Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用AES加密來設定Kerberos通訊的強大安全性

貢獻者

為了以Kerberos為基礎的通訊提供最強大的安全性、您可以在SMB伺服器上啟用AES-256和AES-128加密。根據預設、當您在SVM上建立SMB伺服器時、會停用進階加密標準(AES)加密。您必須讓IT能夠充分利用AES加密所提供的強大安全性。

SMB的Kerberos相關通訊是在SVM上建立SMB伺服器期間、以及SMB工作階段設定階段期間使用。SMB伺服器支援下列Kerberos通訊加密類型:

  • AES 256

  • AES 128

  • RC4-HMAC

如果您想要使用最高的安全性加密類型進行Kerberos通訊、您應該在SVM上啟用AES加密來進行Kerberos通訊。

建立SMB伺服器時、網域控制器會在Active Directory中建立電腦帳戶。此時、Kdc會得知特定機器帳戶的加密功能。之後、會選取特定的加密類型來加密用戶端在驗證期間向伺服器顯示的服務票證。

從ONTAP 《支援資料》9.12.1開始、您可以指定要向Active Directory(AD)kdc通告的加密類型。您可以使用 -advertised-enc-types 可啟用建議加密類型的選項、您也可以使用此選項來停用較弱的加密類型。瞭解操作方法 "啟用和停用Kerberos型通訊的加密類型"

註

SMB 3.0提供Intel AES新指令(Intel AES NI)、可改善AES演算法、並以支援的處理器系列產品加速資料加密。從SMB 3.3.1開始、AES-120-GCM取代AES-120-CCMs做為SMB加密所使用的雜湊演算法。