Présentation de la signature SMB (Server Message Block)

Traductions disponibles Traductions disponibles
Numéro d'article: 887429 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article décrit la signature SMB (Server Message Block). La signature SMB est un mécanisme de sécurité du protocole SMB également connu sous le nom de signatures de sécurité. La signature SMB est conçue pour améliorer la sécurité du protocole SMB. La signature SMB a été intégrée pour la première fois dans Microsoft Windows NT 4.0 Service Pack 3 (SP3) et dans Microsoft Windows 98.

Les thèmes suivants connexes à la signature SMB sont abordés dans cet article :
  • Configuration par défaut de la signature SMB
  • Comment faire pour configurer la signature SMB dans Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 et Windows 98
  • Comment faire pour déterminer si la signature SMB est activée dans une trace du Moniteur réseau
  • Exemples de scénarios de signature SMB

Plus d'informations

Configuration par défaut du service Station de travail et du service Serveur

La signature SMB et les signatures de sécurité peuvent être configurées pour les services Station de travail et Serveur. Le service Station de travail est utilisé pour les connexions sortantes. Le service Serveur est utilisé pour les connexions entrantes.

Lorsque la signature SMB est activée, les clients qui prennent en charge la signature SMB peuvent se connecter et les clients qui ne prennent pas en charge la signature SMB peuvent également se connecter. Si la signature SMB est requise, les deux ordinateurs de la connexion SMB doivent prendre en charge cette fonctionnalité. La connexion SMB échouera si l'un des ordinateurs ne prend pas en charge la signature SMB. Par défaut, la signature SMB est activée pour les sessions SMB sortantes sur les systèmes d'exploitation suivants :
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Par défaut, la signature SMB est activée pour les sessions SMB entrantes sur les systèmes d'exploitation suivants :
  • Contrôleurs de domaine Windows Server 2003
  • Contrôleurs de domaine Windows 2000 Server
  • Contrôleurs de domaine Windows NT 4.0 Server
Par défaut, la signature SMB est requise pour les sessions SMB entrantes sur les contrôleurs de domaine Windows Server 2003.

Configuration de la signature SMB

Nous vous recommandons d'utiliser des stratégies de groupe pour configurer la signature SMB dans la mesure où la modification des valeurs du Registre local ne fonctionnera pas correctement en présence d'une stratégie de domaine prioritaire. Les valeurs de Registre ci-dessous sont modifiées lors de la configuration de la stratégie de groupe associée.

Emplacements des stratégies pour la signature SMB

Remarque Les paramètres de stratégie de groupe suivants sont situés sur le chemin de l'Éditeur d'objets de stratégie de groupe « Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options ».
Windows Server 2003 - Stratégie de groupe des contrôleurs de domaine par défaut
Station de travail/Client
Client réseau Microsoft : communications signées numériquement (toujours)..............Paramètre de stratégie : non défini
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)..............Paramètre de stratégie : non défini paramètre en cours : activé (en raison de la stratégie locale)

Serveur
Serveur réseau Microsoft : communications signées numériquement (toujours)..............Paramètre de stratégie : activé
Serveur réseau Microsoft : communications signées numériquement (lorsque le client l'accepte)..............Paramètre de stratégie : activé
Windows XP et 2003 - Stratégie de groupe de l'ordinateur local
Station de travail/Client
Client réseau Microsoft : Signer numériquement les communications (toujours)..............Paramètre de sécurité : désactivé
Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)..............Paramètre de sécurité : activé

Serveur
Serveur réseau Microsoft : Signer numériquement les communications (toujours)..............Paramètre de sécurité : désactivé
Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)..............Paramètre de sécurité : désactivé
Windows 2000 - Stratégie de groupe des contrôleurs de domaine par défaut
Station de travail/Client
Signer numériquement les communications client (toujours) Paramètre d'ordinateur : non défini
Signer numériquement les communications client (lorsque cela est possible) Paramètre d'ordinateur : non défini

Serveur
Signer numériquement les communications serveur (toujours) Paramètre d'ordinateur : non défini
Signer numériquement les communications serveur (lorsque cela est possible) Paramètre d'ordinateur : activé
Windows 2000 - Stratégie de groupe de l'ordinateur local
Station de travail/Client
Signer numériquement les communications client (toujours) Paramètre local : désactivé Paramètre en cours : désactivé
Signer numériquement les communications client (lorsque cela est possible) Paramètre local : activé Paramètre en cours : activé

Serveur
Signer numériquement les communications serveur (toujours) Paramètre local : désactivé Paramètre en cours : désactivé
Signer numériquement les communications serveur (lorsque cela est possible) Paramètre local : désactivé Paramètre en cours : désactivé

Valeurs de Registre associées à la configuration de stratégie de groupe pour Windows Server 2003, Windows XP et Windows 2000

Client
La stratégie de groupe « Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) » dans Windows Server 2003 et Windows XP et la stratégie de groupe « Signer numériquement les communications client (lorsque cela est possible) » dans Windows 2000 sont mappées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut dans Windows Server 2003, Windows XP, et Windows 2000 est 1 (activé).

