简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 AES 加密为基于 Kerberos 的通信配置强大的安全性

提供者 netapp-thomi

为了通过基于 Kerberos 的通信实现最强的安全性,您可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。默认情况下,在 SVM 上创建 SMB 服务器时, AES 加密处于禁用状态。您必须启用它,才能利用高级加密标准( Advanced Encryption Standard , AES )加密提供的强大安全性。

在 SVM 上创建 SMB 服务器期间以及 SMB 会话设置阶段期间,会使用 SMB 的 Kerberos 相关通信。SMB 服务器支持以下 Kerberos 通信加密类型:

  • RC4-HMAC

  • DES

  • AES 128

  • AES 256

如果要对 Kerberos 通信使用最高安全加密类型,则应在 SVM 上为 Kerberos 通信启用 AES 加密。

注

SMB 3.0 提供了 Intel AES 新指令( Intel AES NI ),可改进 AES 算法并加快受支持处理器系列的数据加密速度。从 SMB 3.1.1 开始, AES-128-GCM 将 AES-128-CCM 替换为 SMB 加密使用的哈希算法。

创建 SMB 服务器时,域控制器会在 Active Directory 中创建计算机帐户。此时, KDC 将了解特定计算机帐户的加密功能。随后,系统会选择一种特定的加密类型来加密客户端在身份验证期间向服务器提供的服务单。