Обзор подписи блокировки сообщений сервера

В этой статье описывается подписывка SMB и как определить, включена ли подпись SMB.

Исходная версия продукта:   Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ:   887429

Введение

Подписывая подпись SMB — это механизм безопасности в протоколе SMB, который также называется сигнатурами безопасности. Подпись SMB предназначена для повышения безопасности протокола SMB. Подпись SMB была впервые доступна в Microsoft Windows NT 4.0 Пакет обновления 3 (SP3) и Microsoft Windows 98.

В этой статье описываются следующие разделы SMB:

  • Конфигурация подписи SMB по умолчанию.
  • Настройка подписи SMB в Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 и Windows 98.
  • Как определить, включена ли подпись SMB в трассирове сетевого монитора.
  • Примеры сценариев подписи SMB.

Дополнительная информация

Конфигурация по умолчанию для службы Рабочих станций и сервера

Подписи подписей SMB и безопасности можно настроить для службы Рабочих станций и службы серверов. Служба Рабочих станций используется для исходяющих подключений. Служба сервера используется для входящих подключений.

Если подпись SMB включена, клиенты, поддерживаюные подписи SMB, могут подключаться, а клиенты, которые не поддерживают подпись SMB, могут подключаться. Если требуется подпись SMB, оба компьютера в SMB-соединении должны поддерживать подпись SMB. Подключение SMB не будет успешным, если один компьютер не поддерживает подпись SMB. По умолчанию подписывка SMB включена для исходяющих сеансов SMB в следующих операционных системах:

  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98

По умолчанию подписывка SMB включена для входящих сеансов SMB в следующих операционных системах:

  • Контроллеры домена на основе Windows Server 2003
  • Контроллеры домена на основе Windows 2000 Server
  • Windows NT 4.0 Серверные контроллеры домена

По умолчанию подпись SMB необходима для входящих сеансов SMB на контроллерах домена на основе Windows Server 2003.

Настройка подписи SMB

Для настройки подписи SMB рекомендуется использовать групповые политики, так как локальное изменение значения реестра не работает правильно, если имеется переопределяемая политика домена. Следующие значения реестра меняются при настройке связанной групповой политики.

Расположения политик для подписи SMB

Примечание

Следующие параметры групповой политики находятся в пути редактора объектов групповой политики "Параметры безопасности параметров конфигурации компьютера Windows" в редакторе объектов \ \ \ \ групповой политики.

Windows Server 2003 — групповая политика контроллеров домена по умолчанию
Workstation/Client

Сетевой клиент Майкрософт: параметр политики "Цифровая подпись" (всегда): не определено

Сетевой клиент Майкрософт: параметр политики цифровой подписи (если сервер соглашается): не определена эффективная настройка: включена (из-за локальной политики)

Server

Сервер сети Майкрософт: параметр политики "Цифровая подпись" (всегда) для подписи: включен

Сетевой сервер Майкрософт: параметр политики цифровой подписи (если клиент соглашается): включен

Windows XP и 2003 — групповая политика локального компьютера
Workstation/Client

Сетевой клиент Майкрософт: параметр безопасности для цифровой подписи (всегда): отключен

Сетевой клиент Майкрософт: параметр безопасности "Цифровая подпись" (если сервер соглашается): включен

Server

Сервер сети Майкрософт: параметр безопасности для цифровой подписи (всегда): отключен

Сетевой сервер Майкрософт: параметр безопасности цифровой подписи (если клиент соглашается): отключен

Windows 2000 — групповая политика контроллеров домена по умолчанию
Workstation/Client

Цифровая подпись параметра компьютера для связи с клиентом (всегда): не определено

Цифровая подпись параметра компьютера для связи с клиентом (по возможности): не определено

Server

Цифровая подпись сервера связи (всегда) Параметр компьютера: не определено

Цифровая подпись сервера связи (по возможности) Параметр компьютера: включен

Windows 2000 — групповая политика локального компьютера
Workstation/Client

Digitally sign client communication (always) Local Setting: Disabled Effective Setting: disabled

Digitally sign client communication (when possible) Local Setting: Enabled Effective Setting: enabled Effective Setting: enabled

Server

Digitally sign server communication (always) Local Setting: Disabled Effective Setting: disabled

Digitally sign server communication (when possible) Local Setting: Disabled Effective Setting: disabled

Значения реестра, связанные с конфигурацией групповой политики для Windows Server 2003, Windows XP и Windows 2000

Клиент

В Windows Server 2003 и Windows XP групповая политика "Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер соглашается)", а в Windows 2000 групповая политика "Цифровая подпись связи с клиентом (когда это возможно)" сопопишется со следующим поддиапатурой реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 1 (включено).

В Windows Server 2003 и Windows XP групповая политика "Сетевой клиент Майкрософт: цифровая подпись ( всегда)", а в Windows 2000 групповая политика "Связь с клиентом с цифровой подписью (всегда)" сопобится со следующим поднайкой реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 0 (не требуется).

