服务器消息块签名概览

适用于: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows XP Professional Edition

简介


本文介绍了服务器消息块 (SMB) 签名。SMB 签名是一种安全机制中的 SMB 协议,也称为安全签名。SMB 签名旨在帮助提高了 SMB 协议的安全性。SMB 签名是第一家在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中可用。



本文介绍以下 SMB 主题︰
  • 默认配置 SMB 签名。
  • 如何配置 SMB 签名在 Microsoft Windows Server 2003 中,Microsoft Windows XP、 Microsoft Windows 2000、 Windows NT 4.0 和 Windows 98。
  • 如何确定是否在网络监视器跟踪中启用了 SMB 签名。
  • 示例 SMB 签名方案。

详细信息


工作站服务和服务器服务的默认配置

工作站服务和服务器服务,则可以配置 SMB 签名及安全签名。工作站服务用于传出连接。服务器服务用于传入连接。


当启用了 SMB 签名时,支持 SMB 签名连接的客户端可能会也可能不支持 SMB 签名连接的客户端是。当需要 SMB 签名时,在 SMB 连接两台计算机必须支持 SMB 签名。SMB 连接不成功,如果一台计算机不支持 SMB 签名。默认情况下启用了 SMB 签名传出 SMB 会话在以下操作系统上︰
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
默认情况下启用了 SMB 签名为传入的 SMB 会话在以下操作系统上︰
  • Windows Server 2003 基于域控制器
  • 基于 Windows 2000 的服务器的域控制器
  • Windows NT 4.0 服务器基于域控制器
默认情况下,SMB 签名是需要在基于 Windows Server 2003 的域控制器上传入的 SMB 会话。

配置 SMB 签名

我们建议在您使用组策略来配置 SMB 签名因为本地注册表值更改不会无法正常运行,如果没有覆盖域策略。 配置相关联的组策略时,会更改以下注册表值。

SMB 签名策略位置

注意:以下组策略设置位于"计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全选项"组策略对象编辑器路径。
Windows Server 2003 的默认域控制器组策略
Workstation/Client
Microsoft 网络客户端︰ 数字签名的通信 (总是) 策略设置︰ 未定义

Microsoft 网络客户端︰ 数字签名的通信 (若服务器同意) 设置︰ 未定义有效的设置︰ 启用 (由于本地策略)



服务器
Microsoft 网络服务器︰ 数字签名的通信 (总是) 策略设置︰ 启用

Microsoft 网络服务器︰ 数字签名的通信 (若客户端同意) 设置︰ 启用

Windows XP 和 2003 的本地计算机组策略
Workstation/Client
Microsoft 网络客户端︰ 数字签名的通信 (总是) 安全设置︰ 禁用

Microsoft 网络客户端︰ 数字签名的通信 (若服务器同意) 安全设置︰ 启用

服务器
Microsoft 网络服务器︰ 数字签名的通信 (总是) 安全设置︰ 禁用

Microsoft 网络服务器︰ 数字签名的通信 (若客户端同意) 安全设置︰ 禁用


Windows 2000 的默认域控制器组策略
Workstation/Client
对客户端通信进行数字签名 (总是) 计算机设置︰ 未定义

数字签名的客户端通信 (如果可能) 计算机设置︰ 未定义



服务器
对服务器通讯进行数字签名 (总是) 计算机设置︰ 未定义

数字签名的服务器通信 (如果可能) 的计算机设置︰ 启用



Windows 2000 的本地计算机组策略
Workstation/Client
对客户端通信进行数字签名 (总是) 本地设置︰ 禁用有效设置︰ 禁用

数字签名的客户端通信 (如果可能) 本地设置︰ 启用有效设置︰ 启用



服务器
对服务器通讯进行数字签名 (总是) 本地设置︰ 禁用有效设置︰ 禁用

数字签名的服务器通信 (如果可能) 本地设置︰ 禁用有效设置︰ 禁用



对于 Windows Server 2003 和 Windows XP 或 Windows 2000 组策略配置与相关联的注册表值

客户端
在 Windows Server 2003 和 Windows XP 中"Microsoft 网络客户端︰ 数字签名的通信 (若服务器同意)"组策略,并在 Windows 2000 中,"数字签名的客户端通信 (如果可能)"的组策略映射到以下注册表子项︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
值名称︰ EnableSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)

注意:Windows Server 2003 和 Windows XP 和 Windows 2000 中的默认值为 1 (启用)。

在 Windows Server 2003 和 Windows XP 中"Microsoft 网络客户端︰ 数字签名的通信 (总是)"组策略,并在 Windows 2000 中,"数字签名的客户端通信 (总是)"的组策略映射到以下注册表子项︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

