Обзор подписи блока сообщений сервера

В этой статье описывается подписание блока сообщений сервера (SMB) и определение включения подписи SMB.

Оригинальная версия продукта: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 887429

Общие сведения

Подписание SMB — это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB. Подписание SMB впервые было доступно в Microsoft Windows NT 4.0 Пакет обновления 3 (SP3) и Microsoft Windows 98.

В этой статье описаны следующие разделы SMB:

• Конфигурация подписи SMB по умолчанию.
• Настройка подписи SMB в Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 и Windows 98.
• Как определить, включена ли регистрация SMB в следе сетевого монитора.
• Пример сценариев подписания SMB.

Дополнительная информация

Конфигурация по умолчанию для службы workstation и службы Server

Подписи sMB и подписи безопасности можно настроить для службы workstation и службы Server. Служба Workstation используется для исходяющих подключений. Служба Server используется для входящих подключений.

При включенной подписи SMB для клиентов, поддерживаюных подписание SMB, можно подключиться, а также для клиентов, которые не поддерживают подписание SMB для подключения. Когда требуется подписание SMB, оба компьютера в соединении SMB должны поддерживать подписание SMB. Подключение SMB не успешно, если один компьютер не поддерживает подписание SMB. По умолчанию для исходяющих сеансов SMB в следующих операционных системах включено подписание SMB:

• Windows Server 2003
• Windows XP
• Windows 2000
• Windows NT 4.0
• Windows 98

По умолчанию регистрация SMB включена для входящих сеансов SMB в следующих операционных системах:

• Контроллеры доменов на основе Windows Server 2003
• Контроллеры доменов на основе Windows 2000 Server
• Windows NT контроллеры домена на основе сервера 4.0

По умолчанию для входящих сеансов SMB на контроллерах домена Windows Server 2003 требуется подписание SMB.

Настройка подписи по SMB

Для настройки подписи SMB рекомендуется использовать групповые политики, так как изменение значения локального реестра не работает правильно, если существует переопределяемая политика домена. При настройке связанной групповой политики меняются следующие значения реестра.

Расположения политик для подписания SMB

Следующие параметры групповой политики находятся в пути редактора объектов групповой политики «Параметры безопасности параметров безопасности параметров локальных политик \ \ \ \ Windows».

Windows Server 2003 — групповые политики контроллеров доменов по умолчанию

Workstation/Client

Сетевой клиент Microsoft: цифровой параметр политики для подписи сообщений (всегда) : не определен

Сетевой клиент Майкрософт: цифровой подписывной знак (если сервер согласен) Параметр политики: не определено эффективное настройка: включено (из-за локальной политики)

Server

Сетевой сервер Microsoft: параметры политики для подписи в цифровом формате (всегда)

Сетевой сервер Майкрософт: цифровой вход в коммуникации (если клиент согласен) Параметр политики: включен

Windows XP и 2003 — политика локальных групп компьютеров

Workstation/Client

Сетевой клиент Microsoft: цифровой параметр безопасности для подписи сообщений (всегда) : отключен

Сетевой клиент Microsoft: цифровой вход в связь (если сервер соглашается) Параметр безопасности: включен

Server

Сетевой сервер Майкрософт: цифровой параметр безопасности для подписи сообщений (всегда) : отключен

Microsoft network server: Digitally sign communications (if client agrees) Security Setting: disabled

Windows 2000 — групповые политики контроллеров доменов по умолчанию

Workstation/Client

Цифровое подписание клиентской связи (всегда) Параметр компьютера: не определено

Цифровое подписание клиентской связи (по возможности) Параметр компьютера: не определено

Server

Цифровое подписание сервера связи (всегда) Параметр компьютера: не определено

Цифровое подписание сервера связи (по возможности) Параметр компьютера: включен

Windows 2000 — политика локальных групп компьютеров

Workstation/Client

Цифровое подписание клиентской связи (всегда) Локальный параметр: отключена эффективная настройка: отключена

Цифровое подписание клиентской связи (по возможности) Локальный параметр: включена эффективная настройка: включена

Server

Цифровое подписание сервера связи (всегда) Локальный параметр: отключена эффективная настройка: отключена

Цифровое подписание сервера связи (по возможности) Локальный параметр: отключена эффективная настройка: отключена

Значения реестра, связанные с конфигурацией групповой политики для Windows Server 2003, Windows XP и Windows 2000

Клиент

В Windows Server 2003 и Windows XP групповая политика «Клиент сети Майкрософт: цифровой подписывать сообщения (если сервер соглашается)», а в Windows 2000 — карта групповой политики «Цифровой подписывной клиент (по возможности)» групповой политики для следующего подкайки реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 1 (включено).

В Windows Server 2003 и Windows XP группа «Клиент сети Майкрософт: цифровые подписывая связь (всегда)», а в Windows 2000 — карта групповой политики «Digitally sign client communication (always)» для следующей подкоги реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 0 (не требуется).

Server

В Windows Server 2003 и Windows XP групповая политика с именем «Клиент сети Майкрософт: цифровой подписывать сообщения (если клиент соглашается)», а в Windows 2000 группа политика с именем «Цифровой подписывной серверной связи (по возможности)» на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в контроллерах доменов Windows Server 2003 и контроллерах домена Windows 2000 — 1 (включено). Значение по умолчанию в Windows NT контроллерах домена 4.0 — 0 (отключено). Политика Windows Server 2003 и Windows XP называется «Microsoft network server: digitally sign communications (always)»

Политика Windows 2000 называется «Цифровой вход в серверную связь (всегда)», и обе карты на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в контроллерах доменов Windows Server 2003 и контроллерах домена Windows 2000 — 1 (обязательно). Значение по умолчанию в Windows NT контроллерах домена 4.0 — 0 (не требуется).

