伺服器訊息區塊簽章的概觀

文章翻譯 文章翻譯
文章編號: 887429 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您伺服器訊息區 (SMB) 簽章。SMB 簽章是在 SMB 通訊協定的安全性機制,也就是安全性簽章。SMB 簽章被為了協助改善安全性的 SMB 通訊協定。 SMB 簽章的第一次在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中可用。

本文將說明下列 SMB 主題:
  • 預設的組態的 SMB 簽章。
  • 如何設定 SMB 簽章在 Microsoft Windows Server 2003 中,Microsoft Windows XP、 Microsoft Windows 2000、 Windows NT 4.0 和 Windows 98。
  • 如何判斷是否啟用 SMB 簽章網路監視器追蹤中。
  • SMB 簽章案例範例。

其他相關資訊

工作站服務與伺服器服務的預設組態

對於 「 工作站 」 服務和伺服器服務,您可以設定 SMB 簽章及安全性簽章。「 工作站 」 服務用於傳出連線。伺服器服務用於連入連線。

啟用 SMB 簽章時有可能支援 SMB 簽章來連線的用戶端,而且很也可能不支援 SMB 簽章來連線的用戶端。 SMB 簽章需要時,在 SMB 連接兩台電腦必須支援 SMB 簽章。SMB 連線沒有成功如果一部電腦不支援 SMB 簽章。預設情況下,SMB 簽章會啟用下列的作業系統上的傳出 SMB 工作階段:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
預設情況下,SMB 簽章會啟用下列作業系統上的傳入 SMB 工作階段:
  • Windows Server 2003 網域控制站
  • Windows 2000 Server 網域控制站
  • Windows NT 4.0 Server 為基礎的網域控制站
根據預設值,SMB 簽章是必要為 Windows Server 2003 網域控制站上的傳入 SMB 工作階段。

設定 SMB 簽章

我們建議您使用群組原則來設定 SMB 簽章,因為如果沒有覆寫的網域原則無法正確運作本機登錄值變更。 相關聯的群組原則設定時,會變更下列登錄值。

SMB 簽章的原則位置

附註下列群組原則設定位於在 「 [電腦設定 \windows 設定 \ 安全性設定 \ 本機 Policies\Security 選項] 群組原則物件編輯器 」 的路徑。
Windows Server 2003-預設網域控制站群組原則
工作站/用戶端
Microsoft 網路用戶端: 數位簽章通訊 (自動) 原則設定: 未定義
Microsoft 網路用戶端: 數位簽章的通訊 (如果伺服器同意) 原則設定: 未定義有效的設定: 啟用 (因為的本機原則)

伺服器
Microsoft 網路伺服器: 數位簽章通訊 (自動) 原則設定: 啟用
Microsoft 網路伺服器: 數位簽章的通訊 (如果用戶端同意) 原則設定: 啟用
Windows XP 和 2003-本機電腦群組原則
工作站/用戶端
Microsoft 網路用戶端: 數位簽章通訊 (自動) [安全性設定: 停用
Microsoft 網路用戶端: 數位簽章的通訊 (如果伺服器同意) [安全性設定: 啟用

伺服器
Microsoft 網路伺服器: 數位簽章通訊 (自動) [安全性設定: 停用
Microsoft 網路伺服器: 數位簽章的通訊 (如果用戶端同意) [安全性設定: 停用
Windows 2000-預設網域控制站群組原則
工作站/用戶端
數位簽章的用戶端的通訊 (自動) 的電腦設定: 未定義
數位簽章的用戶端的通訊 (可能的話) 的電腦設定: 未定義

伺服器
數位簽章伺服器的通訊 (自動) 的電腦設定: 未定義
數位簽章伺服器的通訊 (可能的話) 的電腦設定: 啟用
Windows 2000-本機電腦群組原則
工作站/用戶端
數位簽章的用戶端的通訊 (自動) 本機設定: [停用有效的設定: 停用
數位簽章的用戶端的通訊 (可能的話) 本機設定: 已啟用有效的設定: 啟用

伺服器
數位簽章伺服器的通訊 (自動) 本機設定: [停用有效的設定: 停用
數位簽章伺服器的通訊 (可能的話) 本機設定: [停用有效的設定: 停用

與 Windows Server 2003,Windows XP 和 Windows 2000 的群組原則組態相關的登錄值

用戶端
Windows Server 2003 和 Windows XP 中"Microsoft 網路用戶端: 數位簽章的通訊 (如果伺服器同意) 「 群組原則和 Windows 2000 中 」 加以數位簽名用戶端的通訊 (可能的話) 「 群組原則對應到下列登錄子機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
數值名稱: EnableSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註Windows Server 2003,Windows XP 和 Windows 2000 中的預設值為 1 (已啟用)。

在 Windows Server 2003 和 Windows XP"Microsoft 網路用戶端: 數位簽章通訊 (自動) 」 群組原則和 Windows 2000 」 加以數位簽名用戶端的通訊 (自動) 」 的群組原則對應到下列登錄子機碼中:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


