Microsoft 內部的支援資訊
錯誤 #: 28282 (內容維護)
簡介
本文將告訴您伺服器訊息區 (SMB) 簽章。SMB 簽章的 SMB 通訊協定中的安全性機制,也就是安全性簽章。SMB 簽章被設計來協助改善安全性的 SMB 通訊協定中。SMB 簽章的是,先在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中使用。
本文說明下列的 SMB 主題︰
-
預設的設定 SMB 簽章。
-
如何設定 SMB 簽章在 Microsoft Windows Server 2003 中,Microsoft Windows XP,Microsoft Windows 2000、 Windows NT 4.0 和 Windows 98。
-
如何判斷是否在網路監視器追蹤中啟用 SMB 簽章。
-
範例 SMB 簽署案例。
更多的資訊
「 工作站 」 服務與伺服器服務的預設設定
您可以設定 SMB 簽章及安全性簽章,「 工作站 」 服務,以及伺服器服務。「 工作站 」 服務用於傳出的連線。「 伺服器 」 服務用於連入連線。
當啟用 SMB 簽章時,也可支援 SMB 簽章若要連線之用戶端,同時它也是讓用戶端不支援 SMB 簽章來連接。當需要 SMB 簽章,SMB 連線在兩台電腦必須支援 SMB 簽章。無法成功,如果一台電腦不支援 SMB 簽章的 SMB 連線。根據預設,下列的作業系統上的傳出 SMB 工作階段啟用 SMB 簽章︰
-
Windows Server 2003
-
Windows XP
-
Windows 2000
-
Windows NT 4.0
-
Windows 98
根據預設,下列的作業系統上的連入 SMB 工作階段啟用 SMB 簽章︰
-
Windows Server 2003 網域控制站
-
Windows 2000 Server 為基礎的網域控制站
-
Windows NT 4.0 伺服器為基礎的網域控制站
根據預設,SMB 簽章是必要的連入的 SMB 工作階段,在 Windows Server 2003 網域控制站上。
設定 SMB 簽章
我們建議您,使用群組原則設定 SMB 簽章,因為如果沒有覆寫的網域原則無法正確運作的本機登錄值的變更。 相關聯的群組原則設定時,則會變更下列登錄值。
SMB 簽章原則位置
注意下列的 「 群組原則 」 設定位於 [電腦設定 \windows 設定 \ 安全性設定 \ 本機原則 \ 安全性選項] 群組原則物件編輯器 」 路徑。
Windows Server 2003-預設網域控制站群組原則
Workstation/Client
Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 原則設定︰ 未定義
Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 原則設定︰ 未定義有效的設定︰ 啟用 (因為本機原則])
伺服器
Microsoft 網路伺服器︰ 數位簽章通訊 (自動) 原則設定︰ 啟用
Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意) 原則設定︰ 啟用
Windows XP 和 2003-本機電腦群組原則
Workstation/Client
Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 的安全性設定︰ 停用
Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 安全性設定︰ 啟用
伺服器
Microsoft 網路伺服器︰ 數位簽章通訊 (自動) 的安全性設定︰ 停用
Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意) 安全性設定︰ 停用
Windows 2000 的預設網域控制站群組原則
Workstation/Client
數位簽名用戶端的通訊 (自動) 的電腦設定︰ 未定義
數位簽名 (自動) 的用戶端通訊的電腦設定︰ 未定義
伺服器
數位簽名伺服器的通訊 (自動) 的電腦設定︰ 未定義
數位簽章伺服器的通訊 (自動) 電腦設定︰ 啟用
Windows 2000 的本機電腦群組原則
Workstation/Client
數位簽名用戶端的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用
數位簽名用戶端的通訊 (自動) 本機的設定︰ 啟用有效的設定︰ 啟用
伺服器
數位簽名伺服器的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用
數位簽章伺服器的通訊 (自動) 本機的設定︰ 停用有效的設定︰ 停用
與 Windows Server 2003、 Windows XP 和 Windows 2000 群組原則設定相關聯的登錄值
用戶端
在 Windows Server 2003 和 Windows XP 中,「 Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意) 「 群組原則和在 Windows 2000 中,「 數位簽名用戶端的通訊 (自動) 」 的群組原則對應到下列登錄子機碼︰
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
數值名稱︰ EnableSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意Windows Server 2003、 Windows XP 與 Windows 2000 中的預設值是 1 (啟用)。
在 Windows Server 2003 和 Windows XP 中,「 Microsoft 網路用戶端︰ 數位簽章通訊 (自動) 「 群組原則和在 Windows 2000 中,「 數位簽名用戶端的通訊 (自動) 」 的群組原則對應到下列登錄子機碼︰
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
數值名稱︰ RequireSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意Windows Server 2003、 Windows XP 與 Windows 2000 中的預設值是 0 (非必要)。
伺服器
在 Windows Server 2003,Windows XP 「 群組原則命名為 「 Microsoft 網路用戶端︰ 數位簽章的通訊 (如果用戶端同意) 」,並在 Windows 2000 群組原則命名為 「 數位簽名伺服器的通訊 (自動) 」 的對應到下列的登錄機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
