Windows 11「文件共享连接」加密原理与配置指南

在 Windows 11 中，局域网文件共享和打印机共享主要依赖 SMB（Server Message Block）协议来实现。SMB 协议又包含 3 个关键环节：认证（比如用户名和密码）、数据传输（发送文件内容）和加密（防止传输过程被窃听）。

而「文件共享连接」的加密级别，是 Windows 11 中一个非常核心的安全设置。正确配置不仅能防止数据泄露，还能在满足安全策略的前提下，兼顾老旧设备的兼容性。

01. NTLM Session Security 层简介

「文件共享连接」的加密级别，作用在「Windows 文件共享加密栈」中的 NTLM Session Security 层。我们先来厘清一下它的作用范围和原理。

1.1 背景

• NTLM（NT LAN Manager）是微软早期的一套认证协议，用于在网络中完成用户身份验证。
• 认证成功后，NTLM 会生成一个 Session Key（会话密钥），用来保护后续的通信过程。
• NTLM Session Security 层，正是基于这个「会话密钥」来工作的。

1.2 功能

• 消息签名（Signing）：使用会话密钥计算 MAC，确保 SMB 消息没有被篡改。
• 消息加密（Sealing）：使用会话密钥加密 SMB 消息，防止数据被窃取。

1.3 加密方式

• 算法：RC4 流加密
• 密钥长度：
  • 40 位、56 位（受早期美国出口管制限制）
  • 128 位（完全强度）

简单来说，NTLM Session Security 层是 NTLM 认证的一个扩展机制，提供 RC4 封装（40/56/128 位），属于较老的技术；而 SMB 3.x 加密层则使用 AES-128-CCM/GCM，是 SMB 协议中更现代的加密方式。这两者相互独立，也并不彼此依赖。

02. 如何调整「文件共享连接」加密级别

虽然这个设置在 Windows 11 中略显过时，但在一些场景下，手动调整它仍然很有必要：

• 它能让你在局域网或跨站点连接时，根据实际需求，强制使用更高强度的加密，从而降低数据泄露的风险，满足企业数据保护规范。
• 如果你的网络中没有 Windows XP 或老旧 NAS 之类的设备，建议直接启用 128 位加密（客户端和服务器两端都需要设置）。

2.1 通过「设置」应用调整

1按Windows + I快捷键打开「设置」，进入「网络和 Internet」>「高级网络设置」。

2在「更多设置」区域中，选择「高级共享设置」。

3展开「所有网络」下拉菜单，然后在「文件共享连接」下拉菜单中选择：

• 128 加密（推荐）
• 40 或 56 位加密

2.2 通过组策略

1按Windows + R快捷键打开「运行」对话框，输入gpedit.msc并回车，打开「本地组策略编辑器」。

2依次展开「计算机配置」>「Windows 设置」>「安全设置」>「本地策略」>「安全选项」。

3找到以下 2 项策略，并勾选「要求 128 位加密」：

• 网络安全：基于 NTLM SSP 的（包括安全 RPC）服务器的最小会话安全
• 网络安全：基于 NTLM SSP 的（包括安全 RPC）客户端的最小会话安全

4重启电脑，让配置生效。

2.3 通过注册表

1按Windows + R打开「运行」对话框，输入regedit并回车，打开注册表编辑器。

2导航到以下位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3找到名为NtlmMinClientSec（客户端）和NtlmMinServerSec（服务器端）的 DWORD (32 位) 值，并将十六进制值设置为：

• 20000000：启用 128 位加密
• 00000000：启用 40 或 56 位加密

4重启电脑，让配置生效。

现在，我们了解了 Windows 11 中「文件共享连接」加密的原理与配置方式。虽然 NTLM Session Security 属于较老的技术，但在某些兼容性场景中仍需关注。如果你的网络中没有老旧设备或系统的共享文件夹，建议启用 128 位加密，进一步提升数据保护能力。