Sunucu İleti Bloğu imzalamaya genel bakış

Makale çevirileri Makale çevirileri
Makale numarası: 887429 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Bu makalede Sunucu İleti Bloğu (SMB) imzalama açıklanmaktadır. SMB imzalama SMB protokolündeki bir güvenlik yöntemidir ve güvenlik imzaları olarak da bilinir. SMB imzalama SMB protokolünün güvenliğini iyileştirmeye yardımcı olmak amacıyla tasarlanmıştır. SMB imzalama ilk olarak Microsoft Windows NT 4.0 Service Pack 3'te (SP3) ve Microsoft Windows 98'de kullanılmıştır.

Bu makalede aşağıdaki SMB konuları açıklanmaktadır:
  • SMB imzalamanın varsayılan yapılandırması.
  • SMB imzalama Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 ve Windows 98'de nasıl yapılandırılır?
  • Ağ İzleyicisi takibinde SMB imzalamanın etkin olup olmadığı nasıl belirlenir?
  • Örnek SMB imzalama senaryoları.

Daha fazla bilgi

İş istasyonu hizmeti ve Sunucu hizmeti için varsayılan yapılandırma

SMB imzalama ve güvenlik imzaları İş istasyonu hizmeti ve Sunucu hizmeti için yapılandırılabilir. İş istasyonu hizmeti giden bağlantılar için kullanılır. Sunucu hizmeti gelen bağlantılar için kullanılır.

SMB imzalama etkinleştirildiğinde, SMB imzalamayı destekleyen istemciler de SMB imzalamayı desteklemeyen istemciler de bağlanabilir. SMB imzalama gerektiğinde, SMB bağlantısındaki her iki bilgisayarın da SMB imzalamayı desteklemesi gerekir. Bir bilgisayar SMB imzalamayı desteklemiyorsa, SMB bağlantısı başarısız olur. Aşağıdaki işletim sistemlerinde giden SMB oturumları için SMB imzalama varsayılan olarak etkinleştirilir:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Aşağıdaki işletim sistemlerinde gelen SMB oturumları için SMB imzalama varsayılan olarak etkinleştirilir:
  • Windows Server 2003 tabanlı etki alanı denetleyicileri
  • Windows 2000 Server tabanlı etki alanı denetleyicileri
  • Windows NT 4.0 Server tabanlı etki alanı denetleyicileri
Windows Server 2003 tabanlı etki alanı denetleyicilerinde gelen SMB oturumları için SMB imzalama varsayılan olarak gereklidir.

SMB imzalamayı yapılandırma

Geçersiz kılan bir etki alanı ilkesi olduğunda yerel kayıt defteri değeri değişikliği doğru şekilde işlenemeyeceğinden, SMB imzalamayı yapılandırmak için Grup İlkelerini kullanmanız önerilir. İlişkili Grup İlkesi yapılandırıldığında aşağıdaki kayıt defteri değerleri değiştirilir.

SMB imzalama ilkesi konumları

Not Aşağıdaki Grup İlkesi ayarları "Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri" Grup İlkesi Nesne Düzenleyicisi yolunda bulunmaktadır.
Windows Server 2003 - varsayılan etki alanı denetleyicileri Grup İlkesi
İş istasyonu/İstemci
Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman) İlke Ayarı: tanımsız
Microsoft ağ istemcisi: İletişimi dijital olarak imzala (sunucu uygunsa) İlke Ayarı: tanımsız Etkin Ayar: etkin (yerel ilke nedeniyle)

Sunucu
Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) İlke Ayarı: etkin
Microsoft ağ sunucusu: İletişimi dijital olarak imzala (istemci uygunsa) İlke Ayarı: etkin
Windows XP ve 2003 - yerel bilgisayar Grup İlkesi
İş istasyonu/İstemci
Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman) Güvenlik Ayarı: devre dışı
Microsoft ağ sunucusu: İletişimi dijital olarak imzala (sunucu uygunsa) Güvenlik Ayarı: etkin

Sunucu
Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) Güvenlik Ayarı: devre dışı
Microsoft ağ sunucusu: İletişimi dijital olarak imzala (istemci uygunsa) Güvenlik Ayarı: devre dışı
Windows 2000 - varsayılan etki alanı denetleyicileri Grup İlkesi
İş istasyonu/İstemci
İstemci iletişimini (her zaman) dijital olarak imzala Bilgisayar Ayarı: tanımsız
İstemci iletişimini dijital olarak imzala (uygunsa) Bilgisayar Ayarı: tanımsız

