伺服器訊息區簽章的概觀

Microsoft 內部的支援資訊

錯誤 #: 28282 (內容維護)

簡介

本文將告訴您伺服器訊息區 (SMB) 簽章。SMB 簽章的 SMB 通訊協定中的安全性機制,也就是安全性簽章。SMB 簽章被設計來協助改善安全性的 SMB 通訊協定中。SMB 簽章的是,先在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中使用。



本文說明下列的 SMB 主題︰

  • 預設的設定 SMB 簽章。

  • 如何設定 SMB 簽章在 Microsoft Windows Server 2003 中,Microsoft Windows XP,Microsoft Windows 2000、 Windows NT 4.0 和 Windows 98。

  • 如何判斷是否在網路監視器追蹤中啟用 SMB 簽章。

  • 範例 SMB 簽署案例。

更多的資訊

「 工作站 」 服務與伺服器服務的預設設定

您可以設定 SMB 簽章及安全性簽章,「 工作站 」 服務,以及伺服器服務。「 工作站 」 服務用於傳出的連線。「 伺服器 」 服務用於連入連線。


當啟用 SMB 簽章時,也可支援 SMB 簽章若要連線之用戶端,同時它也是讓用戶端不支援 SMB 簽章來連接。當需要 SMB 簽章,SMB 連線在兩台電腦必須支援 SMB 簽章。無法成功,如果一台電腦不支援 SMB 簽章的 SMB 連線。根據預設,下列的作業系統上的傳出 SMB 工作階段啟用 SMB 簽章︰

  • Windows Server 2003

  • Windows XP

  • Windows 2000

  • Windows NT 4.0

  • Windows 98

根據預設,下列的作業系統上的連入 SMB 工作階段啟用 SMB 簽章︰

  • Windows Server 2003 網域控制站

  • Windows 2000 Server 為基礎的網域控制站

  • Windows NT 4.0 伺服器為基礎的網域控制站

根據預設,SMB 簽章是必要的連入的 SMB 工作階段,在 Windows Server 2003 網域控制站上。

設定 SMB 簽章

我們建議您,使用群組原則設定 SMB 簽章,因為如果沒有覆寫的網域原則無法正確運作的本機登錄值的變更。 相關聯的群組原則設定時,則會變更下列登錄值。

SMB 簽章原則位置

注意下列的 「 群組原則 」 設定位於 [電腦設定 \windows 設定 \ 安全性設定 \ 本機原則 \ 安全性選項] 群組原則物件編輯器 」 路徑。

Windows Server 2003-預設網域控制站群組原則

Workstation/Client
Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 原則設定︰ 未定義

Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 原則設定︰ 未定義有效的設定︰ 啟用 (因為本機原則])



伺服器
Microsoft 網路伺服器︰ 數位簽章通訊 (自動) 原則設定︰ 啟用

Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意) 原則設定︰ 啟用

Windows XP 和 2003-本機電腦群組原則

Workstation/Client
Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 的安全性設定︰ 停用

Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 安全性設定︰ 啟用

伺服器
Microsoft 網路伺服器︰ 數位簽章通訊 (自動) 的安全性設定︰ 停用

Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意) 安全性設定︰ 停用


Windows 2000 的預設網域控制站群組原則

Workstation/Client
數位簽名用戶端的通訊 (自動) 的電腦設定︰ 未定義

數位簽名 (自動) 的用戶端通訊的電腦設定︰ 未定義



伺服器
數位簽名伺服器的通訊 (自動) 的電腦設定︰ 未定義

數位簽章伺服器的通訊 (自動) 電腦設定︰ 啟用



Windows 2000 的本機電腦群組原則

Workstation/Client
數位簽名用戶端的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用

數位簽名用戶端的通訊 (自動) 本機的設定︰ 啟用有效的設定︰ 啟用



伺服器
數位簽名伺服器的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用

數位簽章伺服器的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用



與 Windows Server 2003、 Windows XP 和 Windows 2000 群組原則設定相關聯的登錄值

用戶端

在 Windows Server 2003 和 Windows XP 中,「 Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 「 群組原則和在 Windows 2000 中,「 數位簽名用戶端的通訊 (自動) 」 的群組原則對應到下列登錄子機碼︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

數值名稱︰ EnableSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)
注意Windows Server 2003、 Windows XP 與 Windows 2000 中的預設值是 1 (啟用)。

在 Windows Server 2003 和 Windows XP 中,「 Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 「 群組原則和在 Windows 2000 中,「 數位簽名用戶端的通訊 (自動) 」 的群組原則對應到下列登錄子機碼︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

數值名稱︰ RequireSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意Windows Server 2003、 Windows XP 與 Windows 2000 中的預設值是 0 (非必要)。