數值名稱: RequireSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註Windows Server 2003,Windows XP 和 Windows 2000 中的預設值是 0 (非必要)。
伺服器
在 Windows Server 2003 和 Windows XP,[群組原則命名為 「 Microsoft 網路用戶端: 數位簽章的通訊 (如果用戶端同意) 」,且在 Windows 2000 群組原則命名為"加以數位簽名伺服器的通訊 (可能的話) 」 的對應,以下列的登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


數值名稱: EnableSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站的預設值為 1 (已啟用)。在 Windows NT 4.0 網域控制站的預設值為 0 (已停用)。
Windows Server 2003 和 Windows XP 原則名稱為 「 Microsoft 網路伺服器: 數位簽章通訊 (自動)"
"加以數位簽名伺服器的通訊 (自動) 」 為 Windows 2000 原則,兩者都對應到下列的登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


數值名稱: RequireSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站預設值是 1 (必要)。在 Windows NT 4.0 網域控制站預設值是 0 (非必要)。
才能使用 SMB 簽章來連線到 Windows 2000 電腦的 Windows NT 4.0 電腦,您必須在 Windows 2000 電腦上建立下列登錄值:
數值名稱: enableW9xsecuritysignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)
附註沒有任何 EnableW9xsecuritysignature 登錄值相關聯的群組原則。

設定 SMB 簽章 Windows NT 4.0 中

數位簽章的用戶端: (請注意這是 RDR 金鑰-不在 Windows 2000 中 LanmanWorkstation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


數值名稱: EnableSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註預設值為 1 (啟用) 正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。
數值名稱: RequireSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註預設值為 0 (非必要) 正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。
「 數位簽署伺服器 」 原則對應至下列登錄機碼中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


數值名稱: EnableSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註預設值為 1 (啟用) Windows Server 2003 網域控制站、 Windows 2000 網域控制站和 Windows NT 4.0 網域控制站上。為所有其他正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦預設值為 0 (已停用)。
數值名稱: RequireSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註預設值為 1 (必要) 在 Windows Server 2003 網域控制站上。為所有其他正在執行 Windows NT 4.0 SP3 或更新版本的電腦預設值是 Windows 的 0 (非必要)。


如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
161372如何啟用 SMB 簽章在 Windows NT 中

設定 SMB 簽章在 Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
將下列兩個登錄值加入至這個登錄子機碼:
數值名稱: EnableSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註在 Windows 98 中預設值為 1 (啟用)。
數值名稱: RequireSecuritySignature
資料類型: REG_DWORD
資料: 0 (停用)、 1 (啟用)

附註在 Windows 98 中的預設值為 0 (已停用)。

如何判斷是否啟用 SMB 簽章在網路監視器追蹤

若要判斷是否已啟用 SMB 簽章,需要在伺服器或同時,檢視交涉協定回應,從伺服器:

SMB: R negotiate, Dialect # = 5
  SMB: Command = R negotiate
      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
        SMB: .......1 = User level security
          SMB: ......1. = Encrypt passwords


在這個回應 」 安全性模式摘要 (NT) = 」 欄位會表示在伺服器上已設定的選項。 這個值會是 3、 7 或 15。

如需有關如何使用網路監視器的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
812953如何使用網路監視器擷取網路資料傳輸
下列資訊有助於解釋交涉協定回應數字的代表:
UCHAR SecurityMode ; 安全性模式:
位元 0: 0 = 共用
位元 0: 1 = 使用者
位元 1: 1 = 加密密碼
位元 2: 1 = 安全性簽章 (SMB 序號) 已啟用
位元 3: 1 = 安全性簽章 (SMB 序號) 所需


如果在伺服器上停用 SMB 簽章,則值為 3。
"SMB: 安全性模式摘要 (NT) = 3 (0x3)"

如果 SMB 簽章已啟用,而且不需要在伺服器,值是 7。
"SMB: 安全性模式摘要 (NT) = 7 (0x7)"

如果 SMB 簽章是啟用,且需要在伺服器,值是 15。
"SMB: 安全性模式摘要 (NT) = 15 (0xF)"
取得更多資訊有關 CIFS 請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/en-us/library/Aa302188.aspx

SMB 簽章的案例

SMB 工作階段後協定交涉行為顯示用戶端組態。

如果 SMB 簽章是已啟用,以及所需在用戶端和在伺服器或是如果在用戶端和伺服器停用 SMB 簽章,連線成功。

如果 SMB 簽章是啟用,並在用戶端所需且在伺服器上停用,TCP 工作階段連線已依正常程序關閉後協定交涉,且用戶端會收到下列的 1240 (ERROR_LOGIN_WKSTA_RESTRICTION) 」 錯誤訊息:
發生系統錯誤 1240年。帳戶沒有從這個工作站登入的權限。
如果 SMB 簽章是在用戶端停用及啟用且需要在伺服器,用戶端收到的 DFS 轉介到樹狀結構連接或 Transact2 回應時,接收 STATUS_ACCESS_DENIED 」 錯誤訊息。

屬性

文章編號: 887429 - 上次校閱: 2007年11月30日 - 版次: 2.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
關鍵字:?
kbmt kbwinservnetwork kbsecurityservices kbhowto kbinfo KB887429 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:887429
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com