird.

In Windows-Umgebungen lässt sich SMB 1.0 mithilfe optionaler Systemfunktionen, PowerShell oder Remote-Verwaltungstools verwalten. Es empfiehlt sich, alle potenziell abhängigen Dienste sorgfältig zu dokumentieren, um spätere Probleme zu vermeiden.

In einigen wenigen Ausnahmefällen (z. B. bei älteren Aktivierungszentren) bleibt Ihnen möglicherweise keine andere Wahl, als SMB 1.0 in einem isolierten und streng kontrollierten Netzwerksegment zu betreiben. Dies sind jedoch sehr spezifische Ausnahmen, die mit erheblichen Sicherheitsrisiken verbunden sind.

Synchronisierung und Migration großer Datenmengen von KMU ohne Unterbrechung des Dienstes

Eine der nervigsten Herausforderungen im wirklichen Leben ist die Migration oder synchronisieren große SMB-Verzeichnisse (Wir sprechen hier von 10 TB oder mehr) von einem Server auf einen anderen oder auf eine andere Plattform, ohne dass das Unternehmen mehrere Tage lang nicht auf gemeinsam genutzte Ressourcen zugreifen kann.

Die klassische Vorgehensweise ist üblicherweise folgende:

  1. Deaktivieren Sie das Schreiben auf die alte Freigabe.
  2. Verwenden Sie ein Tool wie robocopy Alle Inhalte unter Beibehaltung der NTFS-Berechtigungen kopieren.
  3. Konfigurieren Sie die neuen Freigaben auf dem Zielserver.
  4. Aktualisiere die Einheitenzuordnungen.
  5. Bitten Sie die Benutzer, ihre Computer neu zu starten.

Das funktioniert zwar, hat aber den Nachteil, dass während des langen Kopiervorgangs niemand Änderungen am Quellcode speichern kann.

Bei sehr großen Datenmengen und langsamen Festplatten kann das erste Kopieren einige Zeit dauern mehr als ein WochenendeDies hat direkte Auswirkungen auf das Unternehmen. Wenn Sie die Freigabe während des Kopiervorgangs in Verwendung lassen, riskieren Sie, Änderungen, Löschungen oder Dateiverschiebungen zu verlieren, die während des Migrationszeitraums vorgenommen wurden.

In diesen Fällen besteht die Strategie darin, Folgendes zu kombinieren: mehrere Durchläufe mit Robocopy (Zuerst wird eine vollständige Kopie erstellt, dann werden nur die Änderungen übernommen.) Anschließend wird ein sehr kurzes Zeitfenster für die finale Synchronisierung eingerichtet, in dem Schreibvorgänge deaktiviert sind. Danach erfolgt eine inkrementelle Synchronisierung mit /MIR oder einem ähnlichen Befehl, und der Zugriff wird auf den neuen Server umgeleitet. Für VHDX-Dateien und andere sehr große Dateien kann es erforderlich sein, spezifische Zeitfenster einzuplanen. Oder sogar eine Replikation auf Speicherebene, sofern das Speichersystem dies zulässt.

Eine andere Alternative ist in Stücken migrierenDabei werden große Ordner in mehreren Phasen verschoben und die Änderungen der Pfade den Benutzern klar kommuniziert. Der Nachteil ist, dass dies die Benutzerfreundlichkeit oft beeinträchtigt.

ACL in SMB

Berechtigungen und ACLs in SMB für FSLogix, Azure Files und Azure NetApp Files

In modernen Desktop- oder Anwendungsvirtualisierungsumgebungen, wie sie beispielsweise verwendet werden FSLogixBenutzerprofile werden in VHD(X)-Containern auf SMB-Ressourcen gespeichert. Diese Ressourcen können sich auf herkömmlichen Dateiservern befinden. Azure-Dateien, in Azure NetApp Files oder sogar über Gateways wie AWS Storage Gateway.

FSLogix verwendet UNC-Pfade (VHDLocations oder CCDLocations), um die Profil- und Office-Container zu lokalisieren. Die Sicherheit dieser Daten beruht auf zwei Ebenen:

  • Die NTFS-Berechtigungen (Windows-ACL) in der gemeinsam genutzten Ressource.
  • Die Berechtigungen auf Freigabeebene den Entra ID-Identitäten in Azure Files zugewiesen.

In Azure Files wird dringend empfohlen, eine Konfiguration vorzunehmen. Standardberechtigung für freigegebene Ressourcen Die Berechtigung „SMB-Freigabe-Mitarbeiter für Speicherdateidaten“ wird allen authentifizierten Identitäten zugewiesen. Dies ist für Lese- und Schreibzugriff unerlässlich. Zur Verwaltung detaillierter Zugriffssteuerungslisten (ACLs) erhalten bestimmte Benutzer oder Gruppen die Rolle „Mitarbeiter“ mit erweiterten Berechtigungen für die Freigabe.

Die empfohlene Vorgehensweise für diese Szenarien ist die Verwendung dessen, was man nutzerbasierter ZugriffJeder Benutzer muss über einen eigenen Profilordner oder eine eigene VHD(X)-Datei verfügen. Domänenadministratoren und Supportgruppen hingegen haben die volle Kontrolle über Wartungsaufgaben.

Zur Konfiguration werden typische ACLs eingerichtet, bei denen Domänenadministratorengruppe Der CREATOR OWNER hat die volle Kontrolle über die gesamte Struktur, verfügt über Änderungsberechtigungen für Unterordner und Dateien, und die Domänenbenutzergruppe verfügt nur über Änderungsberechtigungen für den Stammordner, damit dessen Verzeichnisse erstellt werden können.

