你目前正处于脱机状态,正在等待 Internet 重新连接

服务器消息块签名概述

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 887429
简介
本文介绍了服务器消息块 (SMB) 签名。SMB 签名是一种安全机制,在 $ SMB 协议中的,也称为安全签名。SMB 签名旨在帮助提高安全性的 SMB 协议。 SMB 签名第一次是在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中可用的。

下面的 SMB 主题本文所述:
  • 默认配置的 SMB 签名。
  • 如何配置 SMB 签名在 Microsoft Windows Server 2003 中,Microsoft Windows XP、 Microsoft Windows 2000、 Windows NT 4.0 和 Windows 98。
  • 如何确定在网络监视器跟踪中是否启用了 SMB 签名。
  • 示例 SMB 签名方案。
更多信息

工作站服务和 $ 服务器服务的默认配置

为工作站服务和 $ 服务器服务,可以配置 SMB 签名和安全签名。对于传出的连接使用 $ 工作站服务。为传入连接使用 $ 服务器服务。

当启用了 SMB 签名时有可能支持 SMB 签名要连接的客户端和也可能不支持 SMB 签名要连接的客户端是。 当要求进行 SMB 签名,时在 SMB 连接两台计算机必须支持 SMB 签名。SMB 连接不成功,如果一台计算机不支持 SMB 签名。默认状态下,以下操作系统上的出站 SMB 会话启用 SMB 签名:
  • Windows 2003 Server
  • Windows XP
  • Windows 2000
  • Windows 4.0 NT
  • Windows 98
默认状态下,对传入的 SMB 会话,在以下操作系统上启用 SMB 签名:
  • Windows 基于 Server 2003 的域控制器
  • 基于 Windows 2000 Server 的域控制器
  • Windows NT 4.0 服务器基于域控制器
默认状态下,SMB 签名缺少传入的 SMB 会话,基于 Windows Server 2003 的域控制器上。

配置 SMB 签名

我们建议使用组策略配置 SMB 签名,因为如果没有对重写的域策略,本地注册表值更改不会无法正常工作。 配置相关联的组策略时,会更改以下注册表值。

对于 SMB 签名策略位置

注意下面的组策略设置位于中"计算机配置 \windows 设置安全本地策略 \ 安全选项"组策略对象编辑器的路径。
Windows Server 2003 的默认域控制器组策略
工作站/客户端
Microsoft 网络客户端: 数字签名的通信 (总是) 策略设置: 未定义
Microsoft 网络客户端: 数字签名的通信 (若服务器同意) 策略设置: 未定义有效设置: 启用 (由于的本地策略)

服务器
Microsoft 网络服务器: 数字签名的通信 (总是) 策略设置: 启用
Microsoft 网络服务器: 数字签名的通信 (若客户端同意) 策略设置: 启用
Windows XP 和 2003-本地计算机组策略
工作站/客户端
Microsoft 网络客户端: 数字签名的通信 (总是) 安全设置: 禁用
Microsoft 网络客户端: 数字签名的通信 (若服务器同意) 安全设置: 启用

服务器
Microsoft 网络服务器: 数字签名的通信 (总是) 安全设置: 禁用
Microsoft 网络服务器: 数字签名的通信 (若客户端同意) 安全设置: 禁用
Windows 2000 的默认域控制器组策略
工作站/客户端
对客户端通讯进行数字签名 (总是) 计算机设置: 未定义
数字签名的客户端通信 (如果可能) 计算机设置: 未定义

服务器
对服务器通讯进行数字签名 (总是) 计算机设置: 未定义
数字签名的服务器通信 (如果可能) 计算机设置: 启用
Windows 2000 的本地计算机组策略
工作站/客户端
对客户端通讯进行数字签名 (总是) 本地的设置: 已禁用的有效设置: 已禁用
数字签名的客户端通信 (如果可能) 本地设置: 启用有效设置: 启用

服务器
对服务器通讯进行数字签名 (总是) 本地的设置: 已禁用的有效设置: 已禁用
数字签名的服务器通信 (如果可能) 本地设置: 已禁用的有效设置: 已禁用

Windows Server 2003,Windows XP 和 Windows 2000 的组策略配置与相关联的注册表值

客户端
在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端: 数字签名的通信 (若服务器同意)"组策略和 Windows 2000 中将"数字签名的客户端通信 (如果可能)"组策略将映射到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
值名称: EnableSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows Server 2003,Windows XP 和 Windows 2000 中的默认值为 1 (启用)。

在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端: 数字签名的通信 (总是)"组策略和 Windows 2000"数字签名的客户端通信 (总是)"组策略映射到以下注册表子项中:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


值名称: RequireSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows Server 2003,Windows XP 和 Windows 2000 中的默认值为 0 (不需要)。
服务器
在 Windows Server 2003 和 Windows XP 组策略名为"Microsoft 网络客户端: 数字签名的通信 (若客户端同意)",在 Windows 2000 组策略命名为"数字签名的服务器通信 (如果可能)"的映射到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


