サーバー メッセージ ブロックの署名の概要

適用対象: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows XP Professional

はじめに


この資料では、サーバー メッセージ ブロック (SMB) 署名について説明します。SMB 署名は SMB プロトコルのセキュリティ機構であり、セキュリティ署名のでとも呼ばれます。SMB 署名、SMB プロトコルのセキュリティを向上させるために設計されています。SMB 署名は Microsoft Windows NT 4.0 Service Pack 3 (SP3) および Microsoft Windows 98 で使用可能な最初でした。



次の SMB トピックは、この資料に記載されます。
  • SMB 署名の既定の構成です。
  • SMB 署名では、Microsoft Windows Server 2003、Microsoft Windows XP、Microsoft Windows 2000、Windows NT 4.0 では、および Windows 98 を構成する方法。
  • ネットワーク モニター トレースで、SMB 署名が有効かどうかを判断する方法です。
  • SMB 署名シナリオの例です。

詳細


ワークステーション サービスおよびサーバー サービスの既定の構成

ワークステーション サービスおよびサーバー サービスは、SMB 署名の署名とセキュリティを構成できます。ワークステーション サービスは、発信接続に使用されます。着信接続のため、Server サービスが使用されます。


SMB 署名を有効にすると、クライアントは SMB 接続する署名をサポートすることし、SMB 接続する署名をサポートしていないクライアントのこともできます。SMB 署名が必要な場合、SMB 接続の両方のコンピューターが SMB 署名をサポートする必要があります。SMB 接続は 1 台のコンピューターが SMB 署名をサポートしていない場合は、正常ではありません。既定では、次のオペレーティング システム上の送信の SMB セッションの SMB 署名が有効。 にします。
  • Windows Server 2003
  • Windows XP の場合
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
既定では、次のオペレーティング システムでの着信の SMB セッションの SMB 署名が有効。 にします。
  • Windows Server 2003 ベースのドメイン コント ローラー
  • Windows 2000 Server ベースのドメイン コント ローラー
  • Windows NT 4.0 Server ベースのドメイン コント ローラー
既定では、SMB 署名が必要な Windows Server 2003 ベースのドメイン コント ローラー上の着信の SMB セッションの。

SMB 署名の構成

オーバーライドする側のドメイン ポリシーがある場合、ローカルのレジストリ値の変更が正常に機能しないためにの SMB 署名を構成するのには、グループ ポリシーを使用することをお勧めします。 関連付けられたグループ ポリシーが構成されている場合は、次のレジストリ値が変更されます。

SMB 署名ポリシーの場所

注: 次のグループ ポリシー設定は、グループ ポリシー オブジェクト エディターの「コンピューターの構成 \windows の設定セキュリティの設定ローカル ポリシー セキュリティ オプション」のパスに配置されます。
Windows Server 2003 の既定のドメイン コント ローラー グループ ポリシー
Workstation/Client
Microsoft ネットワーク クライアント: 通信にデジタル署名ポリシーの設定 (常に): 定義されていません

Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効な設定が定義されていません: (ローカル ポリシー) のため有効になっています。



サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名ポリシーの設定 (常に): 有効になっています。

Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効になっています。

Windows XP および 2003 のローカル コンピューターのグループ ポリシー
Workstation/Client
Microsoft ネットワーク クライアント: 通信にデジタル署名常にセキュリティの設定: 無効になっています。

Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うセキュリティの設定: 有効になっています。

サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名常にセキュリティの設定: 無効になっています。

Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うセキュリティの設定: 無効になっています。


Windows 2000 の既定のドメイン コント ローラー グループ ポリシー
Workstation/Client
クライアント通信にデジタル署名常にコンピューターの設定: 定義されていません

可能な場合)、クライアントの通信にデジタル署名を行うコンピューターの設定: 定義されていません



サーバー
サーバー間の通信にデジタル署名常にコンピューターの設定: 定義されていません

可能な場合)、サーバーの通信にデジタル署名を行うコンピューターの設定: 有効になっています。



Windows 2000 でローカル コンピューターのグループ ポリシー
Workstation/Client
クライアント通信にデジタル署名常にローカルの設定: 有効な設定を無効になっている: 無効になっています。

可能な場合)、クライアントの通信にデジタル署名を行うローカルの設定: 有効な設定を有効になっている: 有効になっています。



サーバー
サーバー間の通信にデジタル署名常にローカルの設定: 有効な設定を無効になっている: 無効になっています。

デジタル署名を適用すると、サーバー間の通信可能な場合) ローカルの設定: 有効な設定を無効になっている: 無効になっています。



Windows Server 2003、Windows XP および Windows 2000 のグループ ポリシーの構成に関連付けられたレジストリ値

クライアント
Windows Server 2003 と Windows XP で、"Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行う」、グループ ポリシーと Windows 2000 では、"可能な場合)、クライアントの通信にデジタル署名を行う「グループ ポリシーへのマップの次のレジストリ サブキーに。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
値の名前: EnableSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)

注: Windows Server 2003、Windows XP および Windows 2000 の既定値は、1 (有効) です。

Windows Server 2003 および Windows XP の場合は、"Microsoft ネットワーク クライアント: (常に通信にデジタル署名」、グループ ポリシーと Windows 2000 では、次のレジストリ サブキーに"(常に)、クライアントの通信にデジタル署名を行う「グループ ポリシー マップで。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

