在 Windows Server 2022 Azure Edition 和 Windows Server Insider (預覽) 中設定 SMB over QUIC 用戶端存取控制
重要
Windows Insider 和 Windows Server Insider 版本都處於 PREVIEW 階段。 此資訊與一個預先發行的產品相關,可能在正式發布之前經過大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
SMB over QUIC 用戶端存取控制可讓您限制哪些用戶端可以存取 SMB over QUIC 伺服器。 用戶端存取控制為連線到檔案伺服器的裝置,建立允許清單和封鎖清單。 用戶端存取控制為組織提供更多保護,無需變更建立 SMB 連線時使用的驗證,也不會改變最終使用者體驗。
本文介紹如何使用 PowerShell 在 Windows Server 2022 Datacenter: Azure Edition 上為 SMB over QUIC 設定用戶端存取控制。 若要按照指示進行,您必須安裝 3 月更新 KB5035853 或 KB5035857、執行最近的 Windows 11 測試人員組建或 Windows Server 測試人員組建。
若要深入了解設定 SMB over QUIC,請參閱 SMB over QUIC。
用戶端存取控制的運作方式
用戶端存取控制檢查連線到伺服器的用戶端是否使用已知的用戶端憑證,或具有由共用根憑證所核發的憑證。 系統管理員會將此憑證核發至用戶端,並將雜湊值新增至伺服器維護的允許清單中。 當用戶端嘗試連線到伺服器時,伺服器會比較用戶端憑證與允許清單。 如果憑證有效,伺服器憑證會透過 UDP 連接埠 443 建立 TLS 1.3 加密通道,並授予用戶端對共用的存取權。 用戶端存取控制也支援具有主體別名的憑證。
您也可以將 SMB over QUIC 設定為封鎖存取,方法是撤銷憑證或明確拒絕特定裝置存取。
必要條件
設定用戶端存取控制之前,您需要具有下列必要條件的 SMB 伺服器。
- 執行含 March 12, 2024—KB5035857 更新 或 Windows Server 測試人員組建 25977 或更新版本之 Windows Server 2022 Datacenter: Azure Edition 的 SMB 伺服器。 若要解除鎖定預覽功能,您也必須安裝 Windows Server 2022 KB5035857 240302_030531 功能預覽。
- 伺服器已啟用並設定 SMB over QUIC。 若要了解如何設定 SMB over QUIC,請參閱 SMB over QUIC。
- 如果您使用由不同憑證授權單位 (CA) 核發的用戶端憑證,您必須確定伺服器信任該 CA。
- 您正在設定之 SMB 伺服器的系統管理權限。
您也需要具有下列必要條件的 SMB 用戶端。
- 在下列其中一個作業系統上執行的 SMB 用戶端:
- 含 March 12, 2024—KB5035857 更新的 Windows Server 2022 Datacenter: Azure Edition。 若要解除鎖定預覽功能,您也必須安裝 Windows Server 2022 KB5035857 240302_030531 功能預覽。
- 含 March 12, 2024—KB5035853 更新的 Windows 11。 若要解除鎖定預覽功能,您也必須安裝 Windows 11 (原始版本) KB5035854 240302_030535 功能預覽。
- Windows Server 測試人員組建 25977 或更新版本。
- Windows 11 Insider Preview 組建 25977 (Canary 通道) 或更新版本。
- 基於以下目的核發的用戶端憑證:
- 發行給用戶端驗證 (EKU 1.3.6.1.5.5.7.3.2)。
- 由 SMB 伺服器信任的憑證授權單位所核發。
- 安裝在用戶端的憑證存放區中。
- 您正在設定之 SMB 伺服器的系統管理權限。
注意
我們建議對 Active Directory 網域使用 SMB over QUIC,但這不是必要的。 您也可以在具有本機使用者憑證和 NTLM 的工作群組伺服器上使用 SMB over QUIC。
設定 SMB 用戶端
收集 SMB 用戶端憑證資訊
若要使用 PowerShell 收集用戶端憑證雜湊值:
在 SMB 用戶端上開啟提升權限的 PowerShell 命令提示字元。
執行下列命令,以列出用戶端憑證存放區中的憑證。
Get-ChildItem -Path Cert:\LocalMachine\My執行下列命令,將憑證儲存在變數中。 將
<subject name>替換為要使用之憑證的主體名稱。$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}執行下列命令,以記下用戶端憑證的 SHA256 雜湊值。 設定用戶端存取控制時,您需要此識別碼。
$clientCert.GetCertHashString("SHA256")
注意
$clientCert 物件中儲存的指紋使用 SHA1 演算法。 這是由 New-SmbClientCertificateMapping 等命令使用。 您還需要 SHA256 指紋來設定用戶端存取控制,這些指紋將根據相同憑證使用不同的演算法得出不同的版本。
將用戶端憑證對應至 SMB 用戶端
將用戶端憑證對應至 SMB 用戶端:
在 SMB 用戶端上開啟提升權限的 PowerShell 命令提示字元。
執行
New-SmbClientCertificateMapping命令以對應用戶端憑證。 將<namespace>替換為 SMB 伺服器的完整網域名稱 (FQDN),並使用您在上一節中使用變數收集的 SHA1 用戶端憑證指紋。New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
完成後,SMB 用戶端將使用用戶端憑證向與 FQDN 相符的 SMB 伺服器進行驗證。
設定用戶端存取控制
授予個別用戶端
請依照下列步驟,使用用戶端存取控制,將特定用戶端存取權授予 SMB 伺服器。
登入 SMB 伺服器。
在 SMB 伺服器上開啟提升權限的 PowerShell 命令提示字元。
執行
Grant-SmbClientAccessToServer以授予對用戶端憑證的存取權。 將<name>替換為 SMB 伺服器的主機名,將<hash>替換為您在收集 SMB 用戶端憑證資訊一節中收集的 SHA256 用戶端憑證識別碼。Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
您現在已授予對用戶端憑證的存取權。 您可以透過執行 Get-SmbClientAccessToServer 命令來確認用戶端憑證存取。
授予特定憑證授權單位
請依照下列步驟,使用用戶端存取控制,從特定的憑證授權單位 (也稱為簽發者) 向用戶端授予。
登入 SMB 伺服器。
在 SMB 伺服器上開啟提升權限的 PowerShell 命令提示字元。
執行
Grant-SmbClientAccessToServer以授予對用戶端憑證的存取權。 將<name>替換為 SMB 伺服器的主機名稱,將<subject name>替換為簽發者憑證的完整 X.500 辨別名稱。 例如:CN=Contoso CA, DC=Contoso, DC=com。Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
停用 SMB over QUIC
從 Windows 11 測試人員組建 26090 開始,系統管理員現在可以執行下列命令,停用用戶端的 SMB over QUIC:
Set-SmbClientConfiguration -EnableSMBQUIC $false
同樣地,這項作業可以在群組原則中執行,方法是在下列路徑中停用啟用SMB over QUIC 原則:
- Computer Configuration\Administrative Templates\Network\Lanman Workstation
連線至 SMB 伺服器
當您完成時,請執行下列其中一個命令來測試您是否可以連線到伺服器:
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
Or
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
如果您可以連線到伺服器,您已成功使用用戶端存取控制設定 SMB over QUIC。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應