Omówienie podpisywania bloku komunikatów serwera (SMB, Server Message Block)

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 887429 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

W tym artykule opisano podpisywanie Server Message Block (SMB). Podpisywanie SMB to mechanizm zabezpieczeń w protokole SMB znany również jako podpisy zabezpieczeń. Podpisywanie SMB zaprojektowano w celu podwyższenia poziomu zabezpieczeń protokołu SMB. Podpisywanie SMB po raz pierwszy było dostępne w dodatku Service Pack 3 (SP3) dla systemu Microsoft Windows NT 4.0 i w systemie Microsoft Windows 98.

W tym artykule opisano następujące tematy dotyczące SMB:
  • Domyślna konfiguracja podpisywania SMB.
  • Jak skonfigurować podpisywanie SMB w systemach Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 i Windows 98.
  • Jak określić, czy podpisywanie SMB jest włączone w pliku śledzenia Monitora sieci.
  • Przykładowe scenariusze podpisywania SMB.

Więcej informacji

Konfiguracja domyślna dla usługi Stacja robocza i usługi Serwer

Podpisywanie SMB i sygnatury zabezpieczeń można skonfigurować dla usługi Stacja robocza i dla usługi Serwer. Usługa Stacja robocza jest używana dla połączeń wychodzących. Usługa Serwer jest używana dla połączeń przychodzących.

Gdy jest włączone podpisywanie SMB, mogą się połączyć zarówno klienci obsługujący podpisywanie SMB, jak i nieobsługujący podpisywania SMB. Jeśli podpisywanie SMB jest wymagane, oba komputery uczestniczące w połączeniu SMB muszą obsługiwać podpisywanie SMB. Połączenie SMB nie powiedzie się, jeśli jeden z komputerów nie obsługuje podpisywania SMB. Domyślnie podpisywanie SMB jest włączone dla wychodzących sesji SMB w następujących systemach operacyjnych:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Domyślnie podpisywanie SMB jest włączone dla przychodzących sesji SMB w następujących systemach operacyjnych:
  • Kontrolery domeny z systemem Windows 2003 Server
  • Kontrolery domeny z systemem Windows 2000 Server
  • Kontrolery domeny z systemem Windows NT 4.0 Server
Domyślnie podpisywanie SMB jest wymagane dla przychodzących sesji SMB na kontrolerach domeny z systemem Windows Server 2003.

Konfigurowanie podpisywania SMB

Zaleca się użycie zasad grupy do skonfigurowania podpisywania SMB, ponieważ zmiana lokalnej wartości rejestru nie działa poprawnie, jeśli istnieje zastępująca ją zasada na poziomie domeny. Przedstawione poniżej wartości rejestru ulegają zmianie, gdy są konfigurowane skojarzone z nimi zasady grupy.

Lokalizacje zasad dla podpisywania SMB

Uwaga: Poniższe ustawienia zasad grupy znajdują się w ścieżce „Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń” Edytora obiektu zasad grupy.
Windows Server 2003 — domyślne zasady grupy kontrolerów domeny
Stacja robocza/Klient
Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) Ustawienie zasady: niezdefiniowane
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) Ustawienie zasady: niezdefiniowane Ustawienie faktyczne: włączone (z powodu zasady lokalnej)

Serwer
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) Ustawienie zasady: włączone
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) Ustawienie zasady: włączone
Windows XP i 2003 — zasady grupy komputera lokalnego
Stacja robocza/Klient
Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) Ustawienie zabezpieczeń: wyłączone
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) Ustawienie zabezpieczeń: włączone

Serwer
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) Ustawienie zabezpieczeń: wyłączone
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) Ustawienie zabezpieczeń: wyłączone
Windows 2000 — domyślne zasady grupy kontrolerów domeny
Stacja robocza/Klient
Podpisuj cyfrowo komunikację klienta (zawsze) Ustawienie komputera: niezdefiniowane
Podpisuj cyfrowo komunikację klienta (jeśli to możliwe) Ustawienie komputera: niezdefiniowane

