Configurar segurança forte para comunicação baseada no Kerberos usando criptografia AES
Para uma segurança mais forte com comunicação baseada no Kerberos, é possível ativar a criptografia AES-256 e AES-128 no servidor SMB. Por padrão, quando você cria um servidor SMB no SVM, a criptografia AES (Advanced Encryption Standard) é desativada. Você deve habilitá-lo para aproveitar a segurança forte fornecida pela criptografia AES.
A comunicação relacionada ao Kerberos para SMB é usada durante a criação do servidor SMB na SVM, bem como durante a fase de configuração da sessão SMB. O servidor SMB suporta os seguintes tipos de criptografia para comunicação Kerberos:
-
AES 256
-
AES 128
-
DES
-
RC4-HMAC
Se você quiser usar o tipo de criptografia de segurança mais alto para comunicação Kerberos, ative a criptografia AES para comunicação Kerberos no SVM.
Quando o servidor SMB é criado, o controlador de domínio cria uma conta de máquina de computador no ative Directory. Neste momento, o KDC se torna ciente dos recursos de criptografia da conta de máquina específica. Posteriormente, um tipo de criptografia específico é selecionado para criptografar o ticket de serviço que o cliente apresenta ao servidor durante a autenticação.
A partir do ONTAP 9.12,1, você pode especificar quais tipos de criptografia anunciar no KDC do ative Directory (AD). Pode utilizar a -advertised-enc-types
opção para ativar os tipos de encriptação recomendados e pode utilizá-la para desativar os tipos de encriptação mais fracos. Aprenda a "Ative e desative os tipos de criptografia para comunicação baseada no Kerberos".
As novas instruções Intel AES (Intel AES NI) estão disponíveis no SMB 3,0, melhorando o algoritmo AES e acelerando a criptografia de dados com famílias de processadores suportadas.começando com SMB 3,1.1, AES-128-GCM substitui AES-128-CCM como o algoritmo hash usado pela criptografia SMB. |
Modificação das configurações de segurança Kerberos do servidor CIFS