在 SMB 服务器上针对通过 SMB 进行的数据传输配置必要的 SMB 加密
针对通过 SMB 进行的数据传输进行 SMB 加密是提高安全性的一种方法,您可在 SMB 服务器上启用或禁用该加密。您还可通过共享属性设置,对单个共享配置所需的 SMB 加密设置。
默认情况下,当在存储虚拟机(SVM)上创建 SMB 服务器时,SMB 加密会被禁用。必须启用它才能利用 SMB 加密提供的增强安全性。
要创建加密的 SMB 会话,SMB 客户端必须支持 SMB 加密。从 Windows Server 2012 和 Windows 8 开始,Windows 客户端均支持 SMB 加密。
SVM 上的 SMB 加密通过两个设置来控制:
用于在 SVM 上启用该功能的 SMB 服务器安全选项
用于为共享逐一配置 SMB 加密设置的 SMB 共享属性
您可决定是对 SVM 上的所有数据访问要求加密,还是仅对所选共享中的数据访问要求进行 SMB 加密。SVM 层面的设置取代共享层面的设置。
有效 SMB 加密配置取决于两个设置的组合,下表对其进行了说明:
| SMB 服务器 SMB 加密已启用 | 共享加密数据设置已启用 | 服务器侧加密行为 |
|---|---|---|
| True | False | 对 SVM 中的所有共享已启用服务器层面的加密。通过此配置,会对整个 SMB 会话加密。 |
| True | True | 无论是否启用共享层面加密,对 SVM 中的所有共享已启用服务器层面的加密。通过此配置,会对整个 SMB 会话加密。 |
| False | True | 对特定共享已启用共享层面的加密。通过此配置,可从树形连接进行加密。 |
| False | False | 未启用加密。 |
不支持加密的 SMB 客户端将无法连接到需要加密的 SMB 服务器或共享。