數值名稱︰ EnableSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站的預設值是 1 (啟用)。Windows NT 4.0 網域控制站中的預設值是 0 (停用)。Windows Server 2003 及 Windows XP 原則名稱為 「 Microsoft 網路伺服器︰ 數位簽章通訊 (自動)"
Windows 2000 原則稱為 「 數位簽名伺服器的通訊 (自動) 」,並同時對應到下列的登錄機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
數值名稱︰ RequireSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意在 Windows Server 2003 網域控制站和 Windows 2000 網域控制站的預設值是 1 (必要)。Windows NT 4.0 網域控制站中的預設值是 0 (非必要)。對於要能夠連線到 Windows 2000 為基礎的電腦,使用 SMB 簽章的 Windows NT 4.0 電腦,您必須在 Windows 2000 為基礎的電腦上建立下列登錄值︰
數值名稱︰ enableW9xsecuritysignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意沒有群組原則與 EnableW9xsecuritysignature 的登錄值相關聯。
設定 SMB 簽章在 Windows NT 4.0 中
數位簽章用戶端: (請注意,這是 RDR 金鑰-不 Windows 2000 的 LanmanWorkstation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
數值名稱︰ EnableSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意預設值是 1 (啟用) 正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。
數值名稱︰ RequireSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意預設值是 0 (非必要),在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦上。「 數位簽名伺服器"原則對應到下列的登錄機碼中︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
數值名稱︰ EnableSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意預設值是 1 (啟用),在 Windows Server 2003 網域控制站、 Windows 2000 網域控制站,以及 Windows NT 4.0 網域控制站上。所有其他正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦的預設值是 0 (停用)。
數值名稱︰ RequireSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意預設值是 (不可省略) 在 Windows Server 2003 網域控制站上的 1。所有其他正在執行 Windows NT 4.0 SP3 或更新版本的 Windows 的電腦的預設值是 0 (非必要)。
如需其他資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
如何啟用 SMB 簽章在 Windows NT 的
設定 SMB 簽章在 Windows 98
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup此登錄子機碼中加入下列兩個登錄值︰
數值名稱︰ EnableSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意Windows 98 中的預設值為 1 (啟用)。
數值名稱︰ RequireSecuritySignature
資料型別︰ REG_DWORD
資料︰ 0 (停用)、 1 (啟用)
注意Windows 98 中的預設值是 0 (停用)。
如何判斷是否在 「 網路監視器 」 追蹤中啟用 SMB 簽章
如果要判斷是否已啟用 SMB 簽章,伺服器,或同時選取所需,檢視伺服器交涉方言回應︰
SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords
此回應中 」 安全性模式摘要 (NT) = 」 欄位會表示在伺服器上已設定的選項。這個值會是 3、 7 或 15。
如需其他有關如何使用 「 網路監視器 」 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
如何使用網路監視器擷取網路流量
下列資訊可協助說明交涉方言回應數字的代表︰
UCHAR SecurityMode;安全模式︰
位元 0: 0 = 共用
位元 0: 1 = 使用者
位元 1: 1 = 加密密碼
位元 2: 1 = 安全性簽章 (SMB 序號) 啟用
位元 3: 1 = 安全性簽章 (SMB 序號) 所需
如果在伺服器停用 SMB 簽章,則值為 3。
「 SMB︰ 安全性模式摘要 (NT) = 3 (0x3)"
如果 SMB 簽章後,會啟用,且不需要在伺服器,則值為 7。
「 SMB︰ 安全性模式摘要 (NT) = 7 (0x7)"
如果 SMB 簽章後,會啟用,且所需的伺服器,則其值為 15。
「 SMB︰ 安全性模式摘要 (NT) = 15 (0xF)"如需有關 CIFS 的詳細資訊,請造訪下列 Microsoft 網站︰
SMB 簽章的案例
之後方言交涉 SMB 工作階段的行為會顯示用戶端設定。
如果 SMB 簽章已啟用,且所需的用戶端及伺服器,或如果在用戶端和伺服器,停用 SMB 簽章,是成功的連線。
如果 SMB 簽章是啟用,並在用戶端所需停用該伺服器,且之後方言交涉過程中,慢慢地關閉 TCP 工作階段的連線,並在用戶端會收到下列的 [1240 (ERROR_LOGIN_WKSTA_RESTRICTION) 」 錯誤訊息︰
發生系統錯誤 1240年。帳戶沒有從這個工作站登入的權限。
如果 SMB 簽章是在用戶端停用及啟用所需要的伺服器,且用戶端收到的 DFS 轉介到樹狀結構連接或 Transact2 回應時,就會收到 「 STATUS_ACCESS_DENIED 」 錯誤訊息。