Serwer
Podpisuj cyfrowo komunikację serwera (zawsze) Ustawienie komputera: niezdefiniowane
Podpisuj cyfrowo komunikację serwera (jeśli to możliwe) Ustawienie komputera: włączone
Windows 2000 — zasady grupy komputera lokalnego
Stacja robocza/Klient
Podpisuj cyfrowo komunikację klienta (zawsze) Ustawienie lokalne: wyłączone Ustawienie efektywne: wyłączone
Podpisuj cyfrowo komunikację klienta (jeśli to możliwe) Ustawienie lokalne: włączone Ustawienie efektywne: włączone

Serwer
Podpisuj cyfrowo komunikację serwera (zawsze) Ustawienie lokalne: wyłączone Ustawienie efektywne: wyłączone
Podpisuj cyfrowo komunikację serwera (jeśli to możliwe) Ustawienie lokalne: wyłączone Ustawienie efektywne: wyłączone

Wartości rejestru skojarzone z konfiguracją zasad grupy dla systemów Windows Server 2003, Windows XP i Windows 2000

Klient
W systemach Windows Server 2003 i Windows XP zasada grupy „Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera)” i w systemie Windows 2000 zasada grupy „Podpisuj cyfrowo komunikację klienta (jeśli to możliwe)” są mapowane do następującego podklucza rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nazwa wartości: EnableSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartością domyślną w systemach Windows Server 2003, Windows XP i Windows 2000 jest 1 (włączone).

W systemach Windows Server 2003 i Windows XP zasada grupy „Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)” i w systemie Windows 2000 zasada grupy „Podpisuj cyfrowo komunikację klienta (zawsze)" są mapowane na następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nazwa wartości: RequireSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartością domyślną w systemach Windows Server 2003, Windows XP i Windows 2000 jest 0 (niewymagane).
Serwer
W systemach Windows Server 2003 i Windows XP zasada grupy „Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta)” i w systemie Windows 2000 zasada grupy „Podpisuj cyfrowo komunikację serwera (jeśli to możliwe)" są mapowane na następujący klucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nazwa wartości: EnableSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartością domyślną na kontrolerach domeny z systemem Windows Server 2003 i kontrolerach domeny z systemem Windows 2000 jest 1 (włączone). Wartością domyślną na kontrolerach domeny z systemem Windows NT 4.0 jest 0 (wyłączone).
W systemach Windows Server 2003 i Windows XP zasada „Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)”
i w systemie Windows 2000 zasada „Podpisuj cyfrowo komunikację serwera (zawsze)” są mapowane na następujący klucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nazwa wartości: RequireSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartością domyślną na kontrolerach domeny z systemem Windows Server 2003 i kontrolerach domeny z systemem Windows 2000 jest 1 (wymagane). Wartością domyślną na kontrolerach domeny z systemem Windows NT 4.0 jest 0 (niewymagane).
Aby komputery z systemem Windows NT 4.0 mogły się łączyć z komputerami z systemem Windows 2000 przy użyciu podpisywania SMB, na komputerach z systemem Windows 2000 trzeba utworzyć następującą wartość rejestru:
Nazwa wartości: enableW9xsecuritysignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)
Uwaga: Z wartością rejestru EnableW9xsecuritysignature nie jest skojarzona żadna zasada grupy.

Konfigurowanie podpisywania SMB w systemie Windows NT 4.0

Podpisuj cyfrowo klienta. (Należy zwrócić uwagę, że jest to klucz RDR, a nie LanmanWorkstation, jak w systemie Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nazwa wartości: EnableSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartość domyślna wynosi 1 (włączone) na komputerach z systemem Windows NT 4.0 z dodatkiem SP3 lub z nowszą wersją systemu Windows.
Nazwa wartości: RequireSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartość domyślna wynosi 0 (niewymagane) na komputerach z systemem Windows NT 4.0 z dodatkiem SP3 lub z nowszą wersją systemu Windows.
Zasada „Podpisuj cyfrowo serwer” jest mapowana na następujący klucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nazwa wartości: EnableSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartością domyślną na kontrolerach domeny z systemem Windows Server 2003, kontrolerach domeny z systemem Windows 2000 i kontrolerach domeny z systemem Windows NT 4.0 jest 1 (włączone). Wartością domyślną na wszystkich innych komputerach, z systemem Windows NT 4.0 z dodatkiem SP3 lub z nowszą wersją systemu Windows, jest 0 (wyłączone).
Nazwa wartości: RequireSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartość domyślna wynosi 1 (wymagane) na kontrolerach domeny z systemem Windows Server 2003. Wartością domyślną na wszystkich innych komputerach, z systemem Windows NT 4.0 z dodatkiem SP3 lub z nowszą wersją systemu Windows, jest 0 (niewymagane).


Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
161372 How to Enable SMB Signing in Windows NT

Konfigurowanie podpisywania SMB w systemie Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Należy dodać dwie następujące wartości rejestru do tego podklucza rejestru:
Nazwa wartości: EnableSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartość domyślna w systemie Windows 98 wynosi 1 (włączone).
Nazwa wartości: RequireSecuritySignature
Typ danych: REG_DWORD
Dane: 0 (wyłączone), 1 (włączone)

Uwaga: Wartość domyślna w systemie Windows 98 wynosi 0 (wyłączone).

Jak określić, czy podpisywanie SMB jest włączone w pliku śledzenia Monitora sieci

Aby ustalić, czy podpisywanie SMB jest włączone, wymagane na serwerze lub zarówno włączone, jak i wymagane, należy przejrzeć odpowiedź Negotiate Dialect Response z tego serwera:

SMB: R negotiate, Dialect # = 5 
	SMB: Command = R negotiate 
		SMB: Security Mode Summary (NT) = [wartość 3, 7 lub 15] 
			SMB: .......1 = Zabezpieczenia poziomu użytkownika 
				SMB: ......1. = Szyfrowanie haseł


W tej odpowiedzi pole „Security Mode Summary (NT) =” reprezentuje skonfigurowane opcje serwera. Ta wartość będzie wynosić 3, 7 lub 15.

Aby uzyskać dodatkowe informacje dotyczące sposobu korzystania z Monitora sieci, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
812953 How to use Network Monitor to capture network traffic
Następujące informacje wyjaśniają, co znaczą numery odpowiedzi Negotiate Dialect Response:
UCHAR SecurityMode; tryb zabezpieczeń:
bit 0: 0 = udział
bit 0: 1 = użytkownik
bit 1: 1 = szyfrowanie haseł
bit 2: 1 = włączone sygnatury zabezpieczeń (numery kolejne SMB)
bit 3: 1 = wymagane sygnatury zabezpieczeń (numery kolejne SMB)


Jeśli podpisywanie SMB jest wyłączone na serwerze, wartość wynosi 3.
„SMB: Security Mode Summary (NT) = 3 (0x3)”

Jeśli podpisywanie SMB jest włączone i niewymagane na serwerze, wartość wynosi 7:
„SMB: Security Mode Summary (NT) = 7 (0x7)”

Jeśli podpisywanie SMB jest włączone i wymagane na serwerze, wartość wynosi 15:
„SMB: Security Mode Summary (NT) = 15 (0xF)”
Aby uzyskać dodatkowe informacje dotyczące protokołu CIFS, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Scenariusze podpisywania SMB

Zachowanie sesji SMB po operacji Dialect Negotiation pokazuje konfigurację klienta.

Jeśli podpisywanie SMB jest włączone i wymagane zarówno na kliencie, jak i serwerze lub wyłączone na obu, połączenie jest udane.

Jeśli podpisywanie SMB jest włączone i wymagane na kliencie, a wyłączone na serwerze, połączenie z sesją TCP jest łagodnie zamykane po operacji Dialect Negotiation, a klient odbiera następujący komunikat o błędzie: „1240 (ERROR_LOGIN_WKSTA_RESTRICTION)”:
Wystąpił błąd systemowy 1240. Brak upoważnienia konta do logowania się z tej stacji.
Jeśli podpisywanie SMB jest wyłączone na kliencie, a włączone i wymagane na serwerze, klient odbiera komunikat o błędzie „STATUS_ACCESS_DENIED” po uzyskaniu odpowiedzi na pakiety Tree Connect lub Transact2 dla odwołań systemu DFS.

Właściwości

Numer ID artykułu: 887429 - Ostatnia weryfikacja: 3 marca 2006 - Weryfikacja: 2.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
Słowa kluczowe: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com