值名称︰ RequireSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:Windows Server 2003 和 Windows XP 和 Windows 2000 中的默认值为 0 (不需要)。
服务器
在 Windows Server 2003 和 Windows XP 中,组策略名为"Microsoft 网络客户端︰ 数字签名的通信 (若客户端同意)",然后在 Windows 2000 中,组策略名为"数字签名的服务器通信 (如果可能)"映射添加到以下注册表项︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

值名称︰ EnableSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:在 Windows Server 2003 的域控制器和 Windows 2000 域控制器的默认值为 1 (启用)。在 Windows NT 4.0 域控制器的默认值为 0 (禁用)。
Windows Server 2003 和 Windows XP 策略名为"Microsoft 网络服务器︰ 数字签名的通信 (总是)"

Windows 2000 的策略称为"数字签名的通信 (总是)",并同时将映射到以下注册表项︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

值名称︰ RequireSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:在 Windows Server 2003 的域控制器和 Windows 2000 域控制器的默认值是 1 (必需的)。在 Windows NT 4.0 域控制器的默认值为 0 (不需要)。
对于基于 Windows NT 4.0 的计算机能够通过使用 SMB 签名连接到基于 Windows 2000 的计算机,必须在基于 Windows 2000 的计算机上创建以下注册表值︰
值名称︰ enableW9xsecuritysignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)
注意:没有组策略与 EnableW9xsecuritysignature 注册表值相关联。

配置 SMB 签名在 Windows NT 4.0 中

数字签名的客户端: (请注意这是 RDR 键-不在 Windows 2000 LanmanWorkstation)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

值名称︰ EnableSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:默认值为 1 (启用) 在正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。
值名称︰ RequireSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:默认值为 0 (不需要) 在正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。
"数字签名的服务器"在策略映射到以下注册表项中︰


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

值名称︰ EnableSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:默认值为 1 (启用) 在 Windows Server 2003 的域控制器,Windows 2000 域控制器,并且 Windows NT 4.0 的域控制器上。所有运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (禁用)。
值名称︰ RequireSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:默认值为 1 (必需) 在 Windows Server 2003 的域控制器。所有运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (不需要)。


有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

161372如何启用 SMB 签名在 Windows NT 中

配置 SMB 签名在 Windows 98 中

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
将以下两个注册表值添加到以下注册表子项︰

值名称︰ EnableSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)

注意:在 Windows 98 中的默认值为 1 (启用)。
值名称︰ RequireSecuritySignature

数据类型︰ REG_DWORD

数据︰ 0 (禁用)、 1 (启用)


注意:在 Windows 98 中的默认值为 0 (禁用)。

如何确定是否在网络监视器跟踪中启用了 SMB 签名

若要确定是否启用了 SMB 签名,需要在服务器上,或两者,查看服务器协商方言响应︰


SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords


在此响应"安全模式摘要 (NT) ="字段表示在服务器上配置的选项。此值将是 3、 7 或 15。



有关如何使用网络监视器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

812953如何使用网络监视器捕获网络流量

以下信息可以帮助您理解协商方言响应数字代表什么︰
UCHAR SecurityMode;安全模式︰

位 0: 0 = 共享

位 0: 1 = 用户

比 1: 1 = 对密码进行加密

位 2: 1 = 启用安全签名 (SMB 序列号)

位 3: 1 = 所需的安全签名 (SMB 序列号)



如果在服务器上禁用了 SMB 签名,则值为 3。

"SMB︰ 安全模式摘要 (NT) = 3 (0x3)"



如果 SMB 签名是启用,并且不需要在服务器上,则值为 7。

"SMB︰ 安全模式摘要 (NT) = 7 (0x7)"



如果 SMB 签名是启用,在服务器上所需的值是 15。

"SMB︰ 安全模式摘要 (NT) = 15 (0xF)"
CIFS 有关的其他信息,请访问下面的 Microsoft 网站︰

SMB 签名方案

方言协商 SMB 会话的行为显示了客户端配置。



如果 SMB 签名是启用,且需要在客户端和服务器,或者如果客户端和服务器上禁用 SMB 签名,则连接是成功的。



如果 SMB 签名是启用,并在客户端所需在服务器上禁用,方言协商后与 TCP 会话的连接关闭,客户端会收到下面的"1240 (ERROR_LOGIN_WKSTA_RESTRICTION)"错误消息︰
发生了系统错误 1240年。未授权此帐户从该站登录。
如果 SMB 签名是在客户端上禁用和启用所需在服务器上,客户端将接收的"STATUS_ACCESS_DENIED"错误消息,当接收到响应时向树连接或 Transact2 的 DFS 引用。