在 Windows 11 中，局域網(wǎng)文件共享和打印機(jī)共享主要依賴 SMB（Server Message Block）協(xié)議來實(shí)現(xiàn)。SMB 協(xié)議又包含 3 個關(guān)鍵環(huán)節(jié)：認(rèn)證（比如用戶名和密碼）、數(shù)據(jù)傳輸（發(fā)送文件內(nèi)容）和加密（防止傳輸過程被竊 聽）。

而「文件共享連接」的加密級別，是 Windows 11 中一個非常核心的安全設(shè)置。正確配置不僅能防止數(shù)據(jù)泄露，還能在滿足安全策略的前提下，兼顧老舊設(shè)備的兼容性。

NTLM Session Security 層簡介

「文件共享連接」的加密級別，作用在「Windows 文件共享加密?！怪械?NTLM Session Security 層。我們先來厘清一下它的作用范圍和原理。

Windows 文件共享加密棧

1、背景

• NTLM（NT LAN Manager）是微軟早期的一套認(rèn)證協(xié)議，用于在網(wǎng)絡(luò)中完成用戶身份驗(yàn)證。
• 認(rèn)證成功后，NTLM 會生成一個 Session Key（會話密鑰），用來保護(hù)后續(xù)的通信過程。
• NTLM Session Security 層，正是基于這個「會話密鑰」來工作的。

2、功能

• 消息簽名（Signing）：使用會話密鑰計(jì)算 MAC，確保 SMB 消息沒有被篡改。
• 消息加密（Sealing）：使用會話密鑰加密 SMB 消息，防止數(shù)據(jù)被竊取。

3、加密方式

• 算法：RC4 流加密
• 密鑰長度：
  • 40 位、56 位（受早期美國出口管制限制）
  • 128 位（完全強(qiáng)度）

簡單來說，NTLM Session Security 層是 NTLM 認(rèn)證的一個擴(kuò)展機(jī)制，提供 RC4 封裝（40/56/128 位），屬于較老的技術(shù)；而 SMB 3.x 加密層則使用 AES-128-CCM/GCM，是 SMB 協(xié)議中更現(xiàn)代的加密方式。這兩者相互獨(dú)立，也并不彼此依賴。

在 Windows 11 中，系統(tǒng)默認(rèn)會優(yōu)先使用 SMB 3.1.1 的 AES 加密，這是真正意義上的安全加密方式。NTLM Session Security 主要用于兼容模式，更多是為了適配老舊設(shè)備或解決歷史遺留問題。

推薦閱讀：Windows如何關(guān)閉共享向?qū)? Windows系統(tǒng)文件共享向?qū)У年P(guān)閉方法

如何調(diào)整「文件共享連接」加密級別

雖然這個設(shè)置在 Windows 11 中略顯過時，但在一些場景下，手動調(diào)整它仍然很有必要：

• 它能讓你在局域網(wǎng)或跨站點(diǎn)連接時，根據(jù)實(shí)際需求，強(qiáng)制使用更高強(qiáng)度的加密，從而降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，滿足企業(yè)數(shù)據(jù)保護(hù)規(guī)范。
• 如果你的網(wǎng)絡(luò)中沒有 Windows XP 或老舊 NAS 之類的設(shè)備，建議直接啟用 128 位加密（客戶端和服務(wù)器兩端都需要設(shè)置）。

1、通過「設(shè)置」應(yīng)用調(diào)整

1）按Windows + I快捷鍵打開「設(shè)置」，進(jìn)入「網(wǎng)絡(luò)和 Internet」>「高級網(wǎng)絡(luò)設(shè)置」。

2）在「更多設(shè)置」區(qū)域中，選擇「高級共享設(shè)置」。

3）展開「所有網(wǎng)絡(luò)」下拉菜單，然后在「文件共享連接」下拉菜單中選擇：

• 128 加密（推薦）
• 40 或 56 位加密

設(shè)置「文件共享連接」加密級別

2、通過組策略

1）按Windows + R快捷鍵打開「運(yùn)行」對話框，輸入gpedit.msc并回車，打開「本地組策略編輯器」。

2）依次展開「計(jì)算機(jī)配置」>「Windows 設(shè)置」>「安全設(shè)置」>「本地策略」>「安全選項(xiàng)」。

3）找到以下 2 項(xiàng)策略，并勾選「要求 128 位加密」：

• 網(wǎng)絡(luò)安全：基于 NTLM SSP 的（包括安全 RPC）服務(wù)器的最小會話安全
• 網(wǎng)絡(luò)安全：基于 NTLM SSP 的（包括安全 RPC）客戶端的最小會話安全

設(shè)置 NTLM SSP 最小會話安全策略

4重啟電腦，讓配置生效。

3、通過注冊表

1）按Windows + R打開「運(yùn)行」對話框，輸入regedit并回車，打開注冊表編輯器。

2）導(dǎo)航到以下位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3）找到名為NtlmMinClientSec（客戶端）和NtlmMinServerSec（服務(wù)器端）的 DWORD (32 位) 值，并將十六進(jìn)制值設(shè)置為：

• 20000000：啟用 128 位加密
• 00000000：啟用 40 或 56 位加密

設(shè)置 NtlmMinClientSec 和 NtlmMinServerSec 注冊表值

4）重啟電腦，讓配置生效。

現(xiàn)在，我們了解了 Windows 11 中「文件共享連接」加密的原理與配置方式。雖然 NTLM Session Security 屬于較老的技術(shù)，但在某些兼容性場景中仍需關(guān)注。如果你的網(wǎng)絡(luò)中沒有老舊設(shè)備或系統(tǒng)的共享文件夾，建議啟用 128 位加密，進(jìn)一步提升數(shù)據(jù)保護(hù)能力。

推薦閱讀：輕松玩轉(zhuǎn)文件互傳 ! Win11就近共享使用指南

最新評論