Select the product you need help with
服务器消息块签名概述文章编号: 887429 - 查看本文应用于的产品 本页简介本文介绍了服务器消息块 (SMB) 签名。SMB 签名是一种安全机制,在 $ SMB 协议中的,也称为安全签名。SMB 签名旨在帮助提高安全性的 SMB 协议。 SMB 签名第一次是在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中可用的。 下面的 SMB 主题本文所述:
更多信息工作站服务和 $ 服务器服务的默认配置为工作站服务和 $ 服务器服务,可以配置 SMB 签名和安全签名。对于传出的连接使用 $ 工作站服务。为传入连接使用 $ 服务器服务。当启用了 SMB 签名时有可能支持 SMB 签名要连接的客户端和也可能不支持 SMB 签名要连接的客户端是。 当要求进行 SMB 签名,时在 SMB 连接两台计算机必须支持 SMB 签名。SMB 连接不成功,如果一台计算机不支持 SMB 签名。默认状态下,以下操作系统上的出站 SMB 会话启用 SMB 签名:
配置 SMB 签名我们建议使用组策略配置 SMB 签名,因为如果没有对重写的域策略,本地注册表值更改不会无法正常工作。 配置相关联的组策略时,会更改以下注册表值。对于 SMB 签名策略位置注意下面的组策略设置位于中"计算机配置 \windows 设置安全本地策略 \ 安全选项"组策略对象编辑器的路径。Windows Server 2003 的默认域控制器组策略工作站/客户端Microsoft 网络客户端: 数字签名的通信 (总是) 策略设置: 未定义 Microsoft 网络客户端: 数字签名的通信 (若服务器同意) 策略设置: 未定义有效设置: 启用 (由于的本地策略) 服务器 Microsoft 网络服务器: 数字签名的通信 (总是) 策略设置: 启用 Microsoft 网络服务器: 数字签名的通信 (若客户端同意) 策略设置: 启用 Windows XP 和 2003-本地计算机组策略工作站/客户端Microsoft 网络客户端: 数字签名的通信 (总是) 安全设置: 禁用 Microsoft 网络客户端: 数字签名的通信 (若服务器同意) 安全设置: 启用 服务器 Microsoft 网络服务器: 数字签名的通信 (总是) 安全设置: 禁用 Microsoft 网络服务器: 数字签名的通信 (若客户端同意) 安全设置: 禁用 Windows 2000 的默认域控制器组策略工作站/客户端对客户端通讯进行数字签名 (总是) 计算机设置: 未定义 数字签名的客户端通信 (如果可能) 计算机设置: 未定义 服务器 对服务器通讯进行数字签名 (总是) 计算机设置: 未定义 数字签名的服务器通信 (如果可能) 计算机设置: 启用 Windows 2000 的本地计算机组策略工作站/客户端对客户端通讯进行数字签名 (总是) 本地的设置: 已禁用的有效设置: 已禁用 数字签名的客户端通信 (如果可能) 本地设置: 启用有效设置: 启用 服务器 对服务器通讯进行数字签名 (总是) 本地的设置: 已禁用的有效设置: 已禁用 数字签名的服务器通信 (如果可能) 本地设置: 已禁用的有效设置: 已禁用 Windows Server 2003,Windows XP 和 Windows 2000 的组策略配置与相关联的注册表值客户端在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端: 数字签名的通信 (若服务器同意)"组策略和 Windows 2000 中将"数字签名的客户端通信 (如果可能)"组策略将映射到以下注册表子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters 值名称: EnableSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows Server 2003,Windows XP 和 Windows 2000 中的默认值为 1 (启用)。 在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端: 数字签名的通信 (总是)"组策略和 Windows 2000"数字签名的客户端通信 (总是)"组策略映射到以下注册表子项中: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters 值名称: RequireSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows Server 2003,Windows XP 和 Windows 2000 中的默认值为 0 (不需要)。 服务器在 Windows Server 2003 和 Windows XP 组策略名为"Microsoft 网络客户端: 数字签名的通信 (若客户端同意)",在 Windows 2000 组策略命名为"数字签名的服务器通信 (如果可能)"的映射到以下注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 值名称: EnableSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows Server 2003 域控制器和 Windows 2000 域控制器的默认值为 1 (启用)。Windows NT 4.0 的域控制器中的默认值为 0 (禁用)。 Windows 2000 策略命名为"数字签名的服务器通信 (总是)",两者都映射到以下注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 值名称: RequireSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows Server 2003 域控制器和 Windows 2000 域控制器的默认值为 1 (必需)。