AES暗号化を使用したKerberosベースの通信の強力なセキュリティ設定
変更を提案
PDF
Kerberosベースの通信による最大限のセキュリティを確保するには、SMBサーバでAES-256暗号化とAES-128暗号化を有効にします。デフォルトでは、SVMでのSMBサーバの作成時にAdvanced Encryption Standard(AES)暗号化は無効になっています。AES暗号化が提供する強固なセキュリティを活用するには、AES暗号化を有効にする必要があります。
SMBのKerberos関連の通信は、SVMでSMBサーバを作成する際や、SMBセッションのセットアップフェーズで使用されます。SMBサーバでは、Kerberos通信で次の暗号化タイプがサポートされます。
-
AES 256
-
AES 128
-
デス
-
RC4-HMAC
Kerberos通信で最高のセキュリティを持つ暗号化タイプを使用する場合は、SVMのKerberos通信でAES暗号化を有効にする必要があります。
SMBサーバを作成すると、ドメインコントローラによってActive Directoryにコンピュータマシンアカウントが作成されます。この時点で、KDCは特定のマシンアカウントの暗号化機能を認識します。その後、認証時にクライアントがサーバに提示するサービスチケットを暗号化するために、特定の暗号化タイプが選択されます。
ONTAP 9 .12.1以降では、Active Directory(AD)KDCにアドバタイズする暗号化タイプを指定できます。オプションを使用すると -advertised-enc-types、推奨される暗号化タイプを有効にしたり、弱い暗号化タイプを無効にしたりできます。方法をご確認ください"Kerberosベースの通信の暗号化タイプを有効または無効にします"。
|
SMB 3.0で使用できるIntel AES New Instructions(Intel AES NI)は、AESアルゴリズムを強化し、サポートされているプロセッサファミリーでのデータ暗号化を高速化します。SMB 3.1.1以降では、SMB暗号化で使用されるハッシュアルゴリズムとしてAES-128-CCMに代わってAES-128-GCMが使用されます。 |