Sunucu
Sunucu iletişimini dijital olarak imzala (her zaman) Bilgisayar Ayarı: tanımsız
Sunucu iletişimini dijital olarak imzala (uygunsa) Bilgisayar Ayarı: etkin
Windows 2000 - yerel bilgisayar Grup İlkesi
İş istasyonu/İstemci
İstemci iletişimini (her zaman) dijital olarak imzala Yerel Ayar: Devre dışı Etkin Ayar: devre dışı
İstemci iletişimini dijital olarak imzala (uygunsa) Yerel Ayar: Etkin Etkin Ayar: etkin

Sunucu
Sunucu iletişimini dijital olarak imzala (her zaman) Yerel Ayar: Devre dışı Etkin Ayar: devre dışı
Sunucu iletişimini dijital olarak imzala (uygunsa) Yerel Ayar: Devre dışı Etkin Ayar: devre dışı

Windows Server 2003, Windows XP ve Windows 2000 için Grup İlkesi yapılandırmasıyla ilişkili kayıt defteri değerleri

İstemci
Windows Server 2003'te ve Windows XP'de, "Microsoft ağ istemcisi: İletişimi dijital olarak imzala (sunucu uygunsa)" Grup İlkesi ve Windows 2000'de "İstemci iletişimini (uygunsa) dijital olarak imzala" Grup İlkesi aşağıdaki kayıt defteri alt anahtarıyla eşlenir:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Değer Adı: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003, Windows XP ve Windows 2000'de varsayılan değer 1'dir (etkin).

Windows Server 2003'te ve Windows XP'de, "Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman)" Grup İlkesi ve Windows 2000'de "İstemci iletişimini (her zaman) dijital olarak imzala" Grup İlkesi aşağıdaki kayıt defteri alt anahtarıyla eşlenir:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Değer Adı: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003, Windows XP ve Windows 2000'de varsayılan değer 0'dır (gerekli değil).
Sunucu
Windows Server 2003'te ve Windows XP'de "Microsoft ağ istemcisi: İletişimi dijital olarak imzala (istemci uygunsa)" adlı Grup İlkesi ve Windows 2000'de "Sunucu iletişimini (uygunsa) dijital olarak imzala" adlı Grup İlkesi aşağıdaki kayıt defteri anahtarıyla eşlenir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Değer Adı: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003 etki alanı denetleyicilerinde ve Windows 2000 etki alanı denetleyicilerinde varsayılan değer 1'dir (etkin). Windows NT 4.0 etki alanı denetleyicilerinde varsayılan değer 0'dır (devre dışı).
Windows Server 2003 ve Windows XP ilkesi "Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman)" olarak adlandırılmıştır
Windows 2000 ilkesi "Sunucu iletişimini (her zaman) dijital olarak imzala" olarak adlandırılmıştır ve her ikisi de aşağıdaki kayıt defteri anahtarıyla eşlenir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Değer Adı: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003 etki alanı denetleyicilerinde ve Windows 2000 etki alanı denetleyicilerinde varsayılan değer 1'dir (gerekli). Windows NT 4.0 etki alanı denetleyicilerinde varsayılan değer 0'dır (gerekli değil).
Windows NT 4.0 tabanlı bilgisayarların SMB imzalamayı kullanarak Windows 2000 tabanlı bilgisayarlara bağlanabilmesi için, Windows 2000 tabanlı bilgisayarlarda aşağıdaki kayıt defteri değerini oluşturmanız gerekir:
Değer Adı: enableW9xsecuritysignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)
Not EnableW9xsecuritysignature kayıt defteri değeriyle ilişkili Grup İlkesi yoktur.

