서버 메시지 블록 서명 개요

기술 자료 번역 기술 자료 번역
기술 자료: 887429 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

이 문서에서는 SMB (서버 메시지 블록) 서명 설명합니다. SMB 서명을 보안 메커니즘은 SMB 프로토콜 에서 및 보안 서명을 알려져 있습니다. SMB 서명을 SMB 프로토콜은 보안 향상을 위해 설계되었습니다. SMB 서명을 먼저 Microsoft Windows NT 4.0 서비스 팩 3 (SP3) 및 Microsoft Windows 98을 사용할 수 없습니다.

이 문서에서는 다음 SMB 항목은 설명됩니다.
  • SMB 서명 기본 구성입니다.
  • SMB 서명 Microsoft Windows Server 2003, Windows XP, Microsoft Windows 2000, Windows NT 4.0 및 Windows 98 구성하는 방법
  • 네트워크 모니터 추적에서 SMB 서명을 사용할 수 있는지 여부를 확인하는 방법을 설명합니다.
  • 예제 SMB 서명 시나리오입니다.

추가 정보

워크스테이션 서비스와 서버 서비스에 대한 기본 구성

워크스테이션 서비스 및 서버 서비스에 대한 SMB 서명 및 보안 서명은 구성할 수 있습니다. 워크스테이션 서비스는 나가는 연결에 사용됩니다. 서버 서비스가 들어오는 연결에 사용됩니다.

SMB 서명이 활성화되면 SMB 연결할 서명을 지원하는 클라이언트에 대해 가능하면 및 SMB 연결할 서명을 지원하지 않는 클라이언트에 대해 수도 있습니다. SMB 서명이 필요한 경우 SMB 서명을 SMB 연결이 두 컴퓨터 모두 지원해야 합니다. SMB 연결이 한 컴퓨터가 SMB 서명을 지원하지 않는 경우 성공적인 아닙니다. 기본적으로 SMB 서명을 보내는 SMB 세션이 다음 운영 체제에서 사용할 수 있습니다.
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
기본적으로 SMB 서명을 들어오는 SMB 세션이 다음 운영 체제에서 사용할 수 있습니다.
  • Windows Server 2003 기반 도메인 컨트롤러
  • Windows 2000 Server 기반 도메인 컨트롤러
  • Windows NT 4.0 Server 기반 도메인 컨트롤러
기본적으로 SMB 서명을 Windows Server 2003 기반 도메인 컨트롤러에서 들어오는 SMB 세션이 필요합니다.

SMB 서명 구성

재정의 도메인 정책이 없으면 로컬 레지스트리 값 변경을 제대로 작동하지 않으므로 SMB 서명을 구성하려면 그룹 정책을 사용하는 것이 좋습니다. 연결된 그룹 정책을 구성할 때 다음 레지스트리 값이 변경됩니다.

SMB 서명 정책 위치

참고 다음 그룹 정책 설정 "컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션" 그룹 정책 개체 편집기에서 위치한 경로입니다.
Windows Server 2003 - 기본 도메인 컨트롤러 그룹 정책
워크스테이션/클라이언트
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (항상) 정책 설정: 정의되지 않았습니다.
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (서버에서 동의한 경우) 정책 설정: 실제 설정 정의: 로컬 정책 때문에 사용할 수 있습니다.

서버
Microsoft 네트워크 서버: 디지털 서명 통신 (항상) 정책 설정: 사용
Microsoft 네트워크 서버: 디지털 서명 통신 (클라이언트에서 동의한 경우) 정책 설정: 사용
Windows XP 및 2003에서 - 로컬 컴퓨터의 그룹 정책
워크스테이션/클라이언트
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (항상) 보안 설정: 사용 안 함
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (서버에서 동의한 경우) 보안 설정: 사용

서버
Microsoft 네트워크 서버: 디지털 서명 통신 (항상) 보안 설정: 사용 안 함
Microsoft 네트워크 서버: 디지털 서명 통신 (클라이언트에서 동의한 경우) 보안 설정: 사용 안 함
Windows 2000 - 기본 도메인 컨트롤러 그룹 정책
워크스테이션/클라이언트
클라이언트 쪽 통신에 디지털 서명 (항상) 컴퓨터 설정: 정의되지 않았습니다.
(가능하면) 클라이언트 통신에 디지털 서명 컴퓨터 설정: 정의되지 않았습니다.

