P�ihl�sit

Select the product you need help with

P�ehled podepisov�n� bloku zpr�vy serveru

ID �l�nku: 887429 - Produkty, kter� se vztahuj� k tomuto �l�nku.

UPOZORN�N�: TENTO �L�NEK BYL STROJOV� P�ELO�EN

Zobrazen� anglick�ho �l�nku a jeho �esk�ho p�ekladu vedle sebe

Zobrazen� p�vodn�ho anglick�ho �l�nku a jeho p�ekladu vedle sebe.

Rozbalit v�echny z�lo�ky | Minimalizovat v�echny z�lo�ky

Tento �l�nek popisuje podepisov�n� Server Message Block (SMB). Podepisov�n� paket� SMB je mechanismus zabezpe�en� v protokolu SMB a tak� podpisy zabezpe�en�. Podepisov�n� paket� SMB je ur�en k pomoci zv��it zabezpe�en� protokolu SMB. Podepisov�n� paket� SMB byla poprv� k dispozici v syst�mu Microsoft Windows NT 4.0 Service Pack 3 (SP3) a Microsoft Windows 98.

V tomto �l�nku jsou pops�ny v n�sleduj�c�ch t�matech SMB:

V�choz� konfigurace podepisov�n� paket� SMB.
Jak konfigurovat SMB podepisov�n� v syst�mu Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 a Windows 98.
Jak lze zjistit, zda je podepisov�n� blok� SMB povoleno trasov�n� programu Sledov�n� s�t�.
P��klad Sc�n��e podepisov�n� SMB.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

V�choz� konfigurace slu�by pracovn� stanice a slu�ba Server

Podpisy zabezpe�en� a podepisov�n� SMB lze nakonfigurovat pro slu�bu pracovn� stanice a slu�ba Server. Slu�ba pracovn� stanice se pou��v� pro odchoz� p�ipojen�. Slu�ba Server se pou��v� pro p��choz� p�ipojen�.

Pokud je podepisov�n� blok� SMB povoleno, je mo�n� pro klienty, kte�� podporuj� p�ipojen� podepisov�n� paket� SMB a je tak� mo�n�, �e klienti, kte�� nepodporuj� p�ipojen� podepisov�n� paket� SMB. Pokud je po�adov�no podepisov�n� paket� SMB, mus� podporovat oba po��ta�e v p�ipojen� SMB podepisov�n� paket� SMB. SMB p�ipojen� se nezda��, pokud jeden po��ta� nepodporuje podepisov�n� paket� SMB. Ve v�choz�m nastaven� je podepisov�n� blok� SMB povoleno pro odchoz� relace SMB v n�sleduj�c�ch opera�n�ch syst�mech:

Syst�m Windows Server 2003
Syst�m Windows XP
Syst�m Windows 2000
Syst�m Windows NT 4.0
Syst�m Windows 98

Ve v�choz�m nastaven� je podepisov�n� blok� SMB povoleno pro p��choz� relace SMB v n�sleduj�c�ch opera�n�ch syst�mech:

�adi�e dom�ny Server 2003 pro syst�m Windows
�adi�e dom�ny se syst�mem Windows 2000 Server
�adi�e dom�ny se syst�mem NT 4.0 Server syst�mu Windows

Standardn� je po�adov�no podepisov�n� SMB pro p��choz� relace SMB na �adi��ch dom�ny se syst�mem Windows Server 2003.

Konfigurace podepisov�n� paket� SMB

Doporu�ujeme pou��t z�sady skupiny ke konfiguraci podepisov�n� paket� SMB, proto�e Zm�na m�stn�ho registru hodnotu nefunguje spr�vn�, pokud je p�episuj�c�ch z�sad dom�ny. N�sleduj�c� hodnoty registru se zm�n� p�i konfiguraci souvisej�c� Z�sady skupiny.