Windows-ACLs anwenden: icacls, Explorer und SIDDirSDDL in FSLogix

Unter Windows können Sie das Befehlszeilentool verwenden. icacls Um empfohlene NTFS-Berechtigungen massenhaft auf eine freigegebene Ressource anzuwenden, einschließlich des Stammverzeichnisses und aller seiner Unterverzeichnisse und Dateien, was sehr nützlich ist, wenn Freigaben für FSLogix, Roaming-Profile oder Mehrbenutzer-Repositories vorbereitet werden.

Mit icacls können Sie beispielsweise Vererbung deaktivieren Gewähren Sie im Stammverzeichnis der freigegebenen Ressource spezielle Berechtigungen für CREATOR OWNER, Domänenadministratoren und Domänenbenutzer und stellen Sie sicher, dass jeder neu erstellte Ordner diese Berechtigungsstruktur korrekt erbt.

Wenn Sie eine grafische Umgebung bevorzugen, dann die selbst Windows File Explorer Es ermöglicht Ihnen, erweiterte Berechtigungen zu bearbeiten: Vererbung deaktivieren, Sicherheitsprinzipale hinzufügen (wie z. B. CREATOR OWNER, Domänengruppen usw.), definieren, worauf sie sich beziehen (nur dieser Ordner, Unterordner und Dateien usw.) und Berechtigungsstufen wie Ändern oder Vollzugriff festlegen.

FSLogix bietet außerdem eine interessante Option namens SIDDirSDDLDiese Konfiguration akzeptiert eine SDDL-Zeichenfolge, die die ACLs definiert, die beim Erstellen des Benutzerverzeichnisses automatisch angewendet werden. Um diese Zeichenfolge zu generieren, wird üblicherweise ein Testordner erstellt. In diesem Ordner werden die Berechtigungen an die gewünschte Struktur angepasst, die SDDL-Zeichenfolge mit PowerShell extrahiert (Get-Acl | Select SDDL) und anschließend die Abschnitte „Besitzer“ und „Ersteller-Besitzer“ so angepasst, dass sie dynamisch die SID des Benutzers verwenden.

Sobald SIDDirSDDL in den FSLogix-Richtlinien konfiguriert ist, wird jedes Mal, wenn sich ein Benutzer zum ersten Mal anmeldet, sein Verzeichnis erstellt. die genauen Berechtigungen Die Definitionen sind in der SDDL enthalten. Dadurch entfällt die nachträgliche Korrektur der ACLs oder die Ausführung zusätzlicher Skripte.

Cloud-basierte KMUs und Dateigateways: Azure, AWS und hybride Speicherlösungen

Neben dem klassischen lokalen Dateiserver nutzen viele Organisationen heutzutage auch andere Technologien. Cloud-Speicherdienste für kleine und mittlere Unternehmen wie beispielsweise Azure Files, Azure NetApp Files oder Hybridlösungen, die SMB am Netzwerkrand bereitstellen und Daten in S3 oder anderen Backends speichern, wie beispielsweise AWS Storage Gateway im Dateigateway-Modus.

In Azure Files sieht der typische Arbeitsablauf wie folgt aus:

  1. Erstellen Sie eine SMB-Dateifreigaberessource.
  2. Verknüpfen Sie es mit einer Identitätsquelle (traditionelles Active Directory, Azure AD Domain Services usw.).
  3. Weisen Sie Benutzern oder Gruppen mit Entra-ID Freigabeberechtigungen zu.
  4. Konfigurieren von NTFS-ACLs von einem in die Domäne eingebundenen Computer aus.

In Azure NetApp Files sind die Schritte wie folgt:

  1. Erstellen Sie ein NetApp-Konto.
  2. Standorte definieren und Design für AD DS erstellen.
  3. Erstellen Sie spezifische Kapazitäts- und Volumengruppen für kleine und mittlere Unternehmen (KMU).
  4. Ausschließlich tätig mit Windows-Berechtigungen Als wäre es ein klassischer Dateiserver, jedoch mit Unterstützung eines leistungsstarken Cloud-Speichers.

Mit AWS ist die Konsole von Speicher-Gateway Es ermöglicht Ihnen, SMB-Dateifreigaben zu erstellen, die auf S3-Buckets unterstützt werden, indem Sie das Gateway, den Bucket oder Zugriffspunkt, die Speicherklasse, die IAM-Rolle und Optionen wie die Verwendung von PrivateLink, Verschlüsselungstypen oder die MIME-Typerkennung definieren.

In diesen hybriden Umgebungen SMB- und NTFS-ACLs SMBs bleiben der grundlegende Mechanismus zur Steuerung, wer welche Dateien mit welchen Berechtigungen einsehen kann, selbst wenn Objekt-Buckets oder Cloud-Volumes im Hintergrund verwendet werden. Es ist besonders wichtig, die SMB-Sicherheit mit IAM-Rollen oder deren Äquivalenten abzustimmen, um Inkonsistenzen zu vermeiden.

Durch die Kombination all dieser Komponenten ist es möglich, eine Dateisynchronisierungsinfrastruktur aufzubauen. robustaSicher und mit angemessener Leistung. Selbst bei der Verarbeitung großer Datenmengen und komplexer hybrider Umgebungen.

Dateien zwischen PCs übertragen: Anleitung mit Netzwerkkabel und WLAN
Verwandte Artikel:
Dateien zwischen PCs übertragen: Anleitung mit Netzwerkkabel und WLAN