서버
서버 쪽 통신에 디지털 서명 (항상) 컴퓨터 설정: 정의되지 않았습니다.
(가능하면) 서버 통신에 디지털 서명 컴퓨터 설정: 사용
Windows 2000 - 로컬 컴퓨터의 그룹 정책
워크스테이션/클라이언트
클라이언트 쪽 통신에 디지털 서명 (항상) 로컬 설정: 실제 설정 해제: 사용 안 함
(가능하면) 클라이언트 통신에 디지털 서명 로컬 설정: 실제 설정 사용: 사용

서버
서버 쪽 통신에 디지털 서명 (항상) 로컬 설정: 실제 설정 해제: 사용 안 함
(가능하면) 서버 통신에 디지털 서명 로컬 설정: 실제 설정 해제: 사용 안 함

Windows Server 2003, Windows XP 및 Windows 2000 그룹 정책 구성과 관련된 레지스트리 값

클라이언트
Windows Server 2003 및 Windows XP의 경우 "Microsoft 네트워크 클라이언트: 디지털 서명 통신 (서버에서 동의한 경우)" 그룹 정책 및 Windows 2000에서 해당 "디지털 서명 (가능하면) 클라이언트 통신" 그룹 정책 다음 레지스트리 하위 키에 매핑하는:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
값 이름: EnableSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows Server 2003, Windows XP 및 Windows 2000 기본값은 1 (사용) 입니다.

Windows Server 2003 및 Windows XP의 경우 "Microsoft 네트워크 클라이언트: 디지털 서명 통신 (항상)" 그룹 정책 및 Windows 2000에서 "클라이언트 통신 디지털 서명" 그룹 정책 맵에 다음 레지스트리 하위 키:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


값 이름: RequireSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows Server 2003, Windows XP 및 Windows 2000 기본값은 0 (필요하지 않음) 입니다.
서버
Windows Server 2003 및 Windows XP에서 그룹 정책 이름이 "Microsoft 네트워크 클라이언트: 디지털 서명 통신 (클라이언트에서 동의한 경우)", Windows 2000 그룹 정책 "디지털 서명 (가능하면) 서버 통신" 맵 다음 레지스트리 키에 명명된:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


값 이름: EnableSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows Server 2003 도메인 컨트롤러 및 Windows 2000 도메인 컨트롤러를 기본값은 1 (사용) 입니다. Windows NT 4.0 도메인 컨트롤러가 있는 기본값은 0 (사용 안 함) 입니다.
Windows Server 2003 및 Windows XP 정책 이름이 "Microsoft 네트워크 서버: 디지털 서명 통신 (항상)"
Windows 2000 정책 "서버 통신에 디지털 서명" 이며 모두 다음 레지스트리 키 매핑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


값 이름: RequireSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows Server 2003 도메인 컨트롤러 및 Windows 2000 도메인 컨트롤러를 기본값은 1 (필수) 입니다. Windows NT 4.0 도메인 컨트롤러가 있는 기본값은 0 (필요하지 않음) 입니다.
SMB 서명을 사용하여 Windows 2000 기반 컴퓨터에 연결할 수 있도록 Windows NT 4.0 기반 컴퓨터의 경우 Windows 2000 기반 컴퓨터에서 다음 레지스트리 값을 만들어야 합니다.
값 이름: enableW9xsecuritysignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)
참고 EnableW9xsecuritysignature 레지스트리 값과 관련된 그룹 정책 것입니다.