Windows NT 4.0'da SMB imzalamayı yapılandırma

İstemciyi dijital olarak imzalama: (Bunun RDR anahtarı olduğuna ve Windows 2000'deki gibi LanmanWorkstation olmadığına dikkat edin)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Değer Adı: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows NT 4.0 SP3 veya Windows'un daha yeni sürümlerini çalıştıran bilgisayarlarda varsayılan değer 1'dir (etkin).
Değer Adı: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows NT 4.0 SP3 veya Windows'un daha yeni sürümlerini çalıştıran bilgisayarlarda varsayılan değer 0'dır (gerekli değil).
İlkedeki "Sunucuyu dijital olarak imzala" aşağıdaki kayıt defteri anahtarıyla eşlenir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Değer Adı: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003 etki alanı denetleyicilerinde, Windows 2000 etki alanı denetleyicilerinde ve Windows NT 4.0 etki alanı denetleyicilerinde varsayılan değer 1'dir (etkin). Windows NT 4.0 SP3 veya Windows'un daha yeni sürümlerini çalıştıran diğer tüm bilgisayarlarda varsayılan değer 0'dır (devre dışı).
Değer Adı: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows Server 2003 etki alanı denetleyicilerinde varsayılan değer 1'dir (gerekli). Windows NT 4.0 SP3 veya Windows'un daha yeni sürümlerini çalıştıran diğer tüm bilgisayarlarda varsayılan değer 0'dır (gerekli değil).


Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
161372 Windows NT'de SMB imzalama nasıl etkinleştirilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Windows 98'de SMB imzalamayı yapılandırma

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Aşağıdaki iki kayıt defteri değerini şu kayıt defteri alt anahtarına ekleyin:
Değer Adı: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows 98'de varsayılan değer 1'dir (etkin).
Değer Adı: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkin)

Not Windows 98'de varsayılan değer 0'dır (devre dışı).

Ağ izleyicisi takibinde SMB imzalamanın etkinleştirilmiş olup olmadığı nasıl belirlenir

SMB imzalamanın etkinleştirilmiş veya sunucu tarafından istenmiş olduğunu ya da her iki koşulun da geçerli olduğunu belirlemek için, sunucudan Negotiate Dialect Yanıtını görüntüleyin:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
    SMB: Security Mode Summary (NT) = [3, 7 veya 15 değeri]
      SMB: .......1 = Kullanıcı düzeyi güvenlik
        SMB: ......1. = Parolaları şifrele


Bu Yanıtta, "Security Mode Summary (NT) =" alanı Sunucudaki yapılandırılmış seçenekleri gösterir. Bu değer 3, 7 veya 15 olur.

Ağ İzleyicisi'ni kullanma hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
812953 NASIL YAPILIR: Ağ İzleyicisi Kullanarak Ağ Trafiğini Yakalamak
Aşağıdaki bilgiler Negotiate Dialect Yanıtı sayılarının neyi gösterdiğinin açıklanmasına yardımcı olur:
UCHAR SecurityMode; Güvenlik modu:
bit 0: 0 = paylaş
bit 0: 1 = kullanıcı
bit 1: 1 = parolaları şifrele
bit 2: 1 = Güvenlik İmzaları (SMB sıra numaraları) etkinleştirilmiş
bit 3: 1 = Güvenlik İmzaları (SMB sıra numaraları) gerekli


SMB imzalama sunucuda devre dışı bırakılmışsa, değer 3'tür.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

SMB imzalama etkinse ve sunucuda gerekmiyorsa, değer 7'dir.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

SMB imzalama etkinse ve sunucuda gerekiyorsa, değer 15'tir.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
CIFS hakkında ek bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp

SMB imzalama senaryoları

Dialect Negotiation istemci yapılandırmasını gösterdikten sonra SMB oturumunun davranışı.

SMB İmzalama etkin ve hem istemcide hem de sunucu da gerekliyse veya SMB imzalama hem istemcide hem de sunucu da devre dışıysa, bağlantı başarılı olur.

SMB imzalama etkinse ve istemcide gerekli olmakla birlikte sunucuda devre dışı bırakılmışsa, Dialect Negotiation sonrasında TCP oturumu bağlantısı normal şekilde kapatılır ve istemci aşağıdaki 1240 (ERROR_LOGIN_WKSTA_RESTRICTION) hata iletisini alır:
Sistem hatası 1240 oluştu. Kullanıcı, bu istasyondan oturum açmaya yetkili değil.
SMB imzalama istemcide devre dışı bırakılmış olmakla birlikte sunucuda etkin ve gerekliyse, istemci Tree Connect veya Transact2 için DFS başvurularına yanıt aldığında "STATUS_ACCESS_DENIED" hata iletisini alır.

Özellikler

Makale numarası: 887429 - Last Review: 14 Haziran 2005 Salı - Gözden geçirme: 2.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 İkinci Sürüm
Anahtar Kelimeler: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com