ภาพรวมของบล็อกข้อความของเซิร์ฟเวอร์มีการเซ็นชื่อ

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 887429 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้อธิบายการบล็อกข้อความเซิร์ฟเวอร์ (SMB) มีการเซ็นชื่อ ลงลายมือชื่อใน smb คือ กลไกการรักษาความปลอดภัยในโพรโทคอล SMB และเรียกอีกอย่างว่า ลายเซ็นการรักษาความปลอดภัย ลงลายมือชื่อใน smb ถูกออกแบบมาเพื่อช่วยปรับปรุงความปลอดภัยให้กับโพรโทคอล SMB ลงลายมือชื่อใน smb ถูกก่อนพร้อมใช้งานใน Microsoft Windows NT 4.0 Service Pack 3 (SP3) และ Microsoft Windows 98

หัวข้อต่อไปนี้ของ SMB ถูกอธิบายไว้ในบทความนี้:
  • กำหนดค่าเริ่มต้นของการลงลายมือชื่อใน smb
  • วิธีการกำหนดค่า SMB เข้าสู่ระบบใน Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 และ Windows 98
  • วิธีการตรวจสอบว่า ลงลายมือชื่อใน smb ถูกเปิดใช้งานในการสืบค้นกลับของการตรวจสอบเครือข่าย
  • ตัวอย่าง SMB สถานการณ์สมมติลง

ข้อมูลเพิ่มเติม

การกำหนดค่าเริ่มต้นสำหรับการบริการเวิร์กสเตชันและบริการของเซิร์ฟเวอร์

ลายเซ็น smb การเซ็นชื่อและการรักษาความปลอดภัยคุณสามารถกำหนดค่า สำหรับบริการเวิร์กสเตชัน และบริการของเซิร์ฟเวอร์ บริการเวิร์กสเตชันที่ใช้สำหรับการเชื่อมต่อขาออก บริการ Server จะใช้สำหรับการเชื่อมต่อขาเข้า

เมื่อมีการลงลายมือชื่อใน smb ถูกเปิดใช้งาน เป็นไปได้สำหรับเครื่องไคลเอนต์ที่สนับสนุน SMB ที่มีการเซ็นชื่อในการเชื่อมต่อ และเป็นไปได้สำหรับเครื่องไคลเอนต์ที่ไม่สนับสนุน SMB ที่มีการเซ็นชื่อในการเชื่อมต่อ เมื่อมีการลงลายมือชื่อใน smb ไม่จำเป็น ทั้งสองเครื่องในการเชื่อมต่อ SMB ต้องสนับสนุนการลงลายมือชื่อใน smb การเชื่อมต่อ SMB ไม่สำเร็จหากคอมพิวเตอร์หนึ่งเครื่องไม่สนับสนุนการลงลายมือชื่อใน smb โดยค่าเริ่มต้น ลงลายมือชื่อใน smb ถูกเปิดใช้งานสำหรับเซสชัน SMB ขาออกบนระบบปฏิบัติการต่อไปนี้:
  • Windows Server 2003
  • Windows XP:
  • Windows 2000:
  • Windows NT 4.0
  • windows 98
โดยค่าเริ่มต้น ลงลายมือชื่อใน smb ถูกเปิดใช้งานสำหรับเซสชัน SMB ขาเข้าบนระบบปฏิบัติการต่อไปนี้:
  • windows ตัวควบคุมโดเมนที่ใช้ Server 2003
  • ตัวควบคุมโดเมนที่ใช้ windows 2000 Server
  • windows NT 4.0 Server ใช้โดเมนคอนโทรลเลอร์
โดยค่าเริ่มต้น ลงลายมือชื่อใน smb ไม่จำเป็นต้องใช้สำหรับเซสชัน SMB ขาเข้าบนตัวควบคุมโดเมนที่ใช้ Windows Server 2003

การตั้งค่าคอนฟิกการลงลายมือชื่อใน smb

เราขอแนะนำให้ คุณใช้นโยบายกลุ่มเพื่อตั้งค่าคอนฟิกการลงลายมือชื่อใน SMB เนื่องจากมีการเปลี่ยนแปลงค่ารีจิสทรีในเครื่องทำงานไม่ปกติหากไม่มีนโยบายโดเมน overriding มีการเปลี่ยนแปลงค่ารีจิสทรีต่อไปนี้เมื่อมีการกำหนดค่านโยบายกลุ่มที่เกี่ยวข้อง