Server

В Windows Server 2003 и Windows XP групповая политика с именем "Сетевой клиент Майкрософт: цифровая подпись сообщений (если клиент соглашается)", а в Windows 2000 групповая политика с именем "Digitally sign server communication (когда это возможно)" соедино следующему ключу реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в контроллерах домена Windows Server 2003 и контроллерах домена Windows 2000 — 1 (включено). Значение по умолчанию в Windows NT контроллеров домена 4.0 — 0 (отключено). Политика Windows Server 2003 и Windows XP называется "Сетевой сервер Майкрософт: цифровая подпись коммуникаций (всегда)"

Политика Windows 2000 называется "Связь с сервером цифровой подписью (всегда)" и соединая с следующим ключом реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в контроллерах домена Windows Server 2003 и контроллерах домена Windows 2000 — 1 (обязательно). Значение по умолчанию в Windows NT контроллеров домена 4.0 — 0 (не требуется).

Чтобы Windows NT компьютеры на основе 4.0 могли подключаться к компьютерам под управлением Windows 2000 с помощью подписи SMB, необходимо создать следующее значение реестра на компьютерах под управлением Windows 2000:
Имя значения: enableW9xsecuritysignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

С значением реестра EnableW9xsecuritysignature не связана групповая политика.

Настройка подписи SMB в Windows NT 4.0

Клиент цифровой подписи:

Примечание

Это ключ RDR, а не LanmanWorkstation, как в Windows 2000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию — 1 (включено) на компьютерах, на Windows NT 4.0 SP3 или более поздних версий Windows.

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию — 0 (не обязательно) на компьютерах под управлением Windows NT версии 4.0 SP3 или более поздних версий Windows.

"Сервер цифровой подписи" в политике сопопишет следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию — 1 (включено) на контроллерах домена Windows Server 2003, контроллерах домена Windows 2000 и Windows NT контроллерах домена 4.0. Значение по умолчанию для всех остальных компьютеров, на Windows NT версии Windows 4.0 SP3 или более поздних версий, — 0 (отключено).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию — 1 (обязательно) на контроллерах домена Windows Server 2003. Значение по умолчанию для всех остальных компьютеров, на Windows NT 4.0 SP3 или более поздних версий Windows, — 0 (не требуется).

Настройка подписи SMB в Windows 98

Добавьте следующие два значения реестра в поднастройку реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в Windows 98 — 1 (включить).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключено), 1 (включить)

Примечание

Значение по умолчанию в Windows 98 — 0 (отключено).

Как определить, включена ли подпись SMB в трассирове сетевого монитора

Чтобы определить, включена ли подпись SMB, требуется ли на сервере или и то, и другое, просматривает ответ на диалект согласование с сервера:

SMB: R negotiate, диалект # 5
SMB: команда = согласование R
SMB: сводка по режиму безопасности (NT) = [значение 3, 7 или 15]
SMB: ....... 1 = безопасность на уровне пользователя
SMB: ...... 1. = Шифровать пароли

В этом ответе поле "Сводка по режиму безопасности (NT) =" представляет настроенные параметры на сервере. Это значение будет либо 3, 7, либо 15.

Следующая информация помогает объяснить, что представляют номера ответа на диалекте согласований:
UCHAR SecurityMode; Режим безопасности:

бит 0: 0 = общий

бит 0: 1 = пользователь

бит 1: 1 = шифровать пароли

бит 2: 1 = сигнатуры безопасности (номера последовательности SMB) включены

бит 3: 1 = Необходимые подписи безопасности (номера последовательности SMB)

Если подпись SMB на сервере отключена, значение 3.

"SMB: сводка по режиму безопасности (NT) = 3 (0x3)"

Если подпись SMB включена и не требуется на сервере, значение 7.

"SMB: сводка по режиму безопасности (NT) = 7 (0x7)"

Если подпись SMB включена и требуется на сервере, значение 15.

"SMB: сводка по режиму безопасности (NT) = 15 (0xF)"
Дополнительные сведения о CIFS можно получить на следующем веб-сайте Майкрософт:
CIFS

Сценарии подписи SMB

Поведение сеанса SMB после согласования диалекта показывает конфигурацию клиента.

Если подпись SMB включена и требуется как на клиенте, так и на сервере, или если подпись SMB отключена как на клиенте, так и на сервере, подключение успешно.

Если подпись SMB включена, требуется на клиенте и отключена на сервере, подключение к сеансу TCP после согласования диалекта корректно закрывается, и клиент получает следующее сообщение об ошибке "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":

Возникла системная ошибка 1240. Учетная запись не имеет права на вход с этой станции.

Если подпись SMB отключена на клиенте и включена и требуется на сервере, клиент получает сообщение об ошибке "STATUS_ACCESS_DENIED", когда получает ответ на tree Connect или Transact2 для ссылок DFS.