Um�st�n� z�sady podepisov�n� paket� SMB

Pozn�mka: Z�sady skupiny n�sleduj�c� nastaven� jsou um�st�ny v "Po��ta� Konfigurace po��ta�e\Nastaven� syst�mu Windows\Nastaven� zabezpe�en�\M�stn� Z�sady\mo�nosti" Z�sady skupiny editoru objekt� cestu.

Windows Server 2003 - v�choz�ho �adi�e dom�ny Z�sady skupiny

Pracovn� stanice a klienta
Klient s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy) nastaven� z�sad: nen� definov�no.
Klient s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud server souhlas�) nastaven� z�sad: nen� definov�no nastaven�: povoleno (z d�vodu m�stn� z�sady)

Server
Server s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy) nastaven� z�sad: povoleno
Server s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud klient souhlas�) nastaven� z�sad: povoleno

Windows XP a 2003 - Z�sady skupiny v m�stn�m po��ta�i

Pracovn� stanice a klienta
Klient s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy) nastaven� zabezpe�en�: zak�z�no
Klient s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud server souhlas�) nastaven� zabezpe�en�: povoleno

Server
Server s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy) nastaven� zabezpe�en�: zak�z�no
Server s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud klient souhlas�) nastaven� zabezpe�en�: zak�z�no

Syst�m Windows 2000 - v�choz�ho �adi�e dom�ny Z�sady skupiny

Pracovn� stanice a klienta
Digit�ln� podepsat komunikaci s klientem (v�dy) po��ta�e, nastaven�: nen� definov�no.
Digit�ln� podepsat komunikaci s klientem (Pokud je to mo�n�) po��ta�e, nastaven�: nen� definov�no.

Server
Digit�ln� podepsat komunikaci se serverem (v�dy) po��ta�e, nastaven�: nen� definov�no.
Digit�ln� podepsat komunikaci se serverem (Pokud je to mo�n�) nastaven� po��ta�e: povoleno

Windows 2000 - m�stn� po��ta� Z�sady skupiny

Pracovn� stanice a klienta
Digit�ln� podepsat komunikaci s klientem (v�dy) m�stn� nastaven�: zak�z�no nastaven�: zak�z�no
Digit�ln� podepsat komunikaci s klientem (Pokud je to mo�n�) m�stn� nastaven�: povoleno nastaven�: povoleno

Server
Digit�ln� podepsat komunikaci se serverem (v�dy) m�stn� nastaven�: zak�z�no nastaven�: zak�z�no
Digit�ln� podepsat komunikaci se serverem (Pokud je to mo�n�) m�stn� nastaven�: zak�z�no nastaven�: zak�z�no

Hodnoty registru, kter� jsou spojen� s Z�sady skupiny Konfigurace syst�mu Windows Server 2003, Windows XP a Windows 2000

Klient

V syst�mu Windows Server 2003 a Windows XP "Klient s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud server souhlas�)" Z�sady skupiny a v syst�mu Windows 2000 "Digit�ln� podepsat komunikaci s klientem (Pokud je to mo�n�)" Z�sady skupiny mapov�n� na n�sleduj�c� podkl�� registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

N�zev hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota v syst�mu Windows Server 2003, Windows XP a Windows 2000 je 1 (povoleno).

V syst�mu Windows Server 2003 a Windows XP "Klient s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy)" Z�sady skupiny a v syst�mu Windows 2000 Z�sady skupiny mapy "Digit�ln� podepsat komunikaci s klientem (v�dy)" na n�sleduj�c� podkl�� registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

N�zev hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota v syst�mu Windows Server 2003, Windows XP a Windows 2000 je 0 (nen� povinn�).

Server

V syst�mu Windows Server 2003 a Windows XP se Z�sady skupiny s n�zvem "Klient s�t� Microsoft: digit�ln� podepsat komunikaci (Pokud klient souhlas�)", a v syst�mu Windows 2000 Z�sady skupiny s n�zvem "Digit�ln� podepsat komunikaci se serverem (Pokud je to mo�n�)" mapy do n�sleduj�c�ho kl��e registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

N�zev hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota v �adi��ch dom�ny syst�mu Windows Server 2003 a �adi�e dom�ny syst�mu Windows 2000 je 1 (povoleno). V�choz� hodnota v �adi��ch dom�ny syst�mu Windows NT 4.0 je 0 (zak�z�no).

