Descrição geral de assinaturas SMB

Traduções de Artigos Traduções de Artigos
Artigo: 887429 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve assinaturas do bloco de mensagens de servidor (SMB, Server Message Block). Uma assinatura SMB é um mecanismo de segurança do protocolo SMB e também é conhecido como assinatura de segurança. Uma assinatura SMB é concebida para ajudar a melhorar a segurança do protocolo SMB. As assinaturas SMB foram implementadas pela primeira vez no Microsoft Windows NT 4.0 Service Pack 3 (SP3) e no Microsoft Windows 98.

Neste artigo são descritos os seguintes tópicos sobre o SMB:
  • A configuração predefinida de assinaturas SMB.
  • Como configurar assinaturas SMB no Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 e Windows 98.
  • Como determinar se a assinatura SMB está activa num rastreio do Monitor de rede.
  • Cenários de exemplo de assinaturas SMB.
Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido). As opções mencionadas neste artigo poderão estar em inglês, consoante a versão do sistema operativo ou dos componentes instalados.

Mais Informação

Configuração predefinida para o serviço 'Estação de trabalho' e o serviço 'Servidor'

As assinaturas SMB e assinaturas de segurança podem ser configuradas para o serviço Estação de trabalho e para o serviço Servidor. O serviço Estação de trabalho é utilizado para ligações de saída. O serviço Servidor é utilizado para ligações de entrada.

Quando as assinaturas SMB estão activas, os clientes que suportam as assinaturas SMB conseguem estabelecer ligação, mas os clientes que não suportem também poderão conseguir. Quando a assinatura SMB é necessária, ambos os computadores da ligação SMB têm de suportar assinaturas SMB. Uma ligação SMB não é efectuada com êxito se um computador não suportar assinaturas SMB. Por predefinição, as assinaturas SMB estão activas para sessões de SMB de saída nos seguintes sistemas operativos:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Por predefinição, as assinaturas SMB estão activas para sessões de SMB de entrada nos seguintes sistemas operativos:
  • Controladores de domínio baseados no Windows Server 2003
  • Controladores de domínio baseados no Windows 2000 Server
  • Controladores de domínio baseados no Windows NT 4.0 Server
Por predefinição, a assinatura SMB é necessária para sessões de SMB de entrada nos controladores de domínio baseados no Windows Server 2003.

Configurar assinaturas SMB

Recomendamos a utilização de políticas de grupo para configurar assinaturas SMB uma vez que uma alteração do valor de registo local não funcionará correctamente se existir uma política de domínio com precedência. Os seguintes valores de registo são alterados quando a política de grupo associada é configurada.

Localizações de políticas para assinaturas SMB

Nota: as seguintes definições da política de grupo estão localizadas no caminho do editor de objectos de política de grupo "Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança".
Windows Server 2003 - política de grupo predefinida de controladores de domínio
Estação de trabalho/Cliente
Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) Definição de política: Não definido
Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) Definição de política: Não definido Definição efectiva: Activado (devido à política local)

Servidor
Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) Definição de política: Activado
Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar) Definição de política: Activado
Windows XP e 2003 - política de grupo de computador local
Estação de trabalho/Cliente
Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) Definição de segurança: Desactivado
Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) Definição de segurança: Activado

Servidor
Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) Definição de segurança: Desactivado
Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar) Definição de segurança: Desactivado
Windows 2000 - política de grupo predefinida de controladores de domínio
Estação de trabalho/Cliente
Assina digitalmente a comunicação do cliente (sempre) Definição de computador: Não definido
Assina digitalmente a comunicação do cliente (sempre que for possível) Definição de computador: Não definido

Servidor
Assina digitalmente a comunicação do servidor (sempre) Definição de computador: Não definido
Assina digitalmente a comunicação do servidor (sempre que for possível) Definição de computador: Activado
Windows 2000 - política de grupo do computador local
Estação de trabalho/Cliente
Assina digitalmente a comunicação do cliente (sempre) Definição local: Desactivado Definição efectiva: Desactivado
Assina digitalmente a comunicação do cliente (sempre que for possível) Definição local: Activado Definição efectiva: Activado

Servidor
Assina digitalmente a comunicação do servidor (sempre) Definição local: Desactivado Definição efectiva: Desactivado
Assina digitalmente a comunicação do servidor (sempre que for possível) Definição local: Desactivado Definição efectiva: Desactivado

Valores de registo associados à configuração da política de grupo para o Windows Server 2003, Windows XP e Windows 2000

Cliente
A política de grupo "Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar)", no Windows Server 2003 e no Windows XP, e a política de grupo "Assina digitalmente a comunicação do cliente (sempre que for possível)", no Windows 2000, mapeiam para a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido no Windows Server 2003, Windows XP e no Windows 2000 é 1 (activada).

