开启 SMBv3 端到端加密

发表于 更新于 分类于 阅读次数: 本文字数: 832 阅读时长 ≈ 1 分钟
开启 SMBv3 端到端加密以保护共享内容不被明文传输的详细教程,适用于 Windows 10/11 和 Windows Server。

前言

在 Windows 中,默认启用的 SMB 共享(v1、v2、v3)是明文传输的,即所有人可以截取你公开到互联网的文件内容
好消息是,从 SMBv3 起,已支持端到端加密,适用范围 Windows 10(Windows Server 2016)到 Windows 11(Windows Server 2025),仅生效于 Windows 到 Windows,但并非默认开启(可能 Microsoft 觉得默认大家都在局域网内使用吧)
但是,开启 SMBv3 的端到端加密与 BitLocker 相同,都会一定程度上损失性能,损失多少暂不得知

开启

所有的操作都需要管理员身份,执行前请二选一执行以下操作:

  • 按下 WIN + X 以打开“高级菜单”,选择“终端管理员”,“Windows PowerShell (管理员)”或“命令提示符(管理员)”
  • 按下 WIN + QWIN + S 以打开“Windows 搜索”,输入 wt.exe(终端)、cmd.exe(命令提示符)或 powershell.exe(Windows PowerShell),选择最佳匹配结果并点击“以管理员身份运行”

需要确保终端运行的 Shell 为 Windows PowerShellPowerShell,如果运行的是 CMD(命令提示符),请输入 powershell.exe 以启动 Windows PowerShell

运行为 PowerShell

在打开的 (Windows) PowerShell 窗口中输入命令并回车,完成后输入 Y 再按下 Enter 以确认开启

1
Set-SmbClientConfiguration -RequireEncryption $true

完成后查看状态即可看到是否开启,可以选择重启 Windows 使其生效

1
Get-SmbClientConfiguration | Format-List -Property RequireEncryption

在 PowerShell 中开启 SMBv3 端到端加密

后记

  1. SMB 安全增强功能 - Microsoft Learn
  2. 将 SMB 客户端配置为要求在 Windows 中加密 - Microsoft Learn
  3. 开启 SMBv3 端到端加密 - 远景论坛