使用 AES 加密为基于 Kerberos 的通信配置增强的安全性
要利用基于 Kerberos 通信的强大安全功能,可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。默认情况下,在 SVM 上创建 SMB 服务器时,会禁用 AES 加密。必须启用才能利用高级加密标准(AES)加密提供的强大安全性。
在 SVM 上创建 SMB 服务器时,以及 SMB 会话的设置阶段中,将使用 SMB 的 Kerberos 相关通信。SMB 服务器支持以下几种 Kerberos 通信加密类型:
RC4-HMAC
DES
AES 128
AES 256
如果要使用安全性最高的 Kerberos 通信加密类型,应在 SVM 上启用 Kerberos 通信 AES 加密。
注
SMB 3.0 中支持的 Intel AES 新说明(Intel AES NI)改进了 AES 算法,并通过受支持的处理器系列加快了数据加密速度。
从 SMB 3.1.1 开始,AES-128-GCM 取代了 AES-128-CCM 成为 SMB 加密使用的哈希算法。
创建 SMB 服务器时,域控制器会在 Active Directory 中创建计算机帐户。此时,KDC 可识别特殊计算机帐户的加密功能。随后,会选择特定加密类型,为验证期间客户端向服务器提供的服务凭单加密。
提供反馈