SMB 서명을 Windows NT 4.0 구성

클라이언트 디지털 서명: RDR 키가 - LanmanWorkstation Windows 2000에서 같이 되도록 알림
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


값 이름: EnableSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 기본 값은 1 (Windows NT 4.0 SP3 또는 이후 버전의 Windows 실행하는 컴퓨터에서 사용할 수 있음) 입니다.
값 이름: RequireSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows NT 4.0 SP3 또는 이후 버전의 Windows 실행하는 컴퓨터에서 0 (필요하지 않음) 기본값입니다.
"디지털 서버 정책 맵을 다음 레지스트리 키에 있는 서명":
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


값 이름: EnableSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 기본값은 1 (Windows Server 2003 도메인 컨트롤러, Windows 2000 도메인 컨트롤러 및 Windows NT 4.0 도메인 컨트롤러가 사용) 입니다. Windows NT 4.0 SP3 또는 이후 버전의 Windows 실행 중인 다른 모든 컴퓨터에 대한 기본값은 0 (사용 안 함) 입니다.
값 이름: RequireSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 기본 값은 1 (Windows Server 2003 도메인 컨트롤러에 필요) 입니다. Windows NT 4.0 SP3 또는 이후 버전의 Windows 실행 중인 다른 모든 컴퓨터에 대한 기본값은 0 (필요하지 않음) 입니다.


자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
161372SMB 서명을 Windows NT에서 사용 방법

SMB 서명을 Windows 98 구성

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
이 레지스트리 하위 키에 다음 두 레지스트리 값을 추가하십시오.
값 이름: EnableSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows 98에서 기본값은 1 (사용 가능) 입니다.
값 이름: RequireSecuritySignature
데이터 형식: REG_DWORD
데이터: 0 (해제), 1 (사용 가능)

참고 Windows 98의 기본값은 0 (사용 안 함) 입니다.

네트워크 모니터 추적에서 SMB 서명을 사용할 수 있는지 여부를 확인하는 방법

SMB 서명을 사용할 수 있는지 여부를, 서버 또는 둘 다 필요한 확인하려면 서버의 협상 통용어 응답 보기:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords


이 응답에 있는 "보안 모드 요약 (NT) =" 서버에서 구성된 옵션 필드를 나타냅니다. 이 값은 3, 7 또는 15 됩니다.

네트워크 모니터를 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
812953네트워크 모니터를 사용하여 네트워크 트래픽을 캡처하는 방법
다음 정보를 어떻게 협상 통용어 응답 번호를 나타내는 설명하는 데 도움이 됩니다.
UCHAR SecurityMode, 보안 모드:
비트 0: 0 = 공유
비트 0: 1 = 사용자
비트 1: 1 = 암호 암호화
비트 2: 1 = 보안 사용할 서명 (SMB 시퀀스 번호)
비트 3: 1 = 보안 필요한 서명 (SMB 시퀀스 번호)


서버에서 SMB 서명을 사용할 수 없을 경우 값은 3입니다.
"SMB: 보안 모드 요약 (NT) = 3 (0x3)"

SMB 서명을 사용 및 서버에서 필요한 경우 7 값입니다.
"SMB: 보안 모드 요약 (NT) = 7 (0x7)"

SMB 서명을 사용 및 서버에서 필요한 경우 15 값입니다.
"SMB: 보안 모드 요약 (NT) = 15 (0xF)"
CIFS에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

SMB 서명 시나리오

통용어 협상 후에 SMB 세션 동작을 클라이언트 구성을 보여 줍니다.

SMB 서명 사용 및 클라이언트와 서버에서, 필요한 경우 또는 SMB 서명을 클라이언트 및 서버 모두에서 사용할 경우 연결이 성공합니다.

SMB 서명을 사용 및 클라이언트에서 필요한 서버에서 사용할 경우 TCP 세션 연결이 정상적으로 통용어 협상 후 닫혀 있고 클라이언트에 다음 "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)" 오류 메시지가 나타납니다.
시스템 오류 1240 생김. 계정이 이 스테이션에서 로그인할 수 있는 권한이 없습니다.
SMB 서명을 클라이언트에서 사용할 수 및 가능한 서버에서 필요한 경우 클라이언트 DFS 조회 트리 연결 또는 Transact2 응답의 받을 때 "STATUS_ACCESS_DENIED" 오류 메시지가 나타납니다.

속성

기술 자료: 887429 - 마지막 검토: 2007년 11월 30일 금요일 - 수정: 2.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
키워드:?
kbmt kbwinservnetwork kbsecurityservices kbhowto kbinfo KB887429 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com