关于smb加密

分享下小案例

环境：Windows Server 2012 R2文件服务器

客户端：Windows 7+10

问题描述：在服务器上设置共享文件夹，一开始用Win10客户端测试共享文件夹，正常，后续没继续测试Win7是否正常可以访问，后来开放给用户使用，发现Win7用户无论怎么输入账号和密码，都显示拒绝访问，权限正常。
导致问题的关键：共享文件夹启动加密数据
在2012中加密数据访问是加密数据来保护数据传输过程的安全性，以防止篡改和攻击，用的加密算法是AES-128-CCM。所以旧版本SMB2是用HMAC-SHA256根本就不支持。

解决方法：

方法1.去除加密数据访问，即可。（如果不考虑加密问题，则去除选择即可）

方法2.如果考虑加密问题，又想让SMBV2版本的客户端能够正常访问，则在服务器上Powershell输入：Get-SmbServerConfiguration
RejectUnencryptedAccess参数是如果客户端尝试链接到加密共享文件夹，不支持加密算法的客户端是否被拒绝访问。默认值是True

我们可以将其值配置为false

在powershell 输入：Set-SmbServerConfiguration -RejectUnencryptedAccess $False
PS:方法2的命令是对整个SMBServer配置的，此方法一般是作为过渡用的，如果客户端版本都是SMB 3.1，建议把RejectUnencryptedAccess配置为True
https://blog.csdn.net/lionzl/article/details/100538735



Windows Server 2012或Windows 8中的SMB连接上出现系统错误2148073478，扩展错误或无效签名错误消息
当您使用具有UNC路径的DIR命令时：

签名无效

当您运行NET USE命令时：

发生系统错误2148073478

当您尝试浏览到UNC路径时：

发生扩展错误
您可以在Windows Server 2012或Windows 8客户端上使用PowerShell启用签名。为此，请运行以下命令
Set-SmbClientConfiguration -RequireSecuritySignature $true
在客户端上禁用安全协商

您可以通过在Windows Server 2012或Windows 8客户端上使用PowerShell禁用“安全协商”选项。为此，请运行以下命令：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 0 -Force
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/error-messages-smb-connections