Обзор подписывания SMB (Server Message Block)

Переводы статьи Переводы статьи
Код статьи: 887429 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение

В данной статье описано подписывание SMB (Server Message Block). Подписывание SMB – это механизм обеспечения безопасности протокола SMB, также называемый подписями безопасности. Подписывание SMB предназначено для повышения безопасности протокола SMB. Впервые подписывание SMB было реализовано в Microsoft Windows NT 4.0 с пакетом обновлений 3 (SP3) и Microsoft Windows 98.

В этой статье рассматриваются следующие вопросы:
  • Настройка подписывания SMB по умолчанию.
  • Настройка подписывания SMB в Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 и Windows 98.
  • Определение, включено ли подписывание SMB с помощью трассировки сетевого монитора.
  • Примеры сценариев подписывания SMB.

Дополнительная информация

Конфигурация по умолчанию службы рабочей станции и службы сервера

Подписывание SMB и подписи безопасности могут быть настроены для службы рабочей станции и для серверной службы. Служба рабочей станции используется для исходящих подключений, а серверная служба – для входящих.

Если подписывание SMB включено, к серверу могут подключиться как те клиенты, которые поддерживают подписывание SMB, так и те, которые его не поддерживают. Если подписывание SMB требуется, то оба компьютера, подключающиеся по протоколу SMB, должны поддерживать эту функцию. В противном случае подключение по протоколу SMB не будет установлено. По умолчанию подписывание SMB включено для исходящих подключений по протоколу SMB в следующих операционных системах:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
По умолчанию подписывание SMB включено для входящих подключений по протоколу SMB в следующих операционных системах:
  • Windows Server 2003 (контроллеры домена)
  • Windows 2000 Server (контроллеры домена)
  • Windows NT 4.0 Server (контроллеры домена)
По умолчанию подписывание SMB обязательно для входящих подключений SMB на контроллерах домена под управлением Windows Server 2003

Настройка подписывания SMB

Подписывание SMB следует настраивать с помощью групповой политики, поскольку изменение параметра реестра на локальном компьютере не будет иметь никакого эффекта при наличии политики домена, перекрывающей эту политику. При настройке соответствующей групповой политики изменяются следующие параметры реестра.

Размещение политик для подписывания SMB

Примечание. Перечисленные далее параметры групповой политики содержатся в следующем разделе редактора объектов групповой политики «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности»
Windows Server 2003 – групповая политика по умолчанию для контроллеров домена
Рабочая станция/Клиент
Клиент сети Microsoft: использовать цифровую подпись (всегда) Параметр политики: не определено
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Параметр политики: не определено Действующий параметр: включен (из-за локальной политики)

Сервер
Сервер сети Microsoft: использовать цифровую подпись (всегда) Параметр политики: включен
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Параметр политики: включен
Windows XP и 2003 – групповая политика локального компьютера
Рабочая станция/Клиент
Клиент сети Microsoft: использовать цифровую подпись (всегда) Параметр безопасности: отключен
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Параметр безопасности: включен

Сервер
Сервер сети Microsoft: использовать цифровую подпись (всегда) Параметр безопасности: отключен
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Параметр безопасности: отключен
Windows 2000 – групповая политика по умолчанию для контроллеров домена
Рабочая станция/Клиент
Использовать цифровую подпись при обмене данными с клиентами (всегда) Параметр компьютера: не определено
Использовать цифровую подпись при обмене данными с клиентами (если возможно) Параметр компьютера: не определено

Сервер
Использовать цифровую подпись при обмене данными между серверами (всегда) Параметр компьютера: не определено
Использовать цифровую подпись при обмене данными между серверами (если возможно) Параметр компьютера: включен
Windows 2000 – групповая политика локального компьютера
Рабочая станция/Клиент
Использовать цифровую подпись при обмене данными с клиентами (всегда) Локальный параметр: отключен Действующий параметр: отключен
Использовать цифровую подпись при обмене данными с клиентами (если возможно) Локальный параметр: включен Действующий параметр: включен

Сервер
Использовать цифровую подпись при обмене данными между серверами (всегда) Локальный параметр: отключен Действующий параметр: отключен
Использовать цифровую подпись при обмене данными между серверами (если возможно) Локальный параметр: отключен Действующий параметр: отключен

Параметры реестра, связанные с настройкой групповой политики для Windows Server 2003, Windows XP и Windows 2000

Клиент
Групповая политика «Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)» в Windows Server 2003 и Windows XP и групповая политика «Использовать цифровую подпись при обмене данными с клиентами (если возможно)» в Windows 2000 сопоставлены со следующим разделом реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Параметр: EnableSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. В Windows Server 2003, Windows XP и Windows 2000 значение по умолчанию – 1 (включен).