La stratégie de groupe « Client réseau Microsoft : communications signées numériquement (toujours) » dans Windows Server 2003 et Windows XP et la stratégie de groupe « Signer numériquement les communications client (toujours) » dans Windows 2000 sont mappées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nom de la valeur : RequireSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut dans Windows Server 2003, Windows XP, et Windows 2000 est 0 (non requis).
Serveur
La stratégie de groupe « Client réseau Microsoft : communications signées numériquement (lorsque le client l'accepte) » dans Windows Server 2003 et Windows XP et la stratégie de groupe « Signer numériquement les communications serveur (lorsque cela est possible) » dans Windows 2000 sont mappées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut dans les contrôleurs de domaine Windows Server 2003 et Windows 2000 est 1 (activé). La valeur par défaut dans les contrôleurs de domaine Windows NT 4.0 est 0 (désactivé).
Dans Windows Server 2003 et Windows XP, la stratégie est nommée « Serveur réseau Microsoft : communications signées numériquement (toujours) »
La stratégie Windows 2000 est nommée « Signer numériquement les communications serveur (toujours) » et les deux sont mappées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nom de la valeur : RequireSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut dans les contrôleurs de domaine Windows Server 2003 et Windows 2000 est 1 (requis). La valeur par défaut dans les contrôleurs de domaine Windows NT 4.0 est 0 (non requis).
Pour qu'un ordinateur Windows NT 4.0 puisse se connecter à un ordinateur Windows 2000 en utilisant la signature SMB, vous devez créer la valeur de Registre suivante sur l'ordinateur Windows 2000 :
Nom de la valeur : enableW9xsecuritysignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)
Remarque Il n'existe aucune stratégie de groupe associée à la valeur de Registre EnableW9xsecuritysignature.

Configuration de la signature SMB dans Windows NT 4.0

Signer numériquement le client : (Notez qu'il s'agit de la clé RDR et pas LanmanWorkstation comme dans Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut est 1 (activé) sur les ordinateurs exécutant Windows NT 4.0 SP3 ou une version ultérieure de Windows.
Nom de la valeur : RequireSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactivé), 1 (activé)

Remarque La valeur par défaut est 0 (non requis) sur les ordinateurs exécutant Windows NT 4.0 SP3 ou une version ultérieure de Windows.
La stratégie « Signer numériquement le serveur » est mappée à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactiver), 1 (activer)

Remarque La valeur par défaut est 1 (activé) sur les contrôleurs de domaine Windows Server 2003, Windows 2000 et Windows NT 4.0. La valeur par défaut pour tous les autres ordinateurs exécutant Windows NT 4.0 SP3 ou une version ultérieure de Windows est 0 (désactivé).
Nom de la valeur : RequireSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactiver), 1 (activer)

Remarque La valeur par défaut est 1 (requis) sur les contrôleurs de domaine Windows Server 2003. La valeur par défaut pour tous les autres ordinateurs exécutant Windows NT 4.0 SP3 ou une version ultérieure de Windows est 0 (non requis).


Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
161372 Comment faire pour activer la signature SMB dans Windows NT

Configuration de la signature SMB dans Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Ajoutez les deux valeurs de Registre suivantes à cette sous-clé de Registre :
Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactiver), 1 (activer)

Remarque La valeur par défaut dans Windows 98 est 1 (activé).
Nom de la valeur : RequireSecuritySignature
Type de données : REG_DWORD
Données : 0 (désactiver), 1 (activer)

Remarque La valeur par défaut dans Windows 98 est 0 (désactivé).

Comment faire pour déterminer si la signature SMB est activée dans une trace du Moniteur réseau

Pour déterminer si la signature SMB est activée, requise sur le serveur, ou les deux, affichez la réponse NDR (Negotiate Dialect Response) du serveur :

SMB: R negotiate, Dialect # = 5 SMB: Command = R negotiate SMB: Security Mode Summary (NT) = [une valeur de 3, 7 ou 15] SMB: .......1 = User level security SMB: ......1. = Encrypt passwords


Dans cette réponse, le champ « Security Mode Summary (NT) = » représente les options configurées sur le serveur. Cette valeur sera égale à 3, 7 ou 15.

Pour plus d'informations sur la façon d'utiliser le Moniteur réseau, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
812953 Comment faire pour capturer le trafic réseau à l'aide du Moniteur réseau
Les informations suivantes expliquent ce que représentent les chiffres de la réponse NDR :
UCHAR SecurityMode; Mode de sécurité :
bit 0 : 0 = partage
bit 0 : 1 = utilisateur
bit 1 : 1 = chiffrer les mots de passe
bit 2 : 1 = signatures de sécurité (numéros de séquence SMB) activées
bit 3 : 1 = signatures de sécurité (numéros de séquence SMB) requises


Si la signature SMB est désactivée sur le serveur, la valeur est 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Si la signature SMB est activée et n'est pas requise sur le serveur, la valeur est 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Si la signature SMB est activée et requise sur le serveur, la valeur est 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Pour plus d'informations sur le protocole CIFS, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Scénarios de signature SMB

Le comportement de la session SMB après la négociation de dialecte est un indicateur de la configuration du client.

Si la signature SMB est activée et requise sur le client et sur le serveur, ou bien si elle est désactivée sur le client et sur le serveur, la connexion est établie.

Si la signature SMB est activée et requise sur le client et désactivée sur le serveur, la connexion à la session TCP est fermée normalement après la négociation de dialecte et le client reçoit le message d'erreur « 1240 (ERROR_LOGIN_WKSTA_RESTRICTION) » suivant :
L'erreur système 1240 s'est produite. Le compte n'est pas autorisé à se connecter depuis cette station.
Si la signature SMB est désactivée sur le client et activée et requise sur le serveur, le client reçoit le message d'erreur « STATUS_ACCESS_DENIED » lorsqu'il reçoit une réponse à une demande de connexions d'arborescences ou de redirections Transact2 pour DFS.

Propriétés

Numéro d'article: 887429 - Dernière mise à jour: jeudi 11 mai 2006 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Deuxième Édition
Mots-clés : 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com