Přehled podepisování bloku zprávy serveru

Překlady článku Překlady článku
ID článku: 887429 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje podepisování Server Message Block (SMB). Podepisování paketů SMB je mechanismus zabezpečení v protokolu SMB a také podpisy zabezpečení. Podepisování paketů SMB je určen k pomoci zvýšit zabezpečení protokolu SMB. Podepisování paketů SMB byla poprvé k dispozici v systému Microsoft Windows NT 4.0 Service Pack 3 (SP3) a Microsoft Windows 98.

V tomto článku jsou popsány v následujících tématech SMB:
  • Výchozí konfigurace podepisování paketů SMB.
  • Jak konfigurovat SMB podepisování v systému Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 a Windows 98.
  • Jak lze zjistit, zda je podepisování bloků SMB povoleno trasování programu Sledování sítě.
  • Příklad Scénáře podepisování SMB.

Další informace

Výchozí konfigurace služby pracovní stanice a služba Server

Podpisy zabezpečení a podepisování SMB lze nakonfigurovat pro službu pracovní stanice a služba Server. Služba pracovní stanice se používá pro odchozí připojení. Služba Server se používá pro příchozí připojení.

Pokud je podepisování bloků SMB povoleno, je možné pro klienty, kteří podporují připojení podepisování paketů SMB a je také možné, že klienti, kteří nepodporují připojení podepisování paketů SMB. Pokud je požadováno podepisování paketů SMB, musí podporovat oba počítače v připojení SMB podepisování paketů SMB. SMB připojení se nezdaří, pokud jeden počítač nepodporuje podepisování paketů SMB. Ve výchozím nastavení je podepisování bloků SMB povoleno pro odchozí relace SMB v následujících operačních systémech:
  • Systém Windows Server 2003
  • Systém Windows XP
  • Systém Windows 2000
  • Systém Windows NT 4.0
  • Systém Windows 98
Ve výchozím nastavení je podepisování bloků SMB povoleno pro příchozí relace SMB v následujících operačních systémech:
  • Řadiče domény Server 2003 pro systém Windows
  • Řadiče domény se systémem Windows 2000 Server
  • Řadiče domény se systémem NT 4.0 Server systému Windows
Standardně je požadováno podepisování SMB pro příchozí relace SMB na řadičích domény se systémem Windows Server 2003.

Konfigurace podepisování paketů SMB

Doporučujeme použít zásady skupiny ke konfiguraci podepisování paketů SMB, protože Změna místního registru hodnotu nefunguje správně, pokud je přepisujících zásad domény. Následující hodnoty registru se změní při konfiguraci související Zásady skupiny.

Umístění zásady podepisování paketů SMB

Poznámka: Zásady skupiny následující nastavení jsou umístěny v "Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti" Zásady skupiny editoru objektů cestu.
Windows Server 2003 - výchozího řadiče domény Zásady skupiny
Pracovní stanice a klienta
Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zásad: není definováno.
Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí) nastavení zásad: není definováno nastavení: povoleno (z důvodu místní zásady)

Server
Server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zásad: povoleno
Server sítě Microsoft: digitálně podepsat komunikaci (Pokud klient souhlasí) nastavení zásad: povoleno
Windows XP a 2003 - Zásady skupiny v místním počítači
Pracovní stanice a klienta
Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zabezpečení: zakázáno
Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí) nastavení zabezpečení: povoleno

Server
Server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zabezpečení: zakázáno
Server sítě Microsoft: digitálně podepsat komunikaci (Pokud klient souhlasí) nastavení zabezpečení: zakázáno
Systém Windows 2000 - výchozího řadiče domény Zásady skupiny
Pracovní stanice a klienta
Digitálně podepsat komunikaci s klientem (vždy) počítače, nastavení: není definováno.
Digitálně podepsat komunikaci s klientem (Pokud je to možné) počítače, nastavení: není definováno.

Server
Digitálně podepsat komunikaci se serverem (vždy) počítače, nastavení: není definováno.
Digitálně podepsat komunikaci se serverem (Pokud je to možné) nastavení počítače: povoleno
Windows 2000 - místní počítač Zásady skupiny
Pracovní stanice a klienta
Digitálně podepsat komunikaci s klientem (vždy) místní nastavení: zakázáno nastavení: zakázáno
Digitálně podepsat komunikaci s klientem (Pokud je to možné) místní nastavení: povoleno nastavení: povoleno

Server
Digitálně podepsat komunikaci se serverem (vždy) místní nastavení: zakázáno nastavení: zakázáno
Digitálně podepsat komunikaci se serverem (Pokud je to možné) místní nastavení: zakázáno nastavení: zakázáno

Hodnoty registru, které jsou spojené s Zásady skupiny Konfigurace systému Windows Server 2003, Windows XP a Windows 2000

Klient
V systému Windows Server 2003 a Windows XP "Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí)" Zásady skupiny a v systému Windows 2000 "Digitálně podepsat komunikaci s klientem (Pokud je to možné)" Zásady skupiny mapování na následující podklíč registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Název hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota v systému Windows Server 2003, Windows XP a Windows 2000 je 1 (povoleno).

