- Сервер сети Microsoft: использовать цифровую подпись (всегда) Microsoft network server: Digitally sign communications (always)
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Расположение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
- Клиент сети Microsoft, SMBv1: использовать цифровую подпись (всегда) SMBv1 Microsoft network client: Digitally sign communications (always)
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Расположение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
Сервер сети Microsoft: использовать цифровую подпись (всегда) Microsoft network server: Digitally sign communications (always)
Область применения Applies to
- Windows 10. Windows 10
- Windows Server Windows Server
В этой статье описываются лучшие методики, расположение, значения, вопросы управления политиками и безопасности для сетевого сервера Майкрософт: параметр политики безопасности «Цифровая подпись» (всегда) для SMBv3 и SMBv2. Describes the best practices, location, values, policy management and security considerations for the Microsoft network server: Digitally sign communications (always) security policy setting for SMBv3 and SMBv2.
Справочные материалы Reference
Протокол SMB обеспечивает основу для общего доступа к файлам и печати и многих других сетевых операций, таких как удаленное администрирование Windows. The Server Message Block (SMB) protocol provides the basis for file and print sharing and many other networking operations, such as remote Windows administration. Чтобы предотвратить атаки «человек в середине», которые изменяют пакеты SMB при их переходе, протокол SMB поддерживает цифровую подпись пакетов SMB. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets.
Реализация цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить подступы клиентских компьютеров и серверов, которые называются перехватом сеансов. Implementation of digital signatures in high-security networks helps prevent the impersonation of client computers and servers, which is known as «session hijacking.» Однако неправильное использование этих параметров политики может привести к сбою доступа к данным. But misuse of these policy settings can cause data access failure.
Начиная с клиентов и серверов SMBv2 подпись может быть обязательной или не обязательной. Beginning with SMBv2 clients and servers, signing can be either required or not required. Если этот параметр политики включен, клиенты SMBv2 будут подписывать все пакеты цифровой подписью. If this policy setting is enabled, SMBv2 clients will digitally sign all packets. Другой параметр политики определяет, требуется ли подпись для связи между серверами SMBv3 и SMBv2: сетевой клиент Майкрософт: цифровая подпись (всегда). Another policy setting determines whether signing is required for SMBv3 and SMBv2 server communications: Microsoft network client: Digitally sign communications (always).
Существует согласование между клиентом SMB и сервером SMB, чтобы решить, будет ли эффективно использоваться подпись. There is a negotiation done between the SMB client and the SMB server to decide whether signing will effectively be used. В следующей таблице приводится эффективное поведение для SMBv3 и SMBv2. The following table has the effective behavior for SMBv3 and SMBv2.
| Сервер — обязательно Server – Required | Сервер — не требуется Server – Not Required | |
|---|---|---|
| Клиент — обязательно Client – Required | Подписано Signed | Подписано Signed |
| Клиент — не требуется Client – Not Required | Подписано 1 Signed 1 | Не подписано 2 Not Signed 2 |
1 По умолчанию для трафика SMB контроллера домена 1 Default for domain controller SMB traffic 2 По умолчанию для всего другого трафика SMB 2 Default for all other SMB traffic
В SMBv2 улучшена производительность подписи SMB. Performance of SMB signing is improved in SMBv2. Дополнительные сведения см. в сведениях о потенциальном влиянии. For more details, see Potential impact.
Возможные значения Possible values
- Enabled Enabled
- Отключено Disabled
Рекомендации Best practices
Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).
Расположение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Отключено Disabled |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Включено Enabled |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Отключено Disabled |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | Включено Enabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Отключено Disabled |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
При перехвате сеанса используются средства, позволяющие злоумышленникам, которые имеют доступ к той же сети, что и клиентские устройства или серверы, прервать, закончить или украсть сеанс. Session hijacking uses tools that allow attackers who have access to the same network as the client device or server to interrupt, end, or steal a session in progress. Злоумышленники могут перехватывать и изменять неподписаные пакеты SMB, а затем изменять трафик и переадпорировать его, чтобы сервер мог выполнять нежелательные действия. Attackers can potentially intercept and modify unsigned Server Message Block (SMB) packets and then modify the traffic and forward it so that the server might perform objectionable actions. Кроме того, злоумышленник может представлять себя в качестве сервера или клиентского устройства после проверки подлинности и получить несанкционированный доступ к данным. Alternatively, the attacker could pose as the server or client device after legitimate authentication and gain unauthorized access to data.
SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. SMB is the resource-sharing protocol that is supported by many Windows operating systems. Он является основой многих современных функций, таких как direct, реплика хранилища и SMB Direct, а также многих устаревших протоколов и средств. It is the basis of many modern features like Storage Spaces Direct, Storage Replica, and SMB Direct, as well as many legacy protocols and tools. Если ни одна из сторон не проходит проверку подлинности, передача данных не происходит. If either side fails the authentication process, data transmission does not take place.
Противодействие Countermeasure
Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).
