Visão geral da assinatura do Bloco de mensagens de servidor (SMB)

Traduções deste artigo Traduções deste artigo
ID do artigo: 887429 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve a assinatura do Bloco de mensagens de servidor (SMB). A assinatura SMB é um mecanismo de segurança no protocolo SMB e também é conhecida como assinaturas de segurança. A assinatura SMB foi desenvolvida para ajudar a melhorar a segurança do protocolo SMB. Ela foi disponibilizada pela primeira vez no Microsoft Windows NT 4.0 Service Pack 3 (SP3) e no Microsoft Windows 98.

Estes são os tópicos de SMB descritos nesse artigo:
  • A configuração padrão da assinatura SMB.
  • Como configurar a assinatura SMB no Microsoft Windows Server 2003, no Microsoft Windows XP, no Microsoft Windows 2000, no Windows NT 4.0 e no Windows 98.
  • Como determinar se a assinatura SMB está habilitada em um rastreador do Monitor de rede.
  • Situações de exemplo da assinatura SMB.

Mais Informações

Configuração padrão para os serviços de Estação de trabalho e Servidor

A assinatura SMB e as assinaturas de segurança podem ser configuradas para os serviços de Estação de trabalho e Servidor. O serviço de Estação de trabalho é usado em conexões de saída. Já o serviço de Servidor é usado em conexões de entrada.

Quando a assinatura SMB está habilitada, é possível que os clientes que oferecem e os que não oferecem suporte à assinatura SMB se conectem. Quando a assinatura SMB é obrigatória, ambos os computadores da conexão SMB devem oferecer suporte à assinatura SMB. A conexão SMB não terá êxito se um computador não oferecer suporte à assinatura SMB. Por padrão, a assinatura SMB é habilitada para sessões SMB de saída nos seguintes sistemas operacionais:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Por padrão, a assinatura SMB é habilitada para sessões SMB de entrada nos seguintes sistemas operacionais:
  • Controladores de domínio com o Windows Server 2003
  • Controladores de domínio com o Windows 2000 Server
  • Controladores de domínio com o Windows NT 4.0 Server
Por padrão, a assinatura SMB é obrigatória para sessões SMB de entrada em controladores de domínio com o Windows Server 2003.

Configurando a assinatura SMB

Recomendamos o uso de Diretivas de grupo para configurar a assinatura SMB, porque um valor de registro local não funciona corretamente caso haja uma diretiva de domínio substituta. Os seguintes valores de registro são alterados quando a Diretiva de grupo associada é configurada.

Locais de diretivas para a assinatura SMB

Observação As seguintes configurações de Diretivas de grupo estão localizadas no caminho do Editor de Objeto de diretiva de grupo "Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options".
Windows Server 2003 - Diretiva de Grupo dos controladores de domínio padrão
Estação de trabalho/Cliente
Cliente de rede Microsoft: Assinar digitalmente a comunicação (sempre) Configuração de Diretiva: não definida
Cliente de rede Microsoft: Assinar digitalmente a comunicação (se o servidor concordar) Configuração de Diretiva: não definida Configuração Efetiva: habilitada (por conta da diretiva local)

Servidor
Servidor de rede Microsoft: Assinar digitalmente a comunicação (sempre) Configuração de Diretiva: habilitada
Servidor de rede Microsoft: Assinar digitalmente a comunicação (se o cliente concordar) Configuração de Diretiva: habilitada
Windows XP e 2003 - Diretiva de grupo do computador local
Estação de trabalho/Cliente
Cliente de rede Microsoft: Assinar digitalmente a comunicação (sempre) Configuração de segurança: desabilitada:
Cliente de rede Microsoft: Assinar digitalmente a comunicação (se o servidor concordar) Configuração de segurança: habilitada

Servidor
Servidor de rede Microsoft: Assinar digitalmente a comunicação (sempre) Configuração de segurança: desabilitada:
Servidor de rede Microsoft: Assinar digitalmente a comunicação (se o cliente concordar) Configuração de segurança: desabilitada:
Windows 2000 - Diretiva de grupo dos controladores de domínio padrão
Estação de trabalho/Cliente
Assinar digitalmente a comunicação do cliente (sempre) Configuração do computador: não definida
Assinar digitalmente a comunicação do cliente (quando possível) Configuração do computador: não definida

Servidor
Assinar digitalmente a comunicação do servidor (sempre) Configuração do computador: não definida
Assinar digitalmente a comunicação do servidor (quando possível) Configuração do computador: habilitada
Windows 2000 - Diretiva de grupo do computador local
Estação de trabalho/Cliente
Assinar digitalmente a comunicação do cliente (sempre) Configuração local Desabilitada Configuração efetiva: desabilitada:
Assinar digitalmente a comunicação do cliente (quando possível) Configuração local Habilitada Configuração efetiva: habilitada

Servidor
Assinar digitalmente a comunicação do servidor (sempre) Configuração local Desabilitada Configuração efetiva: desabilitada:
Assinar digitalmente a comunicação do servidor (quando possível) Configuração local Desabilitada Configuração efetiva: desabilitada:

Valores do Registro associados à configuração da Diretiva de grupo para o Windows Server 2003, o Windows XP e o Windows 2000

Cliente
No Windows Server 2003 e no Windows XP, a Diretiva de grupo "Cliente de rede Microsoft: Assinar digitalmente a comunicação (se o servidor concordar)" e, no Windows 2000, a Diretiva de grupo "Assinar digitalmente a comunicação do cliente (quando possível)" são mapeadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão no Windows Server 2003, no Windows XP e no Windows 2000 é 1 (habilitado).