A política de grupo "Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)", no Windows Server 2003 e no Windows XP, e a política de grupo "Assina digitalmente a comunicação do cliente (sempre)", no Windows 2000, mapeiam para a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido no Windows Server 2003, Windows XP e no Windows 2000 é 0 (não necessário).
Servidor
A política de grupo com o nome "Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar)", no Windows Server 2003 e no Windows XP, e a política de grupo com o nome "Assina digitalmente a comunicação do servidor (sempre que for possível)", no Windows 2000, mapeiam para a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido nos controladores de domínio do Windows Server 2003 e nos controladores de domínio do Windows 2000 é 1 (activada). O valor predefinido nos controladores de domínio do Windows NT 4.0 é 0 (desactivada).
A política do Windows Server 2003 e do Windows XP tem o nome "Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)"; a política do Windows 2000 tem o nome "Assina digitalmente a comunicação do servidor (sempre)" e ambas mapeiam para a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido nos controladores de domínio do Windows Server 2003 e nos controladores de domínio do Windows 2000 é 1 (necessário). O valor predefinido nos controladores de domínio do Windows NT 4.0 é 0 (não necessário).
Para que os computadores baseados no Windows NT 4.0 consigam estabelecer ligação com computadores baseados no Windows 2000 utilizando assinaturas SMB, tem de criar o seguinte valor de registo nos computadores baseados no Windows 2000:
Nome do valor: enableW9xsecuritysignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)
Nota: não existe qualquer política de grupo associada ao valor de registo EnableW9xsecuritysignature.

Configurar assinaturas SMB no Windows NT 4.0

Digitally sign client: (repare que esta é a chave RDR - e não LanmanWorkstation como no Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido é 1 (activada) em computadores com o Windows NT 4.0 SP3 ou versões posteriores do Windows.
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido é 0 (não necessário) em computadores com o Windows NT 4.0 SP3 ou versões posteriores do Windows.
"Digitally sign server" na política mapeia para a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido é 1 (activada) nos controladores de domínio do Windows Server 2003, controladores de domínio do Windows 2000 e controladores de domínio do Windows NT 4.0. O valor predefinido para todos os outros computadores com o Windows NT 4.0 SP3 ou versões posteriores do Windows é 0 (desactivada).
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido é 1 (necessário) nos controladores de domínio do Windows Server 2003. O valor predefinido para todos os outros computadores com o Windows NT 4.0 SP3 ou versões posteriores do Windows é 0 (não necessário).


Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
161372 How to Enable SMB signing in Windows NT

Configurar assinaturas SMB no Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Adicione os seguintes dois valores de registo a esta subchave de registo:
Nome do valor: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido no Windows 98 é 1 (activar).
Nome do valor: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desactivar), 1 (activar)

Nota: o valor predefinido no Windows 98 é 0 (desactivada).

Como determinar se a assinatura SMB está activa num rastreio do 'Monitor de rede'

Para determinar se as assinaturas SMB estão activadas, são necessárias no servidor, ou ambas, consulte a resposta "Negotiate Dialect" do servidor:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords



Nesta resposta o campo "Security Mode Summary (NT) =" representa as opções configuradas no servidor. Este valor será 3, 7 ou 15.

Para obter informações adicionais sobre como utilizar o Monitor de rede, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
812953 How to use Network Monitor to capture network traffic
As informações que se seguem ajudam a explicar o que representam os números da resposta "Negotiate Dialect":
Modo de segurança UCHAR; Modo de segurança:
bit 0: 0 = partilha
bit 0: 1 = utilizador
bit 1: 1 = encriptar palavras-passe
bit 2: 1 = Assinaturas de segurança (números de sequência SMB) activadas
bit 3: 1 = Assinaturas de segurança (números de sequência SMB) necessárias


Se a assinatura SMB estiver desactivada no servidor, o valor é 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Se a assinatura SMB estiver activada e não for necessária no servidor, o valor é 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Se a assinatura SMB estiver activada e for necessária no servidor, o valor é 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Para obter informações adicionais sobre CIFS, visite o seguinte Web site da Microsoft:
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Cenários de assinaturas SMB

O comportamento da sessão de SMB após a fase "Dialect Negotiation" apresenta a configuração do cliente.

Se a assinatura SMB estiver activada e for necessária no cliente e no servidor, ou se a assinatura SMB estiver desactivada no cliente e no servidor, a ligação será efectuada com êxito.

Se a assinatura SMB estiver activada e for necessária no cliente, e estiver desactivada no servidor, a ligação à sessão de TCP será terminada graciosamente depois da fase "Dialect Negotiation" e o cliente receberá a seguinte mensagem de erro "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Ocorreu o erro de sistema 1240. A conta não está autorizada a iniciar sessão a partir desta estação.
Se a assinatura SMB estiver desactivada no cliente, e estiver activada e for necessária no servidor, o cliente receberá a mensagem de erro "STATUS_ACCESS_DENIED" quando receber uma resposta a Tree Connect ou Transact2 de referências DFS.

Propriedades

Artigo: 887429 - Última revisão: 13 de setembro de 2006 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Segunda Edição
Palavras-chave: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com