伺服器

在 Windows Server 2003,Windows XP 「 群組原則命名為 「 Microsoft 網路用戶端︰ 數位簽章的通訊 (如果用戶端同意) 」,並在 Windows 2000 群組原則命名為 「 數位簽名伺服器的通訊 (自動) 」 的對應到下列的登錄機碼︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

數值名稱︰ EnableSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站的預設值是 1 (啟用)。Windows NT 4.0 網域控制站中的預設值是 0 (停用)。Windows Server 2003 及 Windows XP 原則名稱為 「 Microsoft 網路伺服器︰ 數位簽章通訊 (自動)"

Windows 2000 原則稱為 「 數位簽名伺服器的通訊 (自動) 」,並同時對應到下列的登錄機碼︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

數值名稱︰ RequireSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站的預設值是 1 (必要)。Windows NT 4.0 網域控制站中的預設值是 0 (非必要)。對於要能夠連線到 Windows 2000 為基礎的電腦,使用 SMB 簽章的 Windows NT 4.0 電腦,您必須在 Windows 2000 為基礎的電腦上建立下列登錄值︰

數值名稱︰ enableW9xsecuritysignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)
注意沒有群組原則與 EnableW9xsecuritysignature 的登錄值相關聯。

設定 SMB 簽章在 Windows NT 4.0 中

數位簽章用戶端: (請注意,這是 RDR 金鑰-不 Windows 2000 的 LanmanWorkstation)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

數值名稱︰ EnableSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意預設值是 1 (啟用) 正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。

數值名稱︰ RequireSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意預設值是 0 (非必要),在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。「 數位簽名伺服器"原則對應到下列的登錄機碼中︰


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

數值名稱︰ EnableSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意預設值是 1 (啟用),在 Windows Server 2003 網域控制站、 Windows 2000 網域控制站,以及 Windows NT 4.0 網域控制站上。所有其他正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦的預設值是 0 (停用)。

數值名稱︰ RequireSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意預設值是 (不可省略) 在 Windows Server 2003 網域控制站上的 1。所有其他正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦的預設值是 0 (非必要)。

如需其他資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

如何啟用 SMB 簽章在 Windows NT 的

設定 SMB 簽章在 Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup此登錄子機碼中加入下列兩個登錄值︰

數值名稱︰ EnableSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)

注意Windows 98 中的預設值為 1 (啟用)。

數值名稱︰ RequireSecuritySignature

資料型別︰ REG_DWORD

資料︰ 0 (停用)、 1 (啟用)


注意Windows 98 中的預設值是 0 (停用)。

如何判斷是否在 「 網路監視器 」 追蹤中啟用 SMB 簽章

如果要判斷是否已啟用 SMB 簽章,伺服器,或同時選取所需,檢視伺服器交涉方言回應︰


SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords

此回應中 」 安全性模式摘要 (NT) = 」 欄位會表示在伺服器上已設定的選項。這個值會是 3、 7 或 15。



如需其他有關如何使用 「 網路監視器 」 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰

如何使用網路監視器擷取網路流量

下列資訊可協助說明交涉方言回應數字的代表︰

UCHAR SecurityMode;安全模式︰

位元 0: 0 = 共用

位元 0: 1 = 使用者

位元 1: 1 = 加密密碼

位元 2: 1 = 安全性簽章 (SMB 序號) 啟用

位元 3: 1 = 安全性簽章 (SMB 序號) 所需



如果在伺服器停用 SMB 簽章,則值為 3。

「 SMB︰ 安全性模式摘要 (NT) = 3 (0x3)"



如果 SMB 簽章後,會啟用,且不需要在伺服器,則值為 7。

「 SMB︰ 安全性模式摘要 (NT) = 7 (0x7)"



如果 SMB 簽章後,會啟用,且所需的伺服器,則其值為 15。

「 SMB︰ 安全性模式摘要 (NT) = 15 (0xF)"如需有關 CIFS 的詳細資訊,請造訪下列 Microsoft 網站︰

SMB 簽章的案例

之後方言交涉 SMB 工作階段的行為會顯示用戶端設定。



如果 SMB 簽章已啟用,且所需的用戶端及伺服器,或如果在用戶端和伺服器,停用 SMB 簽章,是成功的連線。



如果 SMB 簽章是啟用,並在用戶端所需停用該伺服器,且之後方言交涉過程中,慢慢地關閉 TCP 工作階段的連線,並在用戶端會收到下列的 [1240 (ERROR_LOGIN_WKSTA_RESTRICTION) 」 錯誤訊息︰

發生系統錯誤 1240年。帳戶沒有從這個工作站登入的權限。

如果 SMB 簽章是在用戶端停用及啟用所需要的伺服器,且用戶端收到的 DFS 轉介到樹狀結構連接或 Transact2 回應時,就會收到 「 STATUS_ACCESS_DENIED 」 錯誤訊息。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×