在成员计算机正在运行 Windows Server 2008 或 Windows Vista SP1 启用某些 SMB 签名策略时不会应用组策略设置


支持的 Windows Vista Service Pack 1 (SP1) 结束在 2011 年 7 月 12 日。要继续接收 windows 的安全更新,请确保您正在运行 Windows Vista with Service Pack 2 (SP2)。有关详细信息,请参阅此 Microsoft 网页︰支持结束某些版本的 Windows

症状


请考虑以下情形:
  • 在一个域中运行 Windows Server 2003 的域控制器上启用了以下策略︰
    • 计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全、 microsoft 网络服务器︰ 数字签名的通信 (总是)
    • 计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全、 microsoft 网络服务器︰ 数字签名的通信 (若客户端同意)
  • 在正在运行 Windows Vista Service Pack 1 或 Windows Server 2008 在同一个域中的成员计算机上启用了以下策略︰
    • 计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全、 microsoft 网络客户端︰ 数字签名的通信 (总是)
    • 计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全、 microsoft 网络客户端︰ 数字签名的通信 (若服务器同意)
在这种情况下,组策略设置不是应用在成员计算机上。此外,在成员计算机上的系统日志中记录以下事件︰注意仅在正在运行 Windows Server 2008 或 Windows Vista Service Pack 1 (SP1) 的成员计算机发生此问题。它不出现在成员计算机正在运行 Windows Server 2003 和 Windows XP 中,Windows Vista 的发布版本。

原因


当 1 的客户端将建立非来宾会话或与服务器的非匿名会话的服务器消息块 (SMB) 版本时,客户端可以启用服务器的安全签名。再以后的进程继承已经建立的安全签名序列。

为了提高安全性,Windows Server 2008 和 Windows Vista SP1 阻止来自恶意被降级到来宾会话或匿名会话进行身份验证的服务器连接。但是,这种改进的安全性不能解决"症状"一节中描述的方案。

解决方案


Windows Server 2008 的修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

安装此修补程序不需要任何先决条件。

重启要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
Windows Server 2008 中,基于 x86 的版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156211,96812-Apr-200800:43x86
Windows Server 2008 中,基于 Itanium 的版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156655,36012-Apr-200800:54IA-64
Windows Server 2008 中,基于 x64 版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156272,38412-Apr-200801:17x64

Windows Vista Service Pack 1 修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

若要应用此修补程序,您必须安装 Windows Vista SP1。

重启要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
Windows Vista with Service Pack 1,基于 x86 的版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156211,96812-Apr-200800:43x86
Windows Vista with Service Pack 1,基于 Itanium 的版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156655,36012-Apr-200800:54IA-64
Windows Vista with Service Pack 1,基于 x64 版本
文件名称文件版本文件大小日期时间平台
Mrxsmb10.sys6.0.6001.22156272,38412-Apr-200801:17x64

解决方法


重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
若要变通解决此问题,请使用下列方法之一:

方法 1

禁用运行的 Windows Server 2008 或 Windows Vista SP1 的成员计算机上的以下策略︰
计算机配置 \windows 设置 \ 安全设置 \ 本地策略 \ 安全、 microsoft 网络客户端︰ 数字签名的通信 (总是)

方法 2

成员在计算机上运行的 Windows Server 2008 或 Windows Vista SP1,请执行以下步骤︰
  1. 单击开始,在开始搜索框中,键入注册表编辑器,然后按 enter 键。
  2. 找到下面的注册表子项下的 RequireSecuritySignature 注册表项︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  3. RequireSecuritySignature,用鼠标右键单击,然后单击修改
  4. 数值数据框中,键入0,然后单击确定
  5. 退出注册表编辑器。

方法 3

成员在计算机上运行的 Windows Server 2008 或 Windows Vista Service Pack 1,请执行以下步骤︰
  1. 单击开始,在开始搜索框中,键入注册表编辑器,然后按 enter 键。
  2. 找到下面的注册表子项下的 AllowGuestAuthWhenSigningRequired 注册表项︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  3. AllowGuestAuthWhenSigningRequired,用鼠标右键单击,然后单击修改
  4. 数值数据框中,键入1,然后单击确定
  5. 退出注册表编辑器。

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明