系统自带工具的高效安全方案! Win11文件共享连接加密原理与配置指南
脚本之家
在 Windows 11 中,局域网文件共享和打印机共享主要依赖 SMB(Server Message Block)协议来实现。SMB 协议又包含 3 个关键环节:认证(比如用户名和密码)、数据传输(发送文件内容)和加密(防止传输过程被窃 听)。
而「文件共享连接」的加密级别,是 Windows 11 中一个非常核心的安全设置。正确配置不仅能防止数据泄露,还能在满足安全策略的前提下,兼顾老旧设备的兼容性。
NTLM Session Security 层简介
「文件共享连接」的加密级别,作用在「Windows 文件共享加密栈」中的 NTLM Session Security 层。我们先来厘清一下它的作用范围和原理。
Windows 文件共享加密栈
1、背景
- NTLM(NT LAN Manager)是微软早期的一套认证协议,用于在网络中完成用户身份验证。
- 认证成功后,NTLM 会生成一个 Session Key(会话密钥),用来保护后续的通信过程。
- NTLM Session Security 层,正是基于这个「会话密钥」来工作的。
2、功能
- 消息签名(Signing):使用会话密钥计算 MAC,确保 SMB 消息没有被篡改。
- 消息加密(Sealing):使用会话密钥加密 SMB 消息,防止数据被窃取。
3、加密方式
- 算法:RC4 流加密
- 密钥长度:
- 40 位、56 位(受早期美国出口管制限制)
- 128 位(完全强度)
简单来说,NTLM Session Security 层是 NTLM 认证的一个扩展机制,提供 RC4 封装(40/56/128 位),属于较老的技术;而 SMB 3.x 加密层则使用 AES-128-CCM/GCM,是 SMB 协议中更现代的加密方式。这两者相互独立,也并不彼此依赖。
在 Windows 11 中,系统默认会优先使用 SMB 3.1.1 的 AES 加密,这是真正意义上的安全加密方式。NTLM Session Security 主要用于兼容模式,更多是为了适配老旧设备或解决历史遗留问题。
如何调整「文件共享连接」加密级别
虽然这个设置在 Windows 11 中略显过时,但在一些场景下,手动调整它仍然很有必要:
- 它能让你在局域网或跨站点连接时,根据实际需求,强制使用更高强度的加密,从而降低数据泄露的风险,满足企业数据保护规范。
- 如果你的网络中没有 Windows XP 或老旧 NAS 之类的设备,建议直接启用 128 位加密(客户端和服务器两端都需要设置)。
1、通过「设置」应用调整
1)按Windows + I快捷键打开「设置」,进入「网络和 Internet」>「高级网络设置」。
2)在「更多设置」区域中,选择「高级共享设置」。
3)展开「所有网络」下拉菜单,然后在「文件共享连接」下拉菜单中选择:
- 128 加密(推荐)
- 40 或 56 位加密
设置「文件共享连接」加密级别
2、通过组策略
1)按Windows + R快捷键打开「运行」对话框,输入gpedit.msc并回车,打开「本地组策略编辑器」。
2)依次展开「计算机配置」>「Windows 设置」>「安全设置」>「本地策略」>「安全选项」。
3)找到以下 2 项策略,并勾选「要求 128 位加密」:
- 网络安全:基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全
- 网络安全:基于 NTLM SSP 的(包括安全 RPC)客户端的最小会话安全
设置 NTLM SSP 最小会话安全策略
4重启电脑,让配置生效。
3、通过注册表
1)按Windows + R打开「运行」对话框,输入regedit并回车,打开注册表编辑器。
2)导航到以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3)找到名为NtlmMinClientSec(客户端)和NtlmMinServerSec(服务器端)的 DWORD (32 位) 值,并将十六进制值设置为:
20000000:启用 128 位加密00000000:启用 40 或 56 位加密
设置 NtlmMinClientSec 和 NtlmMinServerSec 注册表值
4)重启电脑,让配置生效。
现在,我们了解了 Windows 11 中「文件共享连接」加密的原理与配置方式。虽然 NTLM Session Security 属于较老的技术,但在某些兼容性场景中仍需关注。如果你的网络中没有老旧设备或系统的共享文件夹,建议启用 128 位加密,进一步提升数据保护能力。