使用 AES 加密为基于 Kerberos 的通信配置强大的安全性

为了实现基于 Kerberos 的通信最强的安全性,您可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。默认情况下,当您在 SVM 上创建 SMB 服务器时,AES 加密已禁用。您必须启用 AES 加密才能利用它提供的强大安全性。

SVM 上创建 SMB 服务器期间以及 SMB 会话设置阶段期间,将使用 SMB 的与 Kerberos 相关的通信。SMB 服务器支持以下 Kerberos 通信加密类型:

如果要对 Kerberos 通信使用最高安全性加密类型,则应为 SVM 上的 Kerberos 通信启用 AES 加密。

注:Intel AES 新指令( Intel AES NI )在 SMB 3.0 中提供、改进了 AES 算法并加快了支持的处理器系列的数据加密速度。

从 SMB 3.1.1 开始、 AES-128-GCM 将 AES-128-CCM 替换为 SMB 加密使用的哈希算法。

创建 SMB 服务器时,域控制器在 Active Directory 中创建计算机机器帐户。此时,KDC 了解特定机器帐户的加密功能。随后,选择特定加密类型以加密客户端在身份验证期间呈现给服务器的服务单。