跳到主要内容

使用 AES 加密为基于 Kerberos 的通信配置增强的安全性

要利用基于 Kerberos 通信的强大安全功能,可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。默认情况下,在 SVM 上创建 SMB 服务器时,会禁用 AES 加密。必须启用才能利用高级加密标准(AES)加密提供的强大安全性。

SVM 上创建 SMB 服务器时,以及 SMB 会话的设置阶段中,将使用 SMB 的 Kerberos 相关通信。SMB 服务器支持以下几种 Kerberos 通信加密类型:

  • RC4-HMAC

  • DES

  • AES 128

  • AES 256

如果要使用安全性最高的 Kerberos 通信加密类型,应在 SVM 上启用 Kerberos 通信 AES 加密。

SMB 3.0 中支持的 Intel AES 新说明(Intel AES NI)改进了 AES 算法,并通过受支持的处理器系列加快了数据加密速度。

从 SMB 3.1.1 开始,AES-128-GCM 取代了 AES-128-CCM 成为 SMB 加密使用的哈希算法。

创建 SMB 服务器时,域控制器会在 Active Directory 中创建计算机帐户。此时,KDC 可识别特殊计算机帐户的加密功能。随后,会选择特定加密类型,为验证期间客户端向服务器提供的服务凭单加密。