Z�sady syst�mu Windows Server 2003 a Windows XP s n�zvem "server s�t� Microsoft: digit�ln� podepsat komunikaci (v�dy)"
Z�sady syst�mu Windows 2000 s n�zvem "Digit�ln� podepsat komunikaci se serverem (v�dy)" a oba n�sleduj�c� kl�� registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

N�zev hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota v �adi��ch dom�ny syst�mu Windows Server 2003 a �adi�e dom�ny syst�mu Windows 2000 je 1 (povinn�). V�choz� hodnota v �adi��ch dom�ny syst�mu Windows NT 4.0 je 0 (nen� povinn�).

U po��ta�� zalo�en�ch na syst�mu Windows NT 4.0 moci p�ipojit k po��ta��m se syst�mem Windows 2000 pomoc� podepisov�n� paket� SMB je nutn� vytvo�it v po��ta��ch se syst�mem Windows 2000 n�sleduj�c� hodnota registru:

N�zev hodnoty: enableW9xsecuritysignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: Nen� k dispozici ��dn� Z�sady skupiny p�idru�en� hodnoty registru EnableW9xsecuritysignature.

Konfigurace syst�mu Windows NT 4.0 podepisov�n� paket� SMB

Digit�ln� podepsat klienta: (V�imn�te si, �e se jedn� o kl�� RDR - nen� LanmanWorkstation jako v syst�mu Windows 2000)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

N�zev hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota je 1 (povoleno) v po��ta��ch se syst�mem Windows NT 4.0 SP3 nebo nov�j�� verze syst�mu Windows.

N�zev hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota je 0 (nen� povinn�) v po��ta��ch se syst�mem Windows NT 4.0 SP3 nebo nov�j�� verze syst�mu Windows.

"Digit�ln� podepsat server" map z�sad na n�sleduj�c� kl�� registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

N�zev hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota je 1 (povoleno) �adi�e dom�ny syst�mu Windows Server 2003, �adi�e dom�ny syst�mu Windows 2000 a �adi�e dom�ny syst�mu Windows NT 4.0. V�choz� hodnota pro v�echny ostatn� po��ta�e se syst�mem Windows NT 4.0 SP3 nebo nov�j�� verze syst�mu Windows je 0 (zak�z�no).

N�zev hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota je 1 (povinn�) v �adi��ch dom�ny syst�mu Windows Server 2003. V�choz� hodnota pro v�echny ostatn� po��ta�e se syst�mem Windows NT 4.0 SP3 nebo nov�j�� verze syst�mu Windows je 0 (nen� povinn�).

Dal�� informace z�sk�te klepnut�m na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base:

161372

(http://support.microsoft.com/kb/161372/ )

Jak povolit podepisov�n� paket� SMB v syst�mu Windows NT

Konfigurace v syst�mu Windows 98 podepisov�n� paket� SMB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

P�idejte n�sleduj�c� hodnoty registru dva tento podkl�� registru:

N�zev hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V syst�mu Windows 98 v�choz� hodnota je 1 (Povolit).

N�zev hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zak�zat), 1 (Povolit)

Pozn�mka: V�choz� hodnota v syst�mu Windows 98 je 0 (zak�z�no).

Jak lze zjistit, zda je podepisov�n� blok� SMB povoleno trasov�n� programu Sledov�n� s�t�

Pokud chcete zjistit zda je podepisov�n� blok� SMB povoleno, po�adov�no serverem nebo ob�, zobrazen� Negotiate Dialect Response ze serveru:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords

V t�to odpov�di "Security Mode Summary (NT) =" p�edstavuje pole konfigurovan� mo�nosti na serveru. Tato hodnota bude 3, 7 nebo 15.