Альтернативным мерой противодействия, которое может защитить весь сетевой трафик, является реализация цифровых подписей с помощью IPsec. An alternative countermeasure that could protect all network traffic is to implement digital signatures with IPsec. Существуют аппаратные ускорители для шифрования IPsec и подписи, которые можно использовать, чтобы свести к минимуму влияние на производительность ЦП серверов. There are hardware-based accelerators for IPsec encryption and signing that could be used to minimize the performance impact on the servers’ CPUs. Такие ускорители недоступны для подписи SMB. No such accelerators are available for SMB signing.
Возможное влияние Potential impact
Скорость хранения влияет на производительность. Storage speeds impact performance. Чем быстрее диск в источнике и назначении, тем выше пропускная способность, что приводит к большему использованию подписи ЦП. A faster drive on the source and destination allows more throughput, which causes more CPU usage of signing. Если вы используете сеть Ethernet объемом 1 ГБ или более низкую скорость хранения с современным ЦП, производительность будет ограничена. If you are using a 1 Gb Ethernet network or slower storage speed with a modern CPU, there is limited degradation in performance. Если вы используете более быструю сеть (например, 10 ГБ), влияние подписи на производительность может быть больше. If you are using a faster network (such as 10 Gb), the performance impact of signing may be greater.
Клиент сети Microsoft, SMBv1: использовать цифровую подпись (всегда) SMBv1 Microsoft network client: Digitally sign communications (always)
Область применения Applies to
В этом разделе речь идет о протоколе SMB 1. This topic is about the Server Message Block (SMB) v1 protocol. SMBv1 не является безопасным и является неподготовленным в Windows. SMBv1 is not secure and has been deprecated in Windows. Начиная с Windows 10 Fall Creators Update и Windows Server версии 1709, SMBv1не устанавливается по умолчанию. Beginning with Windows 10 Fall Creators Update and Windows Server, version 1709, SMBv1 is not installed by default.
В остальной части этой темы описываются лучшие методики, расположение, значения, вопросы управления политиками и безопасности для сетевого клиента Майкрософт: параметр политики безопасности для связи с цифровой подписью (всегда) только для SMBv1. The rest of this topic describes the best practices, location, values, policy management and security considerations for the Microsoft network client: Digitally sign communications (always) security policy setting only for SMBv1. Этот же параметр политики можно применить к компьютерам под названием SMBv2. The same policy setting can be applied to computers that run SMBv2. Дополнительные сведения см. в сетевом клиенте Майкрософт: цифровая подпись (всегда). For more information, see Microsoft network client: Digitally sign communications (always).
Справочные материалы Reference
Протокол SMB обеспечивает основу для общего доступа к файлам и печати и многих других сетевых операций, таких как удаленное администрирование Windows. The Server Message Block (SMB) protocol provides the basis for file and print sharing and many other networking operations, such as remote Windows administration. Чтобы предотвратить атаки «человек в середине», которые изменяют пакеты SMB при их переходе, протокол SMB поддерживает цифровую подпись пакетов SMB. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. Этот параметр политики определяет, следует ли согласовывать подписи пакетов SMB, прежде чем будет разрешено дальнейшее взаимодействие со службой сервера. This policy setting determines whether SMB packet signing must be negotiated before further communication with the Server service is permitted.
Реализация цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить подступы клиентских компьютеров и серверов, которые называются перехватом сеансов. Implementation of digital signatures in high-security networks helps prevent the impersonation of client computers and servers, which is known as «session hijacking.» Однако неправильное использование этих параметров политики является распространенной ошибкой, которая может привести к потере данных или проблемам с доступом к данным или безопасностью. But misuse of these policy settings is a common error that can cause data loss or problems with data access or security.
Если требуется подпись SMB на стороне сервера, клиентские устройства не смогут установить сеанс с этим сервером, если на нем не включена подпись SMB на стороне клиента. If server-side SMB signing is required, a client device will not be able to establish a session with that server, unless it has client-side SMB signing enabled. По умолчанию подпись SMB на стороне клиента включена на рабочих станциях, серверах и контроллерах домена. By default, client-side SMB signing is enabled on workstations, servers, and domain controllers. Аналогично, если требуется подписывать SMB на стороне клиента, это клиентские устройства не смогут установить сеанс с серверами, на которые не включена подпись пакетов. Similarly, if client-side SMB signing is required, that client device will not be able to establish a session with servers that do not have packet signing enabled. По умолчанию подпись SMB на стороне сервера включена только на контроллерах домена. By default, server-side SMB signing is enabled only on domain controllers.
Если подпись SMB на стороне сервера включена, подписывания пакетов SMB согласовываются с клиентские компьютеры с включенной подписью SMB. If server-side SMB signing is enabled, SMB packet signing will be negotiated with client computers that have SMB signing enabled.
Использование подписи пакетов SMB может ухудшить производительность транзакций файловой службы в зависимости от версии SMB и доступных циклов ЦП. Using SMB packet signing can degrade performance on file service transactions, depending on the version of SMB and available CPU cycles.