値の名前: RequireSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: Windows Server 2003、Windows XP および Windows 2000 の既定値は、0 は (必須ではありません)。
サーバー
Windows Server 2003 および Windows XP では、グループ ポリシーという名前の"Microsoft ネットワーク クライアント: (クライアントが同意すれば、通信にデジタル署名を行う」、グループ ポリシーでは、Windows 2000 では、次のレジストリ キーにマップする「可能な場合)、サーバーの通信にデジタル署名を行う」の名前と。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

値の名前: EnableSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値は、1 (有効) です。Windows NT 4.0 ドメイン コント ローラーの既定値は、0 (無効) です。
Windows Server 2003 と Windows XP のポリシーの名前は"Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名」

Windows 2000 のポリシーは、「(常に)、サーバーの通信にデジタル署名を行う」という名前は、両方の次のレジストリ キーにマップします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

値の名前: RequireSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値は、(必須) 1 です。Windows NT 4.0 ドメイン コント ローラーの既定値は、0 は (必須ではありません)。
Windows NT 4.0 ベースのコンピューターで SMB 署名を使用して Windows 2000 ベースのコンピューターに接続できる、Windows 2000 ベース コンピューターで次のレジストリ値を作成します。
値の名前: enableW9xsecuritysignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)
注: EnableW9xsecuritysignature レジストリ値に関連付けられているグループ ポリシーはありません。

SMB 署名では、Windows NT 4.0 を構成します。

クライアントにデジタル署名を行う: (RDR の重要な Windows 2000 の場合とである LanmanWorkstation いないあることがわかります)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

値の名前: EnableSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: 既定値は 1 (有効になっている) Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューターにします。
値の名前: RequireSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: 既定値は、Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューター上の 0 (必須ではありませんです)。
「デジタル署名をサーバー」のポリシーの次のレジストリ キーにマップ:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

値の名前: EnableSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: 既定値は 1 (有効) に、Windows Server 2003 ドメイン コント ローラー、Windows 2000 ドメイン コント ローラー、および Windows NT 4.0 ドメイン コント ローラーです。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は、0 (無効) です。
値の名前: RequireSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: 既定値は、Windows Server 2003 ドメイン コント ローラー上には、(必須) 1 です。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は、0 は (必須ではありません)。


詳細については、次の文書番号をクリックしてマイクロソフト サポート技術資料を参照してください。

161372 SMB 署名を Windows NT でを有効にする方法

SMB 署名を Windows 98 での構成

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
このレジストリ サブキーに次の 2 つのレジストリ値を追加します。

値の名前: EnableSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)

注: Windows 98 の既定値は、1 (有効) です。
値の名前: RequireSecuritySignature

データ型: REG_DWORD

データ: 0 (無効)、1 (有効)


注: Windows 98 の既定値は、0 (無効) です。

ネットワーク モニター トレースで SMB 署名が有効かどうかを確認する方法

サーバー、またはその両方に必要な SMB 署名が有効かどうかを確認、交渉言語からの応答、サーバーを参照してください。


SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords


この応答で、"セキュリティ モードの概要 (NT) ="フィールドは、サーバー上で構成されているオプションを表します。この値は 3、7、または 15 のいずれかになります。



ネットワーク モニターを使用する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

812953ネットワーク モニターを使用して、ネットワーク トラフィックをキャプチャする方法

言語対応のネゴシエートの数値が表す内容について説明する次の情報に役立ちます。
UCHAR SecurityMode。セキュリティ モードです。

ビット 0: 0 = 共有

ビット 0: 1 = ユーザー

ビット 1: 1 = パスワードを暗号化します。

ビット 2: 1 = セキュリティ署名 (SMB シーケンス番号) が有効になっています。

ビット 3: 1 = セキュリティ署名 (SMB シーケンス番号) が必要



サーバーで SMB 署名が無効になっている場合、値は 3 です。

"SMB: セキュリティ モードの概要 (NT) = 3 (0x3)」



SMB 署名を有効に、サーバーでは必要ない場合、値は、7 になります。

"SMB: セキュリティ モードの概要 (NT) = 7 (0x7)」



SMB 署名が有効になっている、サーバーで必要な場合、値は、15 になります。

"SMB: セキュリティ モードの概要 (NT) = 15 (0 xf)」
CIFS の詳細については、次のマイクロソフト Web サイトを参照してください。

SMB 署名の事例

Dialect Negotiation 後 SMB セッションの動作は、クライアントの構成を示しています。



SMB 署名が有効で、クライアントとサーバーの両方で必要な場合、またはクライアントとサーバーの両方で SMB 署名が無効になっている場合は、接続が成功します。



SMB 署名が有効になっているとクライアントに必要なサーバーで無効になっている場合、Dialect Negotiation 後に TCP セッションへの接続が終了し、クライアントが次の「1240 (ERROR_LOGIN_WKSTA_RESTRICTION)」エラー メッセージを受信。
システム エラー 1240 が発生しました。アカウントはこのステーションからログインする権限がありません。
SMB 署名がクライアント側で無効になっているとを有効にし、サーバーで必要な場合、クライアントは、DFS 紹介のツリー接続または Transact2 への応答を受信したとき、"STATUS_ACCESS_DENIED"のエラー メッセージを受け取ります。