サーバー メッセージ ブロックの署名の概要

文書翻訳 文書翻訳
文書番号: 887429 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、サーバー メッセージ ブロック (SMB) の署名について説明します。SMB 署名と SMB プロトコルのセキュリティ メカニズムであるし、セキュリティ署名とも呼ばれます。SMB 署名は、SMB プロトコルのセキュリティを強化するために設計します。SMB 署名最初 Microsoft Windows NT 4.0 Service Pack 3 (SP3) および Microsoft Windows 98 で利用可能です。

次の SMB トピックは、この資料で説明します。
  • SMB 署名の既定の構成を指定します。
  • SMB 署名の Microsoft Windows Server 2003、Microsoft Windows XP、Microsoft Windows 2000、Windows NT 4.0 では、および Windows 98 を構成する方法を指定します。
  • SMB 署名は、ネットワーク モニターのトレースでできるかどうかを確認する方法
  • サンプル SMB 署名シナリオ。

詳細

ワークステーション サービスおよびサーバー サービスの既定の構成

SMB のセキュリティ署名と署名は、ワークステーション サービスおよびサーバー サービスの構成できます。ワークステーション サービスは発信接続に使用されます。サーバー サービスは、着信接続が使用されます。

SMB 署名を有効にすると、SMB 接続する署名をサポートするクライアントでは、SMB 接続する署名をサポートしないクライアントの可能性もあります。SMB 署名が必要な場合は、両方のコンピューターは SMB 接続では SMB 署名をサポートする必要があります。SMB 接続は 1 台のコンピューターが SMB 署名をサポートしていない場合は、成功です。既定では、SMB 署名送信 SMB セッション、次のオペレーティング システム上で有効です。
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
既定では、SMB 署名着信 SMB セッションを次のオペレーティング システム上で有効です。
  • Windows Server 2003 ベースのドメイン コント ローラー
  • Windows 2000 Server ベースのドメイン コント ローラー
  • Windows NT 4.0 Server ベースのドメイン コント ローラー
既定では、SMB 署名着信 SMB セッションを Windows Server 2003 ベースのドメイン コント ローラーに必要です。

SMB 署名の構成

ある場合は、オーバーライドするドメイン ポリシーがローカルのレジストリ値の変更が正しく機能しないために SMB 署名を構成するのには、グループ ポリシーを使用することをお勧めします。次のレジストリ値は、関連付けられたグループ ポリシーが構成されている場合に変更されます。

SMB 署名ポリシーの場所

メモ 「コンピューターの構成 windows の設定セキュリティの設定ローカル ポリシー セキュリティ オプション」グループ ポリシー オブジェクト エディターのパスで、次のグループ ポリシー設定があります。
Windows Server 2003 の既定のドメイン コント ローラー グループ ポリシー
ワークステーションとクライアント
Microsoft ネットワーク クライアント: 通信にデジタル署名常にポリシーの設定: 定義されていません
Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効な設定が定義されていない: (ローカル ポリシーにより) が有効になって

サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名常にポリシーの設定: 有効
Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効
Windows XP および 2003 のローカル コンピューターのグループ ポリシー
ワークステーションとクライアント
Microsoft ネットワーク クライアント: 通信にデジタル署名常にセキュリティの設定: 無効
Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うセキュリティの設定: 有効

サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名常にセキュリティの設定: 無効
Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うセキュリティの設定: 無効
Windows 2000 の既定のドメイン コント ローラー グループ ポリシー
ワークステーションとクライアント
クライアントとの通信にデジタル署名常にコンピューターの設定: 定義されていません
可能な場合)、クライアントの通信にデジタル署名を行うコンピューターの設定: 定義されていません

サーバー
サーバー間の通信にデジタル署名常にコンピューターの設定: 定義されていません
可能な場合)、サーバーの通信にデジタル署名を行うコンピューターの設定: 有効
Windows 2000 では、ローカル コンピューターのグループ ポリシー
ワークステーションとクライアント
クライアントとの通信にデジタル署名常にローカルの設定: 有効な設定を無効に: が無効になって
(可能であれば)、クライアントの通信にデジタル署名を行うローカルの設定: 有効な設定を有効に: が有効になって

サーバー
サーバー間の通信にデジタル署名常にローカルの設定: 有効な設定を無効に: 無効
(可能な場合)、サーバーの通信にデジタル署名ローカルの設定: 有効な設定を無効に: が無効になって

Windows Server 2003、Windows XP、および Windows 2000 のグループ ポリシー設定に関連付けられているレジストリの値

クライアント
Windows Server 2003 および Windows XP では、「Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行う」グループ ポリシー、および Windows 2000 では、「可能な場合)、クライアントの通信にデジタル署名」グループ ポリシー マップには、次のレジストリ サブキー。
します
値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003、Windows XP、および Windows 2000 の既定値は 1 (有効) です。

Windows Server 2003 および Windows XP では、「Microsoft ネットワーク クライアント: 通信にデジタル署名を」グループ ポリシー、および Windows 2000 では、[常にクライアントの通信にデジタル署名」グループ ポリシー マップには、次レジストリ サブキー。
します