Групповая политика «Клиент сети Microsoft: использовать цифровую подпись (всегда)» в Windows Server 2003 и Windows XP и групповая политика «Использовать цифровую подпись при обмене данными с клиентами (всегда)» в Windows 2000 сопоставлены со следующим разделом реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Параметр: RequireSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. В Windows Server 2003, Windows XP и Windows 2000 значение по умолчанию – 0 (необязательный).
Сервер
Групповая политика «Клиент сети Microsoft: использовать цифровую подпись (с согласия клиента)» в Windows Server 2003 и Windows XP и групповая политика «Использовать цифровую подпись при обмене данными между серверами (если возможно)» в Windows 2000 сопоставлены со следующим разделом реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Параметр: EnableSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На контроллерах домена под управлением Windows Server 2003 и Windows 2000 значение по умолчанию – 1 (включен). На контроллерах домена под управлением Windows NT 4.0 значение по умолчанию – 0 (отключен).
В Windows Server 2003 и Windows XP политика «Сервер сети Microsoft: использовать цифровую подпись (всегда)»
и в Windows 2000 политика «Использовать цифровую подпись при обмене данными между серверами (всегда)» сопоставлены со следующим разделом реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Параметр: RequireSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На контроллерах домена под управлением Windows Server 2003 и Windows 2000 значение по умолчанию – 1 (обязательный). На контроллерах домена под управлением Windows NT 4.0 значение по умолчанию – 0 (необязательный).
Чтобы компьютеры под управлением Windows NT 4.0 могли подключиться к компьютерам под управлением Windows 2000, используя подписывание SMB, на компьютерах под управлением Windows 2000 необходимо создать следующий параметр реестра:
Параметр: enableW9xsecuritysignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)
Примечание. Политика, связанная с параметром EnableW9xsecuritysignature, не существует.

Настройка подписывания SMB в Windows NT 4.0

Использовать цифровую подпись клиента: (обратите внимание, что это раздел RDR, а не LanmanWorkstation, как в Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Параметр: EnableSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На компьютерах под управлением Windows NT 4.0 с пакетом обновлений 3 (SP3) или в более поздних версиях Windows значение по умолчанию – 1 (включен).
Параметр: RequireSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На компьютерах под управлением Windows NT 4.0 с пакетом обновлений 3 (SP3) или в более поздних версиях Windows значение по умолчанию – 0 (необязательный).
Параметр политики «Использовать цифровую подпись сервера» сопоставляется со следующим разделом реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Параметр: EnableSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На контроллерах домена под управлением Windows Server 2003, Windows 2000 и Windows NT 4.0 значение по умолчанию – 1 (включен). Значение по умолчанию для всех остальных компьютеров под управлением Windows NT 4.0 с пакетом обновлений 3 (SP3) или в более поздних версиях Windows – 0 (отключен).
Параметр: RequireSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. На контроллерах домена по управлением Windows Server 2003 значение по умолчанию – 1 (обязательный). Значение по умолчанию для всех остальных компьютеров под управлением Windows NT 4.0 с пакетом обновлений 3 (SP3) или в более поздних версиях Windows – 0 (необязательный).


Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
161372 Включение подписывания SMB в Windows NT (эта ссылка может указывать на содержимое полностью или частично на английском языке.)

Настройка подписывания SMB в Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Добавьте в этот раздел реестра два следующих параметра:
Параметр: EnableSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. В Windows 98 значение по умолчанию – 1 (включен)
Параметр: RequireSecuritySignature
Тип данных: REG_DWORD
Значение: 0 (отключен), 1 (включен)

Примечание. В Windows 98 значение по умолчанию – 0 (отключен).

Определение, включено ли подписывание SMB с помощью трассировки сетевого монитора.

Чтобы определить, включено ли подписывание SMB и является ли оно обязательным для сервера (либо и то, и другое), просмотрите отклик согласования диалектов (Negotiate Dialect Response) сервера.

SMB: R negotiate, Dialect # = 5 SMB: Command = R negotiate SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15] SMB: .......1 = User level security SMB: ......1. = Encrypt passwords


В данном отклике поле «Security Mode Summary (NT) =» содержит параметры, настроенные на сервере. Значения этих параметров будут 3, 7 или 15.

Дополнительные сведения об использовании сетевого монитора см. в следующей статье базы знаний Майкрософт:
812953 Использование сетевого монитора для записи сетевого трафика (эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Ниже поясняются значения чисел в отклике согласования диалектов
UCHAR SecurityMode; Режим безопасности:
Бит 0: 0 = общий доступ
Бит 0: 1 = пользователь
Бит 1: 1 = шифровать пароли
Бит 2: 1 = Подписи безопасности (последовательные номера SMB) включены
Бит 3: 1 = Подписи безопасности (последовательные номера SMB) обязательны


Если подписывание SMB включено на сервере, значение равно 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Если подписывание SMB включено на сервере и не является обязательным, значение равно 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Если подписывание SMB включено на сервере и является обязательным, значение равно 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Дополнительные сведения о протоколе CIFS см. на веб-узле Майкрософт по следующему адресу:
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

Сценарии подписывания SMB

Характер подключения SMB после согласования диалектов показывает, какие настройки включены у клиента.

Если подписывание SMB включено и требуется и на сервере, и на клиенте, а также если подписывание SMB отключено и на сервере, и на клиенте, то подключение устанавливается успешно.

Если подписывание SMB включено и является обязательным на клиенте, но отключено на сервере, подключение к сеансу TCP прерывается после согласования диалектов, и клиент получает следующее сообщение об ошибке «1240 (ERROR_LOGIN_WKSTA_RESTRICTION)».
Произошла системная ошибка 1240. Вход в систему с данной рабочей станции для текущего пользователя запрещен.
Если подписывание SMB отключено на клиенте, но включено и является обязательным на сервере, то в ответ на запрос Tree Connect или Transact2 к серверу DFS клиент получает сообщение об ошибке «STATUS_ACCESS_DENIED».

Свойства

Код статьи: 887429 - Последний отзыв: 10 марта 2006 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
Ключевые слова: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com