值名称: EnableSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows Server 2003 域控制器和 Windows 2000 域控制器的默认值为 1 (启用)。Windows NT 4.0 的域控制器中的默认值为 0 (禁用)。
Windows Server 2003 和 Windows XP 策略被命名为"Microsoft 网络服务器: 数字签名的通信 (总是)"
Windows 2000 策略命名为"数字签名的服务器通信 (总是)",两者都映射到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


值名称: RequireSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows Server 2003 域控制器和 Windows 2000 域控制器的默认值为 1 (必需)。Windows NT 4.0 的域控制器中的默认值为 0 (不需要)。
对于基于 Windows NT 4.0 的计算机都能够使用 SMB 签名连接到基于 Windows 2000 的计算机,您必须在基于 Windows 2000 的计算机上创建以下注册表值:
值名称: enableW9xsecuritysignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)
注意没有任何与 EnableW9xsecuritysignature 注册表值相关联的组策略。

配置 SMB 签名在 Windows NT 4.0 中

数字签名的客户端: (这是 RDR 键-不在 Windows 2000 中的 LanmanWorkstation 公告)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


值名称: EnableSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意默认值为 1 (启用) 运行的 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。
值名称: RequireSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意默认值为 0 (不需要),就运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机上。
"数字签名服务器"在策略映射到以下注册表项中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


值名称: EnableSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意默认值为 1 (启用) 在 Windows Server 2003 域控制器、 Windows 2000 的域控制器和 Windows NT 4.0 域控制器上。其他所有正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (禁用)。
值名称: RequireSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意默认值为 1 (必需) 在 Windows Server 2003 域控制器上。其他所有正在运行 Windows NT 4.0 SP3 或更高版本的 Windows 的计算机的默认值为 0 (不需要)。


有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
161372如何启用 SMB 签名在 Windows NT 中

配置 SMB 签名在 Windows 98 中

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
将以下两个注册表值添加到此注册表子项:
值名称: EnableSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows 98 中的默认值为 1 (启用)。
值名称: RequireSecuritySignature
数据类型: REG_DWORD
数据: 0 (禁用),1 (启用)

注意在 Windows 98 中的默认值为 0 (禁用)。

如何确定在网络监视跟踪中是否启用了 SMB 签名

若要确定是否启用 SMB 签名,需要和 / 或服务器,查看协商方言响应从服务器:

SMB: R negotiate, Dialect # = 5  SMB: Command = R negotiate      SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]        SMB: .......1 = User level security          SMB: ......1. = Encrypt passwords


在此响应中将"安全模式摘要 (NT) ="字段表示在服务器上配置的选项。 此值将为 3、 7 或 15。

有关如何使用网络监视器的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
812953如何使用网络监视器捕获网络通信
以下信息可以帮助解释协商方言响应数字表示什么:
UCHAR SecurityMode ; 安全模式:
位 0: 0 = 共享
位 0: 1 = 用户
位 1: 1 = 加密密码
位 2: 1 = 启用了安全签名 (SMB 序列号)
位 3: 1 = 所需的安全签名 (SMB 序列号)


如果在服务器上禁用了 SMB 签名,值为 3。
"SMB: 安全模式摘要 (NT) = 3 (0x3)"

如果 SMB 签名是启用,并且不需要在服务器上,值是 7。
"SMB: 安全模式摘要 (NT) = 7 (0x7)"

如果 SMB 签名是启用,并且在服务器上所需,则值为 15。
"SMB: 安全模式摘要 (NT) = 15 (0xF)"
有关 CIFS 的其他信息,请访问下面的 Microsoft 网站:

SMB 签名的方案

行为的后方言协商该 SMB 会话显示了客户端配置。

如果启用并需要在客户端和服务器,了 SMB 签名,或者如果在客户端和服务器上禁用了 SMB 签名是成功的连接。

如果 SMB 签名是启用和需要在客户端和服务器上禁用,与 TCP 会话的连接后在方言协商正常关闭,并在客户端会收到下面的"1240 (ERROR_LOGIN_WKSTA_RESTRICTION)"错误消息:
发生系统错误 1240年。该帐户无权从该工作站登录。
如果 SMB 签名是在客户端上禁用和启用并且在服务器上所需,客户端在接收到树连接或 Transact2 响应的 DFS 引用时接收"STATUS_ACCESS_DENIED"错误消息。

警告:本文已自动翻译

属性

文章 ID:887429 - 上次审阅时间:11/30/2007 09:15:28 - 修订版本: 2.4

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 98 第二版

  • kbmt kbwinservnetwork kbsecurityservices kbhowto kbinfo KB887429 KbMtzh
反馈