ตำแหน่งนโยบายสำหรับการลงลายมือชื่อใน smb

หมายเหตุ:การตั้งค่า Group Policy ต่อไปนี้จะอยู่ตัวในที่ "ตัวคอมพิวเตอร์ Configuration\Windows Settings\Security Settings\Local Policies\Security เลือก" แก้ไขวัตถุนโยบายกลุ่มเส้นทาง
windows Server 2003 - ตัวควบคุมโดเมนของเริ่มต้น'นโยบายกลุ่ม'
ไคลเอ็นต์/ข้อมูลของเวิร์กสเตชัน
ไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลสื่อสาร (เสมอ) การตั้งค่านโยบาย: ไม่มีกำหนด
ไคลเอ็นต์เครือข่ายของ Microsoft: สื่อสารแบบลายมือชื่อ (ถ้าเซิร์ฟเวอร์ตกลง) การตั้งค่านโยบาย: ไม่มีการตั้งค่าที่มีผลบังคับใช้กำหนด: เปิดใช้งาน (เนื่องจากความนโยบายภายในเครื่อง)

เซิร์ฟเวอร์:
เซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลสื่อสาร (เสมอ) การตั้งค่านโยบาย: เปิดใช้งาน
เซิร์ฟเวอร์เครือข่ายของ Microsoft: สื่อสารแบบลายมือชื่อ (หากไคลเอนต์ตกลง) การตั้งค่านโยบาย: เปิดใช้งาน
windows XP และ 2003 - คอมพิวเตอร์เฉพาะที่'นโยบายกลุ่ม'
ไคลเอ็นต์/ข้อมูลของเวิร์กสเตชัน
ไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลสื่อสาร (เสมอ) การตั้งค่าการรักษาความปลอดภัย: ปิดใช้งาน
ไคลเอ็นต์เครือข่ายของ Microsoft: สื่อสารแบบลายมือชื่อ (ถ้าเซิร์ฟเวอร์ตกลง) การตั้งค่าการรักษาความปลอดภัย: การเปิดใช้งาน

เซิร์ฟเวอร์:
เซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลสื่อสาร (เสมอ) การตั้งค่าการรักษาความปลอดภัย: ปิดใช้งาน
เซิร์ฟเวอร์เครือข่ายของ Microsoft: สื่อสารแบบลายมือชื่อ (หากไคลเอนต์ตกลง) การตั้งค่าการรักษาความปลอดภัย: ปิดใช้งาน
windows 2000 - ตัวควบคุมโดเมนของเริ่มต้น'นโยบายกลุ่ม'
ไคลเอ็นต์/ข้อมูลของเวิร์กสเตชัน
เซ็นชื่อแบบดิจิทัลสื่อสารไคลเอนต์ (เสมอ) การตั้งค่าคอมพิวเตอร์: ไม่มีกำหนด
เซ็นชื่อแบบดิจิทัลไคลเอ็นต์การสื่อสาร (เมื่อเป็นไปได้) การตั้งค่าคอมพิวเตอร์: ไม่มีกำหนด

เซิร์ฟเวอร์:
เซ็นชื่อแบบดิจิทัลเซิร์ฟเวอร์สื่อสาร (เสมอ) การตั้งค่าคอมพิวเตอร์: ไม่มีกำหนด
เซ็นชื่อแบบดิจิทัลเซิร์ฟเวอร์การติดต่อสื่อสาร (เมื่อเป็นไปได้) การตั้งค่าคอมพิวเตอร์: เปิดใช้งาน
windows 2000 - คอมพิวเตอร์เฉพาะที่'นโยบายกลุ่ม'
ไคลเอ็นต์/ข้อมูลของเวิร์กสเตชัน
เซ็นชื่อแบบดิจิทัลสื่อสารไคลเอนต์ (เสมอ) การตั้งค่าภายใน: ปิดการใช้งานมีผลบังคับใช้การตั้งค่า: ปิดใช้งาน
เซ็นชื่อแบบดิจิทัลไคลเอ็นต์การสื่อสาร (เมื่อเป็นไปได้) การตั้งค่าภายใน: ตั้งค่าการใช้งานที่เปิดใช้งาน: การเปิดใช้งาน

เซิร์ฟเวอร์:
เซ็นชื่อแบบดิจิทัลเซิร์ฟเวอร์สื่อสาร (เสมอ) การตั้งค่าภายใน: ปิดการใช้งานมีผลบังคับใช้การตั้งค่า: ปิดใช้งาน
เซ็นชื่อแบบดิจิทัลเซิร์ฟเวอร์การติดต่อสื่อสาร (เมื่อเป็นไปได้) การตั้งค่าภายใน: ปิดการใช้งานมีผลบังคับใช้การตั้งค่า: ปิดใช้งาน