V systému Windows Server 2003 a Windows XP "Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)" Zásady skupiny a v systému Windows 2000 Zásady skupiny mapy "Digitálně podepsat komunikaci s klientem (vždy)" na následující podklíč registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Název hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota v systému Windows Server 2003, Windows XP a Windows 2000 je 0 (není povinné).
Server
V systému Windows Server 2003 a Windows XP se Zásady skupiny s názvem "Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud klient souhlasí)", a v systému Windows 2000 Zásady skupiny s názvem "Digitálně podepsat komunikaci se serverem (Pokud je to možné)" mapy do následujícího klíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Název hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota v řadičích domény systému Windows Server 2003 a řadiče domény systému Windows 2000 je 1 (povoleno). Výchozí hodnota v řadičích domény systému Windows NT 4.0 je 0 (zakázáno).
Zásady systému Windows Server 2003 a Windows XP s názvem "server sítě Microsoft: digitálně podepsat komunikaci (vždy)"
Zásady systému Windows 2000 s názvem "Digitálně podepsat komunikaci se serverem (vždy)" a oba následující klíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Název hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota v řadičích domény systému Windows Server 2003 a řadiče domény systému Windows 2000 je 1 (povinné). Výchozí hodnota v řadičích domény systému Windows NT 4.0 je 0 (není povinné).
U počítačů založených na systému Windows NT 4.0 moci připojit k počítačům se systémem Windows 2000 pomocí podepisování paketů SMB je nutné vytvořit v počítačích se systémem Windows 2000 následující hodnota registru:
Název hodnoty: enableW9xsecuritysignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)
Poznámka: Není k dispozici žádná Zásady skupiny přidružené hodnoty registru EnableW9xsecuritysignature.

Konfigurace systému Windows NT 4.0 podepisování paketů SMB

Digitálně podepsat klienta: (Všimněte si, že se jedná o klíč RDR - není LanmanWorkstation jako v systému Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Název hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota je 1 (povoleno) v počítačích se systémem Windows NT 4.0 SP3 nebo novější verze systému Windows.
Název hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota je 0 (není povinné) v počítačích se systémem Windows NT 4.0 SP3 nebo novější verze systému Windows.
"Digitálně podepsat server" map zásad na následující klíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Název hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota je 1 (povoleno) řadiče domény systému Windows Server 2003, řadiče domény systému Windows 2000 a řadiče domény systému Windows NT 4.0. Výchozí hodnota pro všechny ostatní počítače se systémem Windows NT 4.0 SP3 nebo novější verze systému Windows je 0 (zakázáno).
Název hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota je 1 (povinné) v řadičích domény systému Windows Server 2003. Výchozí hodnota pro všechny ostatní počítače se systémem Windows NT 4.0 SP3 nebo novější verze systému Windows je 0 (není povinné).


Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
161372Jak povolit podepisování paketů SMB v systému Windows NT

Konfigurace v systému Windows 98 podepisování paketů SMB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Přidejte následující hodnoty registru dva tento podklíč registru:
Název hodnoty: EnableSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: V systému Windows 98 výchozí hodnota je 1 (Povolit).
Název hodnoty: RequireSecuritySignature
Typ dat: REG_DWORD
Dat: 0 (zakázat), 1 (Povolit)

Poznámka: Výchozí hodnota v systému Windows 98 je 0 (zakázáno).

Jak lze zjistit, zda je podepisování bloků SMB povoleno trasování programu Sledování sítě

Pokud chcete zjistit zda je podepisování bloků SMB povoleno, požadováno serverem nebo obě, zobrazení Negotiate Dialect Response ze serveru:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords


V této odpovědi "Security Mode Summary (NT) =" představuje pole konfigurované možnosti na serveru. Tato hodnota bude 3, 7 nebo 15.

Další informace o použití programu Sledování sítě získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
812953Použití programu Sledování sítě zachytit provoz sítě
Následující informace pomůže vysvětlit reprezentují čísla Negotiate Dialect Response:
UCHAR SecurityMode; Režim zabezpečení:
bit 0: 0 = share
bit 0: 1 = uživatel
bit 1: 1 = šifrovat hesla
bit 2: 1 = Security Signatures (SMB pořadových čísel) povolena
bit 3: 1 = Security Signatures (SMB pořadových čísel) požadované


Pokud je podepisování bloků SMB zakázáno na serveru, bude hodnota je 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Pokud je podepisování bloků SMB povoleno a není požadováno na serveru, bude hodnota je 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Pokud je podepisování bloků SMB povoleno a požadováno na serveru, bude hodnota je 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Další informace o CIFS navštivte následující Web společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

Scénáře podepisování bloků SMB

Chování relace bloků SMB po Dialect Negotiation zobrazuje konfiguraci klienta.

Pokud je podepisování bloků SMB povoleno a požadováno u klienta i serveru, nebo pokud je podepisování bloků SMB zakázáno u klienta i serveru, připojení proběhlo úspěšně.

Pokud je podepisování bloků SMB povoleno a požadováno u klienta a zakázáno na serveru, bude připojení k relaci protokolu TCP po Dialect Negotiation uzavřeno a klientovi se zobrazí následující zpráva 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Došlo k systémové chybě 1240. Účet nemá povoleno přihlásit se z této stanice.
Pokud je podepisování bloků SMB zakázáno u klienta a povoleno a požadováno na serveru, obdrží klient po obdržení odpovědi na transakce Tree Connect nebo Transact2 pro odkazy jednotky DFS chybová zpráva "status_access_denied".

Vlastnosti

ID článku: 887429 - Poslední aktualizace: 22. května 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Klíčová slova: 
kbwinservnetwork kbsecurityservices kbhowto kbinfo kbmt KB887429 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:887429

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com