Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器
介绍了有关“Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
服务器消息块 (SMB) 协议为文件和打印共享以及其他许多网络操作(例如远程 Windows 管理)提供基础支持。此策略设置允许或阻止 SMB 重定向程序在身份验证期间向不支持密码加密的非 Microsoft 服务器服务发送纯文本密码。
可能值
启用
允许服务器消息块 (SMB) 重定向程序在身份验证期间向不支持密码加密的非 Microsoft 服务器服务发送纯文本密码。
禁用
服务器消息块 (SMB) 重定向程序仅向非 Microsoft SMB 服务器服务发送加密的密码。如果这些服务器服务不支持密码加密,身份验证请求将失败。
未定义
最佳做法
- 建议将“Microsoft 网络客户端: 发送未加密的密码以连接第三方 SMB 服务器”****设置为“已禁用”。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
如果你启用此策略设置,服务器可以通过网络将纯文本密码传输到提供 SMB 服务的其他计算机。这些其他设备可能不使用 Windows Server 2003 或更高版本附带的任何 SMB 安全机制。
对策
禁用“Microsoft 网络客户端: 发送未加密的密码以连接第三方 SMB 服务器”设置。
潜在影响
某些较旧的应用程序可能无法通过 SMB 协议与组织中的服务器通信。