ค่ารีจิสทรีที่เกี่ยวข้องกับการกำหนดค่า'นโยบายกลุ่ม'สำหรับ Windows Server 2003, Windows XP และ Windows 2000

ไคลเอ็นต์
ใน Windows Server 2003 และ Windows XP "ไคลเอ็นต์เครือข่ายของ Microsoft: สื่อสารแบบลายมือชื่อ (ถ้าเซิร์ฟเวอร์ตกลง) " Group Policy และ ใน Windows 2000 "เซ็นไคลเอ็นต์การสื่อสาร (เมื่อเป็นไปได้)" Group Policy แมปกับคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
ค่าชื่อ: EnableSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นใน Windows Server 2003, Windows XP และ Windows 2000 คือ 1 (เปิดใช้งาน)

ใน Windows Server 2003 และ Windows XP "ไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัล (เสมอ) สื่อสาร" Group Policy และ ใน Windows 2000 แมปนโยบายกลุ่ม "เซ็นสื่อสารไคลเอนต์ (เสมอ)" กับคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


ค่าชื่อ: RequireSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นใน Windows Server 2003, Windows XP และ Windows 2000 เป็น 0 (ไม่จำเป็น)
เซิร์ฟเวอร์:
In Windows Server 2003 and Windows XP, the Group Policy named "Microsoft network client: Digitally sign communications (if client agrees)", and in Windows 2000, the Group Policy named "Digitally sign server communication (when possible)" map to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Value Name: EnableSecuritySignature
ชนิดของข้อมูล: REG_DWORD
Data: 0 (disable), 1 (enable)

หมายเหตุ:The default value in Windows Server 2003 domain controllers and Windows 2000 domain controllers is 1 (enabled). The default value in Windows NT 4.0 domain controllers is 0 (disabled).
Windows Server 2003 and Windows XP policy is named "Microsoft network server: Digitally sign communications (always)"
Windows 2000 policy is named "Digitally sign server communication (always)" and both map to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Value Name: RequireSecuritySignature
ชนิดของข้อมูล: REG_DWORD
Data: 0 (disable), 1 (enable)

หมายเหตุ:The default value in Windows Server 2003 domain controllers and Windows 2000 domain controllers is 1 (required). The default value in Windows NT 4.0 domain controllers is 0 (not required).
For Windows NT 4.0-based computers to be able to connect to Windows 2000-based computers by using SMB signing, you must create the following registry value on the Windows 2000-based computers:
Value Name: enableW9xsecuritysignature
ชนิดของข้อมูล: REG_DWORD
Data: 0 (disable), 1 (enable)
หมายเหตุ:There is no Group Policy associated with the EnableW9xsecuritysignature registry value.

Configuring SMB signing in Windows NT 4.0

Digitally sign client: (Notice that this is the RDR key - not LanmanWorkstation as in Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Value Name: EnableSecuritySignature
ชนิดของข้อมูล: REG_DWORD
Data: 0 (disable), 1 (enable)

หมายเหตุ:The default value is 1 (enabled) on computers that are running Windows NT 4.0 SP3 or later versions of Windows.
Value Name: RequireSecuritySignature
ชนิดของข้อมูล: REG_DWORD
Data: 0 (disable), 1 (enable)

หมายเหตุ:The default value is 0 (not required) on computers that are running Windows NT 4.0 SP3 or later versions of Windows.
"Digitally sign server" in the policy maps to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Value Name: EnableSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นคือ 1 (เปิดใช้งาน) บนตัวควบคุมโดเมน Windows Server 2003 ตัวควบคุมโดเมน Windows 2000 และตัวควบคุมโดเมนของ Windows NT 4.0 ค่าเริ่มต้นสำหรับคอมพิวเตอร์ทุกเครื่องอื่นที่กำลังเรียกใช้ Windows NT 4.0 SP3 หรือรุ่นที่ใหม่กว่าของ Windows เป็น 0 (ปิดการใช้งาน)
ค่าชื่อ: RequireSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นคือ 1 (จำเป็น) ตัวควบคุมโดเมน Windows Server 2003 ค่าเริ่มต้นสำหรับคอมพิวเตอร์ทุกเครื่องอื่นที่กำลังเรียกใช้ Windows NT 4.0 SP3 หรือรุ่นที่ใหม่กว่าของ Windows เป็น 0 (ไม่จำเป็น)


สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
161372วิธีการ SMB เปิดใช้งานการเข้าสู่ระบบใน Windows NT

