Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Från och med Windows 11, version 24H2 och Windows Server 2025 har SMB-klienten stöd för att kräva kryptering av alla utgående SMB-anslutningar. Administratörer kan kräva att alla målservrar stöder kryptering med SMB 3.0 eller senare. I den här artikeln lär du dig hur du konfigurerar SMB-klienten så att den kräver kryptering för alla utgående anslutningar.
Kryptering av alla utgående SMB-klientanslutningar framtvingar den högsta nivån av nätverkssäkerhet och ger hanteringsparitet till SMB-signering, vilket tillåter både klient- och serverkrav. När den är aktiverad ansluter inte SMB-klienten till en SMB-server som inte stöder SMB 3.0 eller senare, eller som inte stöder SMB-kryptering. En SMB-server från tredje part kan till exempel ha stöd för SMB 3.0 men inte SMB-kryptering.
SMB-kryptering skyddar SMB-data mot avlyssningsattacker och snokande genom att erbjuda ett fullständigt skydd. SMB-klienten kan kräva kryptering per mappad enhet, genom UNC-härdning eller på en inställning per dator enligt beskrivningen i den här artikeln. SMB-servern kan också kräva SMB-kryptering per resurs eller för hela filservern. Mer information om SMB-kryptering för SMB-server och UNC Hardening finns i SMB-kryptering.
Prerequisites
Innan du kan konfigurera SMB-klienten så att den kräver kryptering behöver du:
- En SMB-klient som körs på något av följande operativsystem.
- Windows 11, version 24H2 eller senare.
- Windows Server 2025 eller senare.
- Administratörsbehörighet till datorn.
- Om du använder grupprincip på en domän behöver du behörighet att skapa eller redigera ett grupprincipobjekt (GPO) och länka det till lämplig organisationsenhet (OU).
Konfigurera SMB-krypteringsmandat med grupprincip
Du kan konfigurera SMB-klienten så att den alltid kräver kryptering oavsett server-, resurs-, UNC-härdnings- eller mappade enhetskrav. En administratör kan globalt tvinga en Windows-dator att använda SMB-kryptering (och därmed SMB 3.x) på alla anslutningar och vägra att ansluta om SMB-servern inte stöder någotdera.
Tip
SMB-kryptering har tillhörande prestanda och kompatibilitetskostnader. SMB-signering har bättre prestanda och manipuleringsskydd men ger inte skydd mot avlyssning. Att avstå från kryptering och signering ger helt bästa prestanda, men ger naturligtvis ingen säkerhet utöver anslutningsauktorisering och integritetsskydd i förväg. SMB-kryptering ersätter SMB-signering och tillhandahåller samma nivå av manipuleringsskydd. Om SMB-klienten kräver signering inaktiverar SMB-kryptering den.
Du kan konfigurera SMB-klienten så att den kräver kryptering för utgående anslutningar med hjälp av grupprincip eller PowerShell.
Så här konfigurerar du SMB-klienten så att den kräver kryptering för alla utgående anslutningar med grupprincip.
Så här konfigurerar du SMB-klienten för nödvändig kryptering till alla SMB-servrar (d.ex. för utgående anslutningar):
- Öppna Konsolen för grupprinciphantering.
- Redigera eller skapa ett grupprincipobjekt (GPO) som du vill använda.
- I konsolträdet väljer du Datorkonfiguration > Administrativa mallar > Nätverk > Lanman-arbetsstation.
- För inställningen högerklickar du på Kräv kryptering och väljer Redigera.
- Välj Aktivera och välj OK.
Om du ställer in principen på inaktiverad eller inte konfigurerad tar du bort krypteringskravet.
Important
Var försiktig när du distribuerar SMB-kryptering via hela organisationen. Äldre SMB-servrar som Windows Server 2008 R2 stöder inte SMB 3.0. Äldre SMB-servrar från tredje part kan i vissa fall ha stöd för SMB 3.0 men kanske inte stöder kryptering.