日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AES 暗号化を使用して Kerberos ベースの通信のセキュリティを強化できます

寄稿者 netapp-thomi

Kerberos ベースの通信による最も強固なセキュリティを実現するために、 AES-256 暗号化と AES-128 暗号化を SMB サーバで有効にすることができます。デフォルトでは、 SVM での SMB サーバの作成時に AES 暗号化は無効になっています。Advanced Encryption Standard ( AES )暗号化が提供する強固なセキュリティを活用するには、 Advanced Encryption Standard ( AES )暗号化を有効にする必要があります。

SMB の Kerberos 関連の通信は、 SVM で SMB サーバを作成する際や、 SMB セッションの設定フェーズで使用されます。SMB サーバでは、 Kerberos 通信で次の暗号化タイプがサポートされます。

  • RC4-HMAC

  • DES (デス

  • AES 128

  • AES 256

Kerberos 通信で最高のセキュリティを持つ暗号化タイプを使用する場合は、 SVM の Kerberos 通信で AES 暗号化を有効にする必要があります。

注記

SMB 3.0 で利用可能な Intel AES New Instructions ( Intel AES NI )は AES アルゴリズムの改良版で、サポート対象のプロセッサファミリーでのデータ暗号化処理を高速化します。 SMB 3.1.1 以降では、 SMB 暗号化で使用されるハッシュアルゴリズムとして AES-128-CCM に代わって AES-128-GCM が使用されます。

SMB サーバを作成すると、ドメインコントローラによって Active Directory にコンピュータマシンアカウントが作成されます。この時点で、 KDC は特定のマシンアカウントの暗号化機能を認識するようになります。その後、認証時にクライアントがサーバに提示するサービスチケットを暗号化するために、特定の暗号化タイプが選択されます。