現在オフラインです。再接続するためにインターネットの接続を待っています

サーバー メッセージ ブロックの署名の概要

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:887429
はじめに
この資料では、サーバー メッセージ ブロック (SMB) の署名について説明します。SMB 署名と SMB プロトコルのセキュリティ メカニズムであるし、セキュリティ署名とも呼ばれます。SMB 署名は、SMB プロトコルのセキュリティを強化するために設計します。SMB 署名最初 Microsoft Windows NT 4.0 Service Pack 3 (SP3) および Microsoft Windows 98 で利用可能です。

次の SMB トピックは、この資料で説明します。
  • SMB 署名の既定の構成を指定します。
  • SMB 署名の Microsoft Windows Server 2003、Microsoft Windows XP、Microsoft Windows 2000、Windows NT 4.0 では、および Windows 98 を構成する方法を指定します。
  • SMB 署名は、ネットワーク モニターのトレースでできるかどうかを確認する方法
  • サンプル SMB 署名シナリオ。
詳細

ワークステーション サービスおよびサーバー サービスの既定の構成

SMB のセキュリティ署名と署名は、ワークステーション サービスおよびサーバー サービスの構成できます。ワークステーション サービスは発信接続に使用されます。サーバー サービスは、着信接続が使用されます。

SMB 署名を有効にすると、SMB 接続する署名をサポートするクライアントでは、SMB 接続する署名をサポートしないクライアントの可能性もあります。SMB 署名が必要な場合は、両方のコンピューターは SMB 接続では SMB 署名をサポートする必要があります。SMB 接続は 1 台のコンピューターが SMB 署名をサポートしていない場合は、成功です。既定では、SMB 署名送信 SMB セッション、次のオペレーティング システム上で有効です。
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
既定では、SMB 署名着信 SMB セッションを次のオペレーティング システム上で有効です。
  • Windows Server 2003 ベースのドメイン コント ローラー
  • Windows 2000 Server ベースのドメイン コント ローラー
  • Windows NT 4.0 Server ベースのドメイン コント ローラー
既定では、SMB 署名着信 SMB セッションを Windows Server 2003 ベースのドメイン コント ローラーに必要です。

SMB 署名の構成

ある場合は、オーバーライドするドメイン ポリシーがローカルのレジストリ値の変更が正しく機能しないために SMB 署名を構成するのには、グループ ポリシーを使用することをお勧めします。次のレジストリ値は、関連付けられたグループ ポリシーが構成されている場合に変更されます。

SMB 署名ポリシーの場所

メモ 「コンピューターの構成 windows の設定セキュリティの設定ローカル ポリシー セキュリティ オプション」グループ ポリシー オブジェクト エディターのパスで、次のグループ ポリシー設定があります。
Windows Server 2003 の既定のドメイン コント ローラー グループ ポリシー
ワークステーションとクライアント
Microsoft ネットワーク クライアント: 通信にデジタル署名常にポリシーの設定: 定義されていません
Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効な設定が定義されていない: (ローカル ポリシーにより) が有効になって

サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名常にポリシーの設定: 有効
Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うポリシーの設定: 有効
Windows XP および 2003 のローカル コンピューターのグループ ポリシー
ワークステーションとクライアント
Microsoft ネットワーク クライアント: 通信にデジタル署名常にセキュリティの設定: 無効
Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うセキュリティの設定: 有効

サーバー
Microsoft ネットワーク サーバー: 通信にデジタル署名常にセキュリティの設定: 無効
Microsoft ネットワーク サーバー: (クライアントが同意すれば、通信にデジタル署名を行うセキュリティの設定: 無効
Windows 2000 の既定のドメイン コント ローラー グループ ポリシー
ワークステーションとクライアント
クライアントとの通信にデジタル署名常にコンピューターの設定: 定義されていません
可能な場合)、クライアントの通信にデジタル署名を行うコンピューターの設定: 定義されていません

サーバー
サーバー間の通信にデジタル署名常にコンピューターの設定: 定義されていません
可能な場合)、サーバーの通信にデジタル署名を行うコンピューターの設定: 有効
Windows 2000 では、ローカル コンピューターのグループ ポリシー
ワークステーションとクライアント
クライアントとの通信にデジタル署名常にローカルの設定: 有効な設定を無効に: が無効になって
(可能であれば)、クライアントの通信にデジタル署名を行うローカルの設定: 有効な設定を有効に: が有効になって

サーバー
サーバー間の通信にデジタル署名常にローカルの設定: 有効な設定を無効に: 無効
(可能な場合)、サーバーの通信にデジタル署名ローカルの設定: 有効な設定を無効に: が無効になって

Windows Server 2003、Windows XP、および Windows 2000 のグループ ポリシー設定に関連付けられているレジストリの値

クライアント
Windows Server 2003 および Windows XP では、「Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行う」グループ ポリシー、および Windows 2000 では、「可能な場合)、クライアントの通信にデジタル署名」グループ ポリシー マップには、次のレジストリ サブキー。
します
値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003、Windows XP、および Windows 2000 の既定値は 1 (有効) です。

Windows Server 2003 および Windows XP では、「Microsoft ネットワーク クライアント: 通信にデジタル署名を」グループ ポリシー、および Windows 2000 では、[常にクライアントの通信にデジタル署名」グループ ポリシー マップには、次レジストリ サブキー。
します


値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003、Windows XP、および Windows 2000 の既定値 0 は (必須ではありません) です。
サーバー
Windows Server 2003 および Windows XP では、グループ ポリシーの名前"Microsoft ネットワーク クライアント: (クライアントが同意すれば、通信にデジタル署名を行う"、および Windows 2000 では、グループ ポリシー」(可能な場合)、サーバーの通信にデジタル署名」のマップには、次のレジストリ キーの名前します。
見つけて


