Panoramica della funzionalitÓ di firma SMB (Server Message Block)

Traduzione articoli Traduzione articoli
Identificativo articolo: 887429 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritta la funzionalitÓ di firma SMB (Server Message Block), un meccanismo di protezione incluso nel protocollo SMB, detto anche firme di protezione. La funzionalitÓ di firma SMB Ŕ progettata per migliorare la protezione del protocollo SMB. ╚ stata introdotta per la prima volta in Microsoft Windows NT 4.0 Service Pack 3 (SP3) e in Microsoft Windows 98.

Di seguito sono riportati gli argomenti relativi a SMB descritti in questo articolo:
  • Configurazione predefinita della funzionalitÓ di firma SMB.
  • ModalitÓ di configurazione della firma SMB in Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 e Windows 98.
  • Come determinare se la funzionalitÓ di firma SMB Ŕ attivata in una traccia di Network Monitor.
  • Esempio di scenari di utilizzo della firma SMB.

Informazioni

Configurazione predefinita per il servizio Workstation e il servizio Server

La firma SMB e le firme di protezione possono essere configurate sia per il servizio Workstation che per il servizio Server. Il servizio Workstation viene utilizzato per le connessioni in uscita, mentre il servizio Server viene utilizzato per quelle in ingresso.

Quando la firma SMB Ŕ attivata, sia i client che supportano questa funzionalitÓ sia quelli che non la supportano possono effettuare connessioni. Quando invece la firma SMB Ŕ richiesta, Ŕ necessario che questa funzionalitÓ sia supportata da entrambi i computer della connessione SMB. In caso contrario, la connessione SMB non verrÓ stabilita. Per impostazione predefinita, la firma SMB Ŕ attivata per le sessioni SMB in uscita nei seguenti sistemi operativi:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Per impostazione predefinita, la firma SMB Ŕ attivata per le sessioni SMB in ingresso nei seguenti sistemi operativi:
  • Controller di dominio basati su Windows Server 2003
  • Controller di dominio basati su Windows 2000 Server
  • Controller di dominio basati su Windows NT 4.0 Server
Per impostazione predefinita, la firma SMB Ŕ richiesta per le sessioni SMB in ingresso sui controller di dominio basati su Windows Server 2003.

Configurazione della firma SMB

Per configurare la firma SMB, si consiglia di utilizzare Criteri di gruppo. In caso contrario, un valore del Registro di sistema locale non funzionerÓ correttamente se Ŕ presente un criterio di dominio che ha la prioritÓ. I seguenti valori del Registro di sistema vengono modificati quando si configura il Criterio di gruppo associato.

Percorsi dei criteri per la firma SMB

Nota Le seguenti impostazioni di Criteri di gruppo si trovano nel percorso "Configurazione computer\Impostazioni di Windows\Impostazioni di protezione\Criteri locali\Opzioni di protezione" dell'Editor oggetti Criteri di gruppo.
Windows Server 2003 - Criteri di gruppo dei controller di dominio predefiniti
Workstation/Client
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) Impostazione del criterio: non definita
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) Impostazione del criterio: non definita Impostazione effettiva: attivata (a causa del criterio locale)

Server
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) Impostazione del criterio: attivata
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) Impostazione del criterio: attivata
Windows XP e 2003 - Criteri di gruppo del computer locale
Workstation/Client
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) Impostazione di protezione: disattivata
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) Impostazione di protezione: attivata

Server
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) Impostazione di protezione: disattivata
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) Impostazione di protezione: disattivata
Windows 2000 - Criteri di gruppo dei controller di dominio predefiniti
Workstation/Client
Aggiungi firma digitale alla comunicazione client (sempre) Impostazione del computer: non definita
Aggiungi firma digitale alla comunicazione client (quando possibile) Impostazione del computer: non definita

Server
Aggiungi firma digitale alla comunicazione server (sempre) Impostazione del computer: non definita
Aggiungi firma digitale alla comunicazione server (quando possibile) Impostazione del computer: attivata
Windows 2000 - Criteri di gruppo del computer locale
Workstation/Client
Aggiungi firma digitale alla comunicazione client (sempre) Impostazione locale: disattivata Impostazione effettiva: disattivata
Aggiungi firma digitale alla comunicazione client (quando possibile) Impostazione locale: attivata Impostazione effettiva: attivata

Server
Aggiungi firma digitale alla comunicazione server (sempre) Impostazione locale: disattivata Impostazione effettiva: disattivata
Aggiungi firma digitale alla comunicazione server (quando possibile) Impostazione locale: disattivata Impostazione effettiva: disattivata

Valori del Registro di sistema associati alla configurazione di Criteri di gruppo per Windows Server 2003, Windows XP e Windows 2000

Client
In Windows Server 2003 e Windows XP il Criterio di gruppo "Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)" e in Windows 2000 il Criterio di gruppo "Aggiungi firma digitale alla comunicazione client (quando possibile)" vengono associati alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nome valore: EnableSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito in Windows Server 2003, Windows XP e Windows 2000 Ŕ 1 (attivato).