Существует три других параметра политики, которые связаны с требованиями подписи пакетов для сообщений SMB: There are three other policy settings that relate to packet-signing requirements for Server Message Block (SMB) communications:
Возможные значения Possible values
- Enabled Enabled
- Отключено Disabled
- Не определено Not defined
Рекомендации Best practices
Настройте следующие параметры политики безопасности следующим образом: Configure the following security policy settings as follows:
Кроме того, вы можете установить для всех этих параметров политики параметр «Включено», но включение этих параметров может привести к более медленной производительности на клиентских устройствах и запретить взаимодействие с устаревшими приложениями SMB и операционными системами. Alternately, you can set all of these policy settings to Enabled, but enabling them can cause slower performance on client devices and prevent them from communicating with legacy SMB applications and operating systems.
Расположение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Отключено Disabled |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Отключено Disabled |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
При перехвате сеанса используются средства, позволяющие злоумышленникам, которые имеют доступ к той же сети, что и клиентские устройства или серверы, прервать, закончить или украсть сеанс. Session hijacking uses tools that allow attackers who have access to the same network as the client device or server to interrupt, end, or steal a session in progress. Злоумышленники могут перехватывать и изменять неподписаные пакеты SMB, а затем изменять трафик и переадпорировать его, чтобы сервер мог выполнять нежелательные действия. Attackers can potentially intercept and modify unsigned Server Message Block (SMB) packets and then modify the traffic and forward it so that the server might perform objectionable actions. Кроме того, злоумышленник может представлять себя как сервер или клиентский компьютер после проверки подлинности и получить несанкционированный доступ к данным. Alternatively, the attacker could pose as the server or client computer after legitimate authentication, and gain unauthorized access to data.
SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. SMB is the resource-sharing protocol that is supported by many Windows operating systems. Она является основой NetBIOS и многих других протоколов. It is the basis of NetBIOS and many other protocols. Подписи SMB аутентификация пользователей и серверов, на серверах с данными. SMB signatures authenticate users and the servers that host the data. Если ни одна из сторон не проходит проверку подлинности, передача данных не происходит. If either side fails the authentication process, data transmission does not take place.
Противодействие Countermeasure
Настройте параметры следующим образом: Configure the settings as follows:
В средах с высокой безопасностью рекомендуется настроить для всех этих параметров параметр «Включено». In highly secure environments, we recommend that you configure all of these settings to Enabled. Однако эта конфигурация может привести к более медленной производительности на клиентских устройствах и запретить взаимодействие с более ранними приложениями SMB и операционными системами. However, that configuration may cause slower performance on client devices and prevent communications with earlier SMB applications and operating systems.
Примечание. Альтернативным мерой противодействия, которое может защитить весь сетевой трафик, является реализация цифровых подписей с помощью IPsec. Note: An alternative countermeasure that could protect all network traffic is to implement digital signatures with IPsec. Существуют аппаратные ускорители для шифрования IPsec и подписи, которые можно использовать для снижения влияния на производительность ЦП серверов. There are hardware-based accelerators for IPsec encryption and signing that could be used to minimize the performance impact on the servers’ CPUs. Такие ускорители недоступны для подписи SMB. No such accelerators are available for SMB signing.
Возможное влияние Potential impact
Реализации SMB-файла и протокола обмена печатью поддерживают взаимную проверку подлинности. Implementations of the SMB file and print-sharing protocol support mutual authentication. Это предотвращает атаки с перехватом сеанса и поддерживает проверку подлинности сообщений, чтобы предотвратить атаки «злоумышленник в середине». This prevents session hijacking attacks and supports message authentication to prevent man-in-the-middle attacks. Подпись SMB обеспечивает эту проверку подлинности путем размещения цифровой подписи в каждом SMB, который затем проверяется клиентом и сервером. SMB signing provides this authentication by placing a digital signature into each SMB, which is then verified by the client and the server.
Реализация подписи SMB может отрицательно сказаться на производительности, так как каждый пакет должен быть подписан и проверен. Implementation of SMB signing may negatively affect performance because each packet must be signed and verified. Если эти параметры включены на сервере с несколькими ролями, например на малом бизнес-сервере, который выступает в роли контроллера домена, файловых серверов, сервера печати и сервера приложений, производительность может значительно замедлиться. If these settings are enabled on a server that is performing multiple roles, such as a small business server that is serving as a domain controller, file server, print server, and application server, performance may be substantially slowed. Кроме того, если на устройствах настроено игнорирование всех неподписаных сообщений SMB, старые приложения и операционные системы не смогут подключаться. Additionally, if you configure devices to ignore all unsigned SMB communications, older applications and operating systems cannot connect. Однако если полностью отключить все подписи SMB, компьютеры будут уязвимы для атак с перехватом сеансов. However, if you completely disable all SMB signing, computers are vulnerable to session-hijacking attacks.
