共用方式為

在 Windows Server 2022 Azure Edition 和 Windows Server 2025 中設定 SMB over QUIC 用戶端存取控制

  • 發行項

SMB over QUIC 用戶端存取控制可讓您限制哪些用戶端可以存取 SMB over QUIC 伺服器。 用戶端存取控制為連線到檔案伺服器的裝置,建立允許清單和封鎖清單。 用戶端存取控制為組織提供更多保護,無需變更建立 SMB 連線時使用的驗證,也不會改變最終使用者體驗。

本文介紹如何使用 PowerShell 在 Windows Server 2022 Datacenter: Azure Edition 上為 SMB over QUIC 設定用戶端存取控制。 若要繼續進行指示,您必須安裝 3 月更新KB5035853或KB5035857,才能執行最近的 Windows 11 版本 24H2 或 Windows Server 2025。

若要深入了解設定 SMB over QUIC,請參閱 SMB over QUIC

用戶端存取控制的運作方式

用戶端存取控制檢查連線到伺服器的用戶端是否使用已知的用戶端憑證,或具有由共用根憑證所核發的憑證。 系統管理員會將此憑證核發至用戶端,並將雜湊值新增至伺服器維護的允許清單中。 當用戶端嘗試連線到伺服器時,伺服器會比較用戶端憑證與允許清單。 如果憑證有效,伺服器憑證會透過 UDP 連接埠 443 建立 TLS 1.3 加密通道,並授予用戶端對共用的存取權。 用戶端存取控制也支援具有主體別名的憑證。

您也可以將 SMB over QUIC 設定為封鎖存取,方法是撤銷憑證或明確拒絕特定裝置存取。

注意

我們建議對 Active Directory 網域使用 SMB over QUIC,但這不是必要的。 您也可以在具有本機使用者憑證和 NTLM 的工作群組伺服器上使用 SMB over QUIC。

必要條件

設定用戶端存取控制之前,您需要具有下列必要條件的 SMB 伺服器

  • 執行含 March 12, 2024—KB5035857 更新 或 Windows Server 2025 或更新版本之 Windows Server 2022 Datacenter: Azure Edition 的 SMB 伺服器。 若要解除鎖定預覽功能,您也必須安裝 Windows Server 2022 KB5035857 240302_030531 功能預覽
  • 伺服器已啟用並設定 SMB over QUIC。 若要了解如何設定 SMB over QUIC,請參閱 SMB over QUIC
  • 如果您使用由不同憑證授權單位 (CA) 核發的用戶端憑證,您必須確定伺服器信任該 CA。
  • 您正在設定之 SMB 伺服器的系統管理權限。

重要

安裝 KB5035857 之後,您必須在群組原則中啟用此功能:

  1. 按一下開始,輸入 gpedit,然後選取編輯群組原則
  2. 瀏覽至 Computer Configuration\Administrative Templates\KB5035857 240302_030531 Feature Preview\Windows Server 2022
  3. 開啟 KB5035857 240302_030531 功能預覽 原則,然後選取 [已啟用]

您也需要具有下列必要條件的 SMB 用戶端

重要

安裝 KB5035854 之後,您必須在群組原則中啟用此功能:

  1. 按一下開始,輸入 gpedit,然後選取編輯群組原則
  2. 瀏覽至 Computer Configuration\Administrative Templates\KB5035854 240302_030535 Feature Preview\Windows Server 11 (original release)
  3. 開啟 KB5035854 240302_030535 功能預覽 原則,然後選取 [已啟用]

設定 SMB 用戶端

收集 SMB 用戶端憑證資訊

若要使用 PowerShell 收集用戶端憑證雜湊值:

  1. 在 SMB 用戶端上開啟提升權限的 PowerShell 命令提示字元。

  2. 執行下列命令,以列出用戶端憑證存放區中的憑證。

    Get-ChildItem -Path Cert:\LocalMachine\My

  3. 執行下列命令,將憑證儲存在變數中。 將<subject name> 替換為要使用之憑證的主體名稱。

    $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}

  4. 執行下列命令,以記下用戶端憑證的 SHA256 雜湊值。 設定用戶端存取控制時,您需要此識別碼。

    $clientCert.GetCertHashString("SHA256")

注意

$clientCert 物件中儲存的指紋使用 SHA1 演算法。 這是由 New-SmbClientCertificateMapping 等命令使用。 您還需要 SHA256 指紋來設定用戶端存取控制,這些指紋將根據相同憑證使用不同的演算法得出不同的版本。

將用戶端憑證對應至 SMB 用戶端

將用戶端憑證對應至 SMB 用戶端:

  1. 在 SMB 用戶端上開啟提升權限的 PowerShell 命令提示字元。

  2. 執行 New-SmbClientCertificateMapping 命令以對應用戶端憑證。 將 <namespace> 替換為 SMB 伺服器的完整網域名稱 (FQDN),並使用您在上一節中使用變數收集的 SHA1 用戶端憑證指紋。

    New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My

完成後,SMB 用戶端將使用用戶端憑證向與 FQDN 相符的 SMB 伺服器進行驗證。

設定用戶端存取控制

授予個別用戶端

請依照下列步驟,使用用戶端存取控制,將特定用戶端存取權授予 SMB 伺服器。

  1. 登入 SMB 伺服器。

  2. 在 SMB 伺服器上開啟提升權限的 PowerShell 命令提示字元。

  3. 執行 Grant-SmbClientAccessToServer 以授予對用戶端憑證的存取權。 將 <name> 替換為 SMB 伺服器的主機名,將 <hash> 替換為您在收集 SMB 用戶端憑證資訊一節中收集的 SHA256 用戶端憑證識別碼。

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>

您現在已授予對用戶端憑證的存取權。 您可以透過執行 Get-SmbClientAccessToServer 命令來確認用戶端憑證存取。

授予特定憑證授權單位

請依照下列步驟,使用用戶端存取控制,從特定的憑證授權單位 (也稱為簽發者) 向用戶端授予。

  1. 登入 SMB 伺服器。

  2. 在 SMB 伺服器上開啟提升權限的 PowerShell 命令提示字元。

  3. 執行 Grant-SmbClientAccessToServer 以授予對用戶端憑證的存取權。 將 <name> 替換為 SMB 伺服器的主機名稱,將 <subject name> 替換為簽發者憑證的完整 X.500 辨別名稱。 例如: CN=Contoso CA, DC=Contoso, DC=com

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"

停用 SMB over QUIC

從 Windows 11 版本 24H2 開始,系統管理員現在可以執行下列命令,透過 QUIC 停用用戶端的 SMB:

Set-SmbClientConfiguration -EnableSMBQUIC $false

同樣地,這項作業可以在群組原則中執行,方法是在下列路徑中停用啟用SMB over QUIC 原則:

  • Computer Configuration\Administrative Templates\Network\Lanman Workstation

連線至 SMB 伺服器

當您完成時,請執行下列其中一個命令來測試您是否可以連線到伺服器:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Or

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

如果您可以連線到伺服器,您已成功使用用戶端存取控制設定 SMB over QUIC。

相關內容