No Windows Server 2003 e no Windows XP, a Diretiva de grupo "Cliente de rede Microsoft: Assinar digitalmente a comunicação (sempre)" e, no Windows 2000, a Diretiva de grupo "Assinar digitalmente a comunicação do cliente (sempre)" são mapeadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão no Windows Server 2003, no Windows XP e no Windows 2000 é 0 (não obrigatório).
Servidor
No Windows Server 2003 e no Windows XP, a Diretiva de grupo "Cliente de rede Microsoft: Assinar digitalmente a comunicação (se o cliente concordar)" e, no Windows 2000, a Diretiva de grupo "Assinar digitalmente a comunicação do servidor (quando possível)" são mapeadas para a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão em controladores de domínio do Windows Server 2003 e do Windows 2000 é 1 (habilitado). O valor padrão em controladores de domínio do Windows NT 4.0 é 0 (desabilitado).
A diretiva do Windows Server 2003 e do Windows XP é chamada de "Servidor de rede Microsoft: Assinar digitalmente as comunicações (sempre)"
A diretiva do Windows 2000 é chamada "Assinar digitalmente a comunicação do servidor (sempre)" e ambas são mapeadas para a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão em controladores de domínio do Windows Server 2003 e do Windows 2000 é 1 (obrigatório). O valor padrão em controladores de domínio do Windows NT 4.0 é 0 (não obrigatório).
Para que computadores com Windows NT 4.0 consigam se conectar a computadores com Windows 2000 usando a assinatura SMB, você deve criar o seguinte valor de Registro em computadores com o Windows 2000:
Nome do valor: enableW9xsecuritysignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)
Observação Não há nenhuma Diretiva de grupo associada ao valor do Registro EnableW9xsecuritysignature.

Configurando a assinatura SMB no Windows NT 4.0

Assinar digitalmente o cliente: (Observe que se trata da chave RDR - e não LanmanWorkstation como no Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão é 1 (habilitado) em computadores com o Windows NT 4.0 SP3 ou versões mais recentes do Windows.
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão é 0 (não obrigatório) em computadores com o Windows NT 4.0 SP3 ou versões mais recentes do Windows.
"Assinar digitalmente o servidor" na diretiva é mapeado para a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão é 1 (habilitado) em controladores de domínio com o Windows Server 2003, o Windows 2000 e o Windows NT 4.0. O valor padrão para todos os demais computadores com o Windows NT 4.0 SP3 ou versões mais recentes do Windows em execução é 0 (desabilitado).
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão é 1 (obrigatório) em controladores de domínio com o Windows Server 2003. O valor padrão para todos os demais computadores com o Windows NT 4.0 SP3 ou versões mais recentes do Windows em execução é 0 (habilitado).


Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
161372 Como habilitar a assinatura SMB no Windows NT

Configurando a assinatura SMB no Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Adicione estes dois valores do Registro a esta subchave do Registro:
Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão no Windows 98 é 1 (habilitar).
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)

Observação O valor padrão no Windows 98 é 0 (desabilitar).

Como determinar se uma assinatura SMB está habilitada em um rastreador do Monitor de rede

Para determinar se a assinatura SMB está habilitada, solicitada no servidor ou ambos, veja a resposta de dialeto negociado do servidor:

SMB: R negotiate, Dialect # = 5 SMB: Command = R negotiate SMB: Security Mode Summary (NT) = [um valor de 3, 7 ou 15] SMB: .......1 = User level security SMB: ......1. = Encrypt passwords


Na resposta, o campo "Security Mode Summary (NT) =" representa as opções configuradas no servidor. Esse valor será 3, 7 ou 15.

Para obter informações adicionais sobre como usar o Monitor de rede, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
812953 Como usar o Monitor de rede para capturar o tráfego de rede
Estas informações a seguir ajudam a explicar o que representam os números da resposta de dialeto negociado:
UCHAR SecurityMode; Modo de segurança:
bit 0: 0 = share
bit 0: 1 = user
bit 1: 1 = encrypt passwords
bit 2: 1 = Security Signatures (SMB sequence numbers) enabled
bit 3: 1 = Security Signatures (SMB sequence numbers) required


Se a assinatura SMB estiver desabilitada no servidor, o valor será 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Se a assinatura SMB estiver habilitada e não for obrigatória no servidor, o valor será 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Se a assinatura SMB estiver habilitada e for obrigatória no servidor, o valor será 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Para obter informações adicionais sobre CIFS, visite o seguinte site da Microsoft (em inglês):
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Situações de assinatura SMB

O comportamento da sessão SMB após a negociação de dialeto mostra a configuração do cliente.

Se a assinatura SMB estiver habilitada e for obrigatória tanto no cliente quanto no servidor, ou se estiver desabilitada em ambos, a conexão será feita com êxito.

Se a assinatura SMB é ativada e solicitada no cliente e desativada no servidor, a conexão com a sessão TCP é fechada depois da negociação de dialeto e o cliente recebe a seguinte mensagem de erro "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Ocorreu erro de sistema 1240. A conta não está autorizada a efetuar logon a partir desta estação.
Se a assinatura SMB está desativada no cliente e ativada e solicitada no servidor, o cliente recebe a mensagem de erro "STATUS_ACCESS_DENIED" ao receber uma resposta para Tree Connect ou Transact2 para referências DFS.

Propriedades

ID do artigo: 887429 - Última revisão: terça-feira, 23 de maio de 2006 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
Palavras-chave: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com