In Windows Server 2003 e Windows XP il Criterio di gruppo "Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)" e in Windows 2000 il Criterio di gruppo "Aggiungi firma digitale alla comunicazione client (sempre)" vengono associati alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nome valore: RequireSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito in Windows Server 2003, Windows XP e Windows 2000 Ŕ 0 (non richiesto).
Server
In Windows Server 2003 e Windows XP il Criterio di gruppo denominato "Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client)" e in Windows 2000 il Criterio di gruppo denominato "Aggiungi firma digitale alla comunicazione server (quando possibile)" vengono associati alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome valore: EnableSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito nei controller di dominio di Windows Server 2003 e di Windows 2000 Ŕ 1 (attivato). Il valore predefinito nei controller di dominio di Windows NT 4.0 Ŕ 0 (disattivato).
Il criterio di Windows Server 2003 e Windows XP Ŕ denominato "Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)".
Il criterio di Windows 2000 Ŕ denominato "Aggiungi firma digitale alla comunicazione server (sempre)" ed entrambi vengono associati alla seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome valore: RequireSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito nei controller di dominio di Windows Server 2003 e di Windows 2000 Ŕ 1 (richiesto). Il valore predefinito nei controller di dominio di Windows NT 4.0 Ŕ 0 (non richiesto).
Per consentire la connessione dai computer basati su Windows NT 4.0 ai computer basati su Windows 2000, Ŕ necessario creare la seguente chiave del Registro di sistema sui computer basati su Windows 2000:
Nome valore: enableW9xsecuritysignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)
Nota Al valore del Registro di sistema EnableW9xsecuritysignature non Ŕ associato alcun Criterio di gruppo.

Configurazione della firma SMB in Windows NT 4.0

Aggiungi firma digitale al client: (Si tratta della chiave RDR, non di LanmanWorkstation come in Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nome valore: EnableSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito Ŕ 1 (attivato) sui computer che eseguono Windows NT 4.0 SP3 o versioni successive di Windows.
Nome valore: RequireSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito Ŕ 0 (non richiesto) sui computer che eseguono Windows NT 4.0 SP3 o versioni successive di Windows.
Il criterio contenente "Aggiungi firma digitale al server" viene associato alla seguente chiave del Registro di configurazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome valore: EnableSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito Ŕ 1 (attivato) nei controller di dominio di Windows Server 2003, Windows 2000 e Windows NT 4.0. Il valore predefinito per tutti gli altri computer che eseguono Windows NT 4.0 SP3 o versioni successive di Windows Ŕ 0 (disattivato).
Nome valore: RequireSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito Ŕ 1 (richiesto) sui controller di dominio di Windows Server 2003. Il valore predefinito per tutti gli altri computer che eseguono Windows NT 4.0 SP3 o versioni successive di Windows Ŕ 0 (non richiesto).


Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
161372 Come attivare la firma SMB in Windows NT

Configurazione della firma SMB in Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Aggiungere i due seguenti valori alla sottochiave del Registro di configurazione riportata di seguito:
Nome valore: EnableSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito in Windows 98 Ŕ 1 (attiva).
Nome valore: RequireSecuritySignature
Tipo dati: REG_DWORD
Dati: 0 (disattiva), 1 (attiva)

Nota Il valore predefinito in Windows 98 Ŕ 0 (disattivato).

Come determinare se la funzionalitÓ di firma SMB Ŕ attivata in una traccia di Network Monitor

Per determinare se la firma SMB Ŕ attivata, richiesta dal server o se sono attivate entrambe le impostazioni, visualizzare l'output di Negotiate Dialect Response analogo al seguente generato dal server (l'output originale potrebbe essere in inglese):

SMB: R negotiate, Dialect # = 5 
  SMB: Command = R negotiate 
      SMB: Security Mode Summary (NT) = [un valore di 3, 7 o 15] 
        SMB: .......1 = Protezione a livello utente 
          SMB: ......1. = Crittografia password


In questo output il campo "Security Mode Summary (NT) =" rappresenta le opzioni configurate sul server. Questo valore pu˛ essere 3, 7 o 15.

Per ulteriori informazioni sull'utilizzo di Network Monitor, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
812953 Come utilizzare Network Monitor per acquisire informazioni sul traffico di rete
Le informazioni riportate di seguito descrivono il significato dei numeri presenti nell'output di Negotiate Dialect Response analogo al seguente (l'output originale potrebbe essere in inglese):
UCHAR SecurityMode; Security mode:
bit 0: 0 = condivisione
bit 0: 1 = utente
bit 1: 1 = crittografia password
bit 2: 1 = Firme di protezione (numeri di sequenza di SMB) attivate
bit 3: 1 = Firme di protezione (numeri di sequenza di SMB) richieste


Se la firma SMB Ŕ disattivata sul server, il valore Ŕ 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Se la firma SMB Ŕ attivata e non richiesta sul server, il valore Ŕ 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Se la firma SMB Ŕ attivata e richiesta sul server, il valore Ŕ 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Per ulteriori informazioni su CIFS, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Scenari di utilizzo della firma SMB

Il comportamento della sessione SMB dopo la negoziazione del sottolinguaggio (Dialect Negotiation) mostra la configurazione del client.

Se la firma SMB Ŕ attivata e richiesta sia sul client che sul server oppure se Ŕ disattivata sul client e sul server, la connessione viene stabilita.

Se la firma SMB Ŕ attivata e richiesta sul client e disattivata sul server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del sottolinguaggio (Dialect Negotiation) e sul client viene visualizzato il seguente messaggio di errore "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Errore di sistema 1240. L'account non Ŕ autorizzato ad accedere al sistema dalla workstation in uso.
Se la firma SMB Ŕ disattivata sul client ed Ŕ attivata e richiesta sul server, sul client viene visualizzato il messaggio di errore "STATUS_ACCESS_DENIED" quando riceve una risposta Tree Connect o Transact2 per i riferimenti DFS.

ProprietÓ

Identificativo articolo: 887429 - Ultima modifica: giovedý 2 febbraio 2006 - Revisione: 2.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
Chiavi:á
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com