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値は 1 (有効) です。Windows NT 4.0 ドメイン コント ローラーの既定値は 0 (無効) です。
Windows Server 2003 および Windows XP のポリシーという名前"Microsoft ネットワーク サーバー: 通信にデジタル署名を行う」
[常にサーバーの通信にデジタル署名」という Windows 2000 のポリシー両方の次のレジストリ キーにマップします。
見つけて


値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows Server 2003 ドメイン コント ローラーと Windows 2000 ドメイン コント ローラーの既定値 (必要な) 1 です。Windows NT 4.0 ドメイン コント ローラーの既定値 0 は (必須ではありません) です。
SMB 署名を使用して Windows 2000 ベースのコンピューターに接続できるように Windows NT 4.0 ベース コンピューターでは、Windows 2000 ベースのコンピューターで次のレジストリ値を作成しなければなりません。
値の名前: enableW9xsecuritysignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)
メモ グループ、EnableW9xsecuritysignature のレジストリ値に関連付けられているポリシーはありません。

SMB 署名の Windows NT 4.0 を設定します。

クライアントにデジタル署名を行う: (これ RDR の重要な Windows 2000 と LanmanWorkstation ないであることに注意してください)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は 1 (Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューターでは有効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は (必須ではありません) には 0 を Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行しているコンピューターです。
「サーバー ポリシー マップには、次のレジストリ キーで署名」。
見つけて


値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は 1 (ドメイン コント ローラーの Windows Server 2003、Windows 2000 ドメイン コント ローラー、および Windows NT 4.0 ドメイン コント ローラーでは有効) です。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は 0 (無効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ 既定値は (Windows Server 2003 ドメイン コント ローラーで必要) 1 です。Windows NT 4.0 SP3 またはそれ以降のバージョンの Windows を実行している他のすべてのコンピューターの既定値は 0 の (必須ではありません) です。


詳細については、以下の資料番号をクリックしてマイクロソフト サポート技術資料を参照してください。
161372Windows NT での署名の SMB を有効にする方法

SMB 署名の Windows 98 でを構成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
このレジストリ サブキーに、次の 2 つのレジストリ値を追加します。
値の名前: EnableSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows 98 の既定値は 1 (有効) です。
値の名前: RequireSecuritySignature
データ型: REG_DWORD
データ: 0 (無効)、1 (有効)

メモ Windows 98 の既定値は 0 (無効) です。

SMB 署名は、ネットワーク モニター トレースでできるかどうかを確認する方法

SMB 署名できるかどうか、サーバー、またはその両方に必要なを確認するには、5 から 7 へ、サーバーから参照してください。

SMB: R negotiate, Dialect # = 5  SMB: Command = R negotiate      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]        SMB: .......1 = User level security          SMB: ......1. = Encrypt passwords


この応答で、"セキュリティ モード (NT) の概要 ="フィールドは、サーバー上で構成済みのオプションを表します。この値は、3、7、または 15 のいずれかになります。

ネットワーク モニターを使用する方法の詳細については、マイクロソフト サポート技術資料を参照する次の資料番号をクリックします。
812953ネットワーク トラフィックをキャプチャするネットワーク モニターを使用する方法
5 から 7 への数値が表す内容を説明する、次の情報を支援します。
UCHAR SecurityMode。セキュリティ モード:
ビット 0: 0 = の共有
ビット 0: 1 = ユーザー
ビット 1: 1 = パスワードを暗号化します。
ビット 2: 1 = セキュリティ署名 (SMB シーケンス番号) が有効になって
ビット 3: 1 = セキュリティ署名 (SMB シーケンス番号) が必要


サーバーで SMB 署名が無効になっている場合、値は 3 です。
「SMB: セキュリティ モードの概要 (NT) = 3 (0x3)」

SMB 署名が有効になり、サーバーには必要ない場合、値は 7 です。
「SMB: セキュリティ モードの概要 (NT) = 7 (0x7)」

SMB 署名が有効になり、サーバーで必要な場合は、値は 15 です。
「SMB: セキュリティ モードの概要 (NT) = 15 (0 xf)」
CIFS の詳細については、次のマイクロソフト Web サイトを参照してください。

SMB 署名シナリオ

Dialect Negotiation 後 SMB セッションの動作をクライアントの構成を示しています。

SMB 署名が有効になり、クライアントとサーバーの両方で必要な場合、または SMB 署名は、クライアントとサーバーの両方が無効の場合、接続は成功しました。

SMB 署名を有効にし、クライアントで必要なは無効に場合、Dialect Negotiation 後に TCP セッションへの接続が正しく閉じられた、クライアントが次の「1240 (ERROR_LOGIN_WKSTA_RESTRICTION)」のエラー メッセージを受信。
システム エラー 1240 が発生しました。アカウントはこのステーションからログインする権限がありません。
クライアント側で SMB 署名が無効になっているツリー接続または Transact2 は DFS 紹介応答を受信すると有効になっていると、サーバーで必要なクライアント「STATUS_ACCESS_DENIED」のエラー メッセージ受信する場合。

警告: この記事は自動翻訳されています

プロパティ

文書番号:887429 - 最終更新日: 01/22/2013 07:29:00 - リビジョン: 6.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows NT Server 4.0 Standard Edition

  • kbwinservnetwork kbsecurityservices kbhowto kbinfo kbmt KB887429 KbMtja
フィードバック