Windows NT 4.0 的域控制器中的默认值为 0 (不需要)。 值名称: enableW9xsecuritysignature 注意没有任何与 EnableW9xsecuritysignature 注册表值相关联的组策略。 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 配置 SMB 签名在 Windows NT 4.0 中数字签名的客户端: (这是 RDR 键-不在 Windows 2000 中的 LanmanWorkstation 公告)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters 值名称: EnableSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意默认值为 1 (启用) 运行的 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。 值名称: RequireSecuritySignature "数字签名服务器"在策略映射到以下注册表项中: 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意默认值为 0 (不需要),就运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 值名称: EnableSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意默认值为 1 (启用) 在 Windows Server 2003 域控制器、 Windows 2000 的域控制器和 Windows NT 4.0 域控制器上。其他所有正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (禁用)。 值名称: RequireSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意默认值为 1 (必需) 在 Windows Server 2003 域控制器上。其他所有正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (不需要)。 有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 161372
(http://support.microsoft.com/kb/161372/
)
如何启用 SMB 签名在 Windows NT 中 配置 SMB 签名在 Windows 98 中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup 值名称: EnableSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows 98 中的默认值为 1 (启用)。 值名称: RequireSecuritySignature 数据类型: REG_DWORD 数据: 0 (禁用),1 (启用) 注意在 Windows 98 中的默认值为 0 (禁用)。 如何确定在网络监视跟踪中是否启用了 SMB 签名若要确定是否启用 SMB 签名,需要和 / 或服务器,查看协商方言响应从服务器:SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords在此响应中将"安全模式摘要 (NT) ="字段表示在服务器上配置的选项。 此值将为 3、 7 或 15。 有关如何使用网络监视器的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 812953 以下信息可以帮助解释协商方言响应数字表示什么:
(http://support.microsoft.com/kb/812953/
)
如何使用网络监视器捕获网络通信 UCHAR SecurityMode ; 安全模式: 有关 CIFS 的其他信息,请访问下面的 Microsoft 网站:位 0: 0 = 共享 位 0: 1 = 用户 位 1: 1 = 加密密码 位 2: 1 = 启用了安全签名 (SMB 序列号) 位 3: 1 = 所需的安全签名 (SMB 序列号) 如果在服务器上禁用了 SMB 签名,值为 3。 "SMB: 安全模式摘要 (NT) = 3 (0x3)" 如果 SMB 签名是启用,并且不需要在服务器上,值是 7。 "SMB: 安全模式摘要 (NT) = 7 (0x7)" 如果 SMB 签名是启用,并且在服务器上所需,则值为 15。 "SMB: 安全模式摘要 (NT) = 15 (0xF)" http://msdn2.microsoft.com/en-us/library/Aa302188.aspx
(http://msdn2.microsoft.com/en-us/library/Aa302188.aspx)
SMB 签名的方案行为的后方言协商该 SMB 会话显示了客户端配置。如果启用并需要在客户端和服务器,了 SMB 签名,或者如果在客户端和服务器上禁用了 SMB 签名是成功的连接。 如果 SMB 签名是启用和需要在客户端和服务器上禁用,与 TCP 会话的连接后在方言协商正常关闭,并在客户端会收到下面的"1240 (ERROR_LOGIN_WKSTA_RESTRICTION)"错误消息: 发生系统错误 1240年。该帐户无权从该工作站登录。 属性文章编号: 887429 - 最后修改: 2007年11月30日 - 修订: 2.4 这篇文章中的信息适用于:
机器翻译 注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。 点击这里察看该文章的英文版: 887429
(http://support.microsoft.com/kb/887429/en-us/
)
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。 | 文章翻译 |
回到顶端