値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003、Windows XP、および Windows 2000 の既定値 0 は (必須ではありません) です。
サーバー
Windows Server 2003 および Windows XP では、グループ ポリシーの名前"Microsoft ネットワーク クライアント: (クライアントが同意すれば、通信にデジタル署名を行う"、および Windows 2000 では、グループ ポリシー」(可能な場合)、サーバーの通信にデジタル署名」のマップには、次のレジストリ キーの名前します。
見つけて


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値は 1 (有効) です。Windows NT 4.0 ドメイン コント ローラーの既定値は 0 (無効) です。
Windows Server 2003 および Windows XP のポリシーという名前"Microsoft ネットワーク サーバー: 通信にデジタル署名を行う」
[常にサーバーの通信にデジタル署名」という Windows 2000 のポリシー両方の次のレジストリ キーにマップします。
見つけて


値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値 (必要な) 1 です。Windows NT 4.0 ドメイン コント ローラーの既定値 0 は (必須ではありません) です。
SMB 署名を使用して Windows 2000 ベースのコンピューターに接続できるように Windows NT 4.0 ベース コンピューターでは、Windows 2000 ベースのコンピューターで次のレジストリ値を作成しなければなりません。
値の名前: enableW9xsecuritysignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)
メモ グループ、EnableW9xsecuritysignature のレジストリ値に関連付けられているポリシーはありません。

SMB 署名の Windows NT 4.0 を設定します。

クライアントにデジタル署名を行う: (これ RDR の重要な Windows 2000 と LanmanWorkstation ないであることに注意してください)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は 1 (Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューターでは有効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は (必須ではありません) には 0 を Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューターです。
「サーバー ポリシー マップには、次のレジストリ キーで署名」。
見つけて


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は 1 (ドメイン コント ローラーの Windows Server 2003、Windows 2000 ドメイン コント ローラー、および Windows NT 4.0 ドメイン コント ローラーでは有効) です。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は 0 (無効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は (Windows Server 2003 ドメイン コント ローラーで必要) 1 です。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は 0 の (必須ではありません) です。


詳細については、以下の資料番号をクリックしてマイクロソフト サポート技術資料を参照してください。
161372Windows NT での署名の SMB を有効にする方法

SMB 署名の Windows 98 でを構成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
このレジストリ サブキーに、次の 2 つのレジストリ値を追加します。
値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows 98 の既定値は 1 (有効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows 98 の既定値は 0 (無効) です。

SMB 署名は、ネットワーク モニター トレースでできるかどうかを確認する方法

SMB 署名できるかどうか、サーバー、またはその両方に必要なを確認するには、5 から 7 へ、サーバーから参照してください。

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords


この応答で、"セキュリティ モード (NT) の概要 ="フィールドは、サーバー上で構成済みのオプションを表します。この値は、3、7、または 15 のいずれかになります。

ネットワーク モニターを使用する方法の詳細については、マイクロソフト サポート技術資料を参照する次の資料番号をクリックします。
812953ネットワーク トラフィックをキャプチャするネットワーク モニターを使用する方法
5 から 7 への数値が表す内容を説明する、次の情報を支援します。
UCHAR SecurityMode。セキュリティ モード:
ビット 0: 0 = の共有
ビット 0: 1 = ユーザー
ビット 1: 1 = パスワードを暗号化します。
ビット 2: 1 = セキュリティ署名 (SMB シーケンス番号) が有効になって
ビット 3: 1 = セキュリティ署名 (SMB シーケンス番号) が必要


サーバーで SMB 署名が無効になっている場合、値は 3 です。
「SMB: セキュリティ モードの概要 (NT) = 3 (0x3)」

SMB 署名が有効になり、サーバーには必要ない場合、値は 7 です。
「SMB: セキュリティ モードの概要 (NT) = 7 (0x7)」

SMB 署名が有効になり、サーバーで必要な場合は、値は 15 です。
「SMB: セキュリティ モードの概要 (NT) = 15 (0 xf)」
CIFS の詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

SMB 署名シナリオ

Dialect Negotiation 後 SMB セッションの動作をクライアントの構成を示しています。

SMB 署名が有効になり、クライアントとサーバーの両方で必要な場合、または SMB 署名は、クライアントとサーバーの両方が無効の場合、接続は成功しました。

SMB 署名を有効にし、クライアントで必要なは無効に場合、Dialect Negotiation 後に TCP セッションへの接続が正しく閉じられた、クライアントが次の「1240 (ERROR_LOGIN_WKSTA_RESTRICTION)」のエラー メッセージを受信。
システム エラー 1240 が発生しました。アカウントはこのステーションからログインする権限がありません。
クライアント側で SMB 署名が無効になっているツリー接続または Transact2 は DFS 紹介応答を受信すると有効になっていると、サーバーで必要なクライアント「STATUS_ACCESS_DENIED」のエラー メッセージ受信する場合。

プロパティ

文書番号: 887429 - 最終更新日: 2013年1月22日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbwinservnetwork kbsecurityservices kbhowto kbinfo kbmt KB887429 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:887429
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com