Dal�� informace o pou�it� programu Sledov�n� s�t� z�sk�te klepnut�m na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base:

812953

(http://support.microsoft.com/kb/812953/ )

Pou�it� programu Sledov�n� s�t� zachytit provoz s�t�

N�sleduj�c� informace pom��e vysv�tlit reprezentuj� ��sla Negotiate Dialect Response:

UCHAR SecurityMode; Re�im zabezpe�en�:
bit 0: 0 = share
bit 0: 1 = u�ivatel
bit 1: 1 = �ifrovat hesla
bit 2: 1 = Security Signatures (SMB po�adov�ch ��sel) povolena
bit 3: 1 = Security Signatures (SMB po�adov�ch ��sel) po�adovan�

Pokud je podepisov�n� blok� SMB zak�z�no na serveru, bude hodnota je 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Pokud je podepisov�n� blok� SMB povoleno a nen� po�adov�no na serveru, bude hodnota je 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Pokud je podepisov�n� blok� SMB povoleno a po�adov�no na serveru, bude hodnota je 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"

Dal�� informace o CIFS nav�tivte n�sleduj�c� Web spole�nosti Microsoft:

http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

(http://msdn2.microsoft.com/en-us/library/Aa302188.aspx)

Sc�n��e podepisov�n� blok� SMB

Chov�n� relace blok� SMB po Dialect Negotiation zobrazuje konfiguraci klienta.

Pokud je podepisov�n� blok� SMB povoleno a po�adov�no u klienta i serveru, nebo pokud je podepisov�n� blok� SMB zak�z�no u klienta i serveru, p�ipojen� prob�hlo �sp�n�.

Pokud je podepisov�n� blok� SMB povoleno a po�adov�no u klienta a zak�z�no na serveru, bude p�ipojen� k relaci protokolu TCP po Dialect Negotiation uzav�eno a klientovi se zobraz� n�sleduj�c� zpr�va 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":

Do�lo k syst�mov� chyb� 1240. ��et nem� povoleno p�ihl�sit se z t�to stanice.

Pokud je podepisov�n� blok� SMB zak�z�no u klienta a povoleno a po�adov�no na serveru, obdr�� klient po obdr�en� odpov�di na transakce Tree Connect nebo Transact2 pro odkazy jednotky DFS chybov� zpr�va "status_access_denied".

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Vlastnosti

ID �l�nku: 887429 - Posledn� aktualizace: 22. kv�tna 2011 - Revize: 4.0

Informace v tomto �l�nku jsou ur�eny pro produkt:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows NT Server 4.0 Standard Edition

kbwinservnetwork kbsecurityservices kbhowto kbinfo kbmt KB887429 KbMtcs

Strojov� p�elo�en� �l�nek

D�le�it�: Tento �l�nek byl p�elo�en pomoc� software spole�nosti Microsoft na strojov� p�eklad, ne profesion�ln�m p�ekladatelem. Spole�nost Microsoft nab�z� jak �l�nky p�elo�en� p�ekladatelem, tak �l�nky p�elo�en� pomoc� software na strojov� p�eklad, tak�e v�echny �l�nky ve Znalostn� datab�zi (Knowledge Base) jsou dostupn� v �e�tin�. P�eklad pomoc� software na strojov� p�eklad ale nen� bohu�el v�dy dokonal�. Obsahuje chyby ve sklo�ov�n� slov, skladb� v�t, nebo gramatice, podobn� jako kdy� cizinci d�laj� chyby p�i mluven� v �e�tin�. Spole�nost Microsoft nen� pr�vn� zodpov�dn� za nep�esnosti, chyby nebo �kody vznikl� chybami v p�ekladu, nebo p�i pou�it� nep�esn� p�elo�en�ch instrukc� v �l�nku z�kazn�kem. Spole�nost Microsoft aktualizuje software na strojov� p�eklad, aby byl po�et chyb omezen na minimum.

Projd�te si tak� anglickou verzi �l�nku:887429

(http://support.microsoft.com/kb/887429/en-us/ )

Zp�t nahoru | Dejte n�m zp�tnou vazbu