การตั้งค่าคอนฟิกลายมือชื่อใน SMB ในการเข้าสู่ระบบใน Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
เพิ่มค่ารีจิสทรีที่สองต่อไปนี้ไปยังคีย์ย่อยของรีจิสทรีนี้:
ค่าชื่อ: EnableSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นใน Windows 98 คือ 1 (เปิดใช้งาน)
ค่าชื่อ: RequireSecuritySignature
ชนิดของข้อมูล: REG_DWORD
ข้อมูล: 0 (ปิดใช้งาน) 1 (เปิดใช้งาน)

หมายเหตุ:ค่าเริ่มต้นใน Windows 98 เป็น 0 (ปิดการใช้งาน)

วิธีการตรวจสอบว่า ลงลายมือชื่อใน smb ถูกเปิดใช้งานในการสืบค้นกลับการตรวจสอบเครือข่าย

การตรวจสอบว่า ลงลายมือชื่อใน smb ถูกเปิดใช้งาน จำเป็นต้องใช้เซิร์ฟเวอร์ หรือทั้งสองอย่าง ดูการตอบการเจรจา Dialect รับจากเซิร์ฟเวอร์ต่อไปนี้:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords


ในการตอบสนองนี้ "บทสรุปของโหมดการรักษาความปลอดภัย (NT) =" ฟิลด์แสดงถึงตัวเลือกการกำหนดค่าไว้บนเซิร์ฟเวอร์ ค่านี้จะเป็น 3, 7 หรือ 15

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้การตรวจสอบเครือข่าย คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
812953วิธีการใช้การตรวจสอบเครือข่ายเพื่อจับภาพการรับส่งข้อมูลเครือข่าย
ข้อมูลต่อไปนี้ช่วยอธิบายแสดงของหมายเลขเจรจาการตอบรับ Dialect:
SecurityMode UCHAR โหมดการรักษาความปลอดภัย:
บิต 0:0 =การใช้ร่วมกัน
บิต 0:1 =ผู้ใช้
บิต 1:1 =รหัสผ่านการเข้ารหัสลับ
บิต 2:1 =ลายความปลอดภัยเซ็น (หมายเลขลำดับ SMB) เปิดใช้งาน
บิต 3:1 =ลายความปลอดภัยเซ็น (SMB ลำดับหมายเลข) ที่ต้องการ


ถ้ามีการลงลายมือชื่อใน smb ถูกปิดใช้งานที่เซิร์ฟเวอร์ ค่าเป็น 3
" SMB: บทสรุปของโหมดการรักษาความปลอดภัย (NT) = 3 (0x3) "

ถ้ามีการลงลายมือชื่อใน smb ถูกเปิดใช้งาน และไม่จำเป็นที่เซิร์ฟเวอร์ มีค่าเป็น 7
" SMB: บทสรุปของโหมดการรักษาความปลอดภัย (NT) = 7 (0x7) "

ถ้ามีการลงลายมือชื่อใน smb ถูกเปิดใช้งาน และจำเป็นที่เซิร์ฟเวอร์ มีค่าเป็น 15
" SMB: บทสรุปของโหมดการรักษาความปลอดภัย (NT) = 15 (0xF) "
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CIFS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

สถานการณ์การลงลายมือชื่อใน smb

ลักษณะการทำงานของเซสชัน SMB หลังจากการเจรจา Dialect แสดงการกำหนดค่าไคลเอนต์

ถ้าการรับรองลายมือชื่อใน SMB ถูกเปิดใช้งาน และจำเป็นต้องใช้เวลาไคลเอนต์และเซิร์ฟเวอร์ หรือ ถ้ามีการลงลายมือชื่อใน smb ถูกปิดใช้งานเมื่อไคลเอนต์และเซิร์ฟเวอร์ การเชื่อมต่อไม่สำเร็จ

If SMB signing is enabled and required at the client and disabled at the server, the connection to the TCP session is gracefully closed after the Dialect Negotiation, and the client receives the following "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)" error message:
System error 1240 has occurred. บัญชีผู้ใช้ไม่ได้รับการอนุญาตให้เข้าสู่ระบบจากสถานีนี้
If SMB signing is disabled at the client and enabled and required at the server, the client receives the "STATUS_ACCESS_DENIED" error message when it receives a response to a Tree Connect or Transact2 for DFS referrals.

คุณสมบัติ

หมายเลขบทความ (Article ID): 887429 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 5.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbwinservnetwork kbsecurityservices kbhowto kbinfo kbmt KB887429 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:887429

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com