Чтобы Windows NT компьютеры на основе 4.0 могли подключаться к компьютерам на базе Windows 2000 с помощью подписи SMB, необходимо создать следующее значение реестра на компьютерах на базе Windows 2000:
Имя значения: enableW9xsecuritysignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Не существует групповой политики, связанной со значением реестра EnableW9xsecuritysignature.

Настройка регистрации SMB в Windows NT 4.0

Цифровой подписывной клиент:

Это ключ RDR, а не LanmanWorkstation, как в Windows 2000

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

По умолчанию значение 1 (включено) на компьютерах с Windows NT 4.0 SP3 или более поздних версий Windows.

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию — 0 (не обязательно) на компьютерах с Windows NT 4.0 SP3 или более поздних версий Windows.

«Цифровой сервер подписи» в политиках карты на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

По умолчанию значение 1 (включено) для контроллеров доменов Windows Server 2003, контроллеров домена Windows 2000 и контроллеров домена Windows NT 4.0. Значение по умолчанию для всех других компьютеров с Windows NT 4.0 SP3 или более поздних версий Windows — 0 (отключено).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию — 1 (обязательное) для контроллеров домена Windows Server 2003. Значение по умолчанию для всех других компьютеров, работающих Windows NT версии 4.0 SP3 или более поздних версий Windows, — 0 (не требуется).

Настройка подписи SMB в Windows 98

Добавьте в этот подки реестра следующие два значения реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows 98 — 1 (включить).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows 98 — 0 (отключено).

Как определить, включена ли регистрация SMB в следе сетевого монитора

Чтобы определить, включена ли регистрация SMB, требуется на сервере или обе стороны, просмотр диалектного ответа на переговоры с сервера:

В этом ответе поле «Сводка режима безопасности (NT) =» представляет настроенные параметры на сервере. Это значение будет либо 3, 7 или 15.

Следующие сведения помогают объяснить, что представляют собой номера ответа на диалекте переговоров:
UCHAR SecurityMode; Режим безопасности:

bit 1: 1 = шифрование паролей

bit 2: 1 = Сигнатуры безопасности (номера последовательности SMB) включены

bit 3: 1 = Сигнатуры безопасности (номера последовательности SMB)

Если подписание SMB отключено на сервере, значение 3.

«SMB: Сводка режима безопасности (NT) = 3 (0x3)»

Если регистрация SMB включена и не требуется на сервере, значение 7.

«SMB: Сводка режима безопасности (NT) = 7 (0x7)»

Если регистрация SMB включена и требуется на сервере, значение 15.

«SMB: Сводка режима безопасности (NT) = 15 (0xF)»
Дополнительные сведения о CIFS можно получить на следующем веб-сайте Microsoft:
CIFS

Сценарии подписания SMB

Поведение сеанса SMB после переговоров на диалекте показывает конфигурацию клиента.

Если регистрация SMB включена и требуется как на клиенте, так и на сервере, или если подписание SMB отключено как на клиенте, так и на сервере, подключение успешно.

Если подписание SMB включено и требуется у клиента и отключено на сервере, подключение к сеансу TCP после переговоров на диалекте изящно закрывается, и клиент получает следующее сообщение об ошибке «1240 (ERROR_LOGIN_WKSTA_RESTRICTION)»:

Произошла ошибка системы 1240. Учетная запись не разрешена для входа с этой станции.

Если подписание SMB отключено у клиента и включено и требуется на сервере, клиент получает сообщение об ошибке «STATUS_ACCESS_DENIED», когда он получает ответ на подключение к дереву или Transact2 для рефералов DFS.

Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows

Область применения: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB. This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее. While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.

Отключение SMB или SMBv3 для устранения неполадок Disabling SMBv2 or SMBv3 for troubleshooting

Хотя мы рекомендуем использовать протоколы SMB 2.0 и SMBv3, может оказаться полезным временно отключить их для устранения неполадок, как описано в статье Обнаружение состояния, включение и отключение протокола SMB на сервере SMB. While we recommend that you keep SMBv2 and SMBv3 enabled, you might find it useful to disable one temporarily for troubleshooting, as described in How to detect status, enable, and disable SMB protocols on the SMB Server.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функции 2.0, описанные в предыдущем списке): In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality (and also the SMBv2 functionality that’s described in the previous list):

• Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказа Transparent Failover — clients reconnect without interruption to cluster nodes during maintenance or failover
• Scale Out — одновременный доступ к общим данным на всех узлах кластеров файлов Scale Out – concurrent access to shared data on all file cluster nodes
• Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером Multichannel — aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
• SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП. SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization
• Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях. Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
• Аренда каталога — улучшает время отклика приложений в филиалах за счет кэширования Directory Leasing — Improves application response times in branch offices through caching
• Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-вывода Performance Optimizations — optimizations for small random read/write I/O

В Windows 7 и Windows Server 2008 R2 отключение SMB отключает следующие функциональные возможности. In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:

• Составной запрос — позволяет отправлять несколько запросов SMB 2 в виде одного сетевого запроса. Request compounding — allows for sending multiple SMB 2 requests as a single network request
• Большие операции чтения и записи — лучшее использование более быстрых сетей. Larger reads and writes — better use of faster networks
• Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов Caching of folder and file properties — clients keep local copies of folders and files
• Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключения Durable handles — allow for connection to transparently reconnect to the server if there is a temporary disconnection
• Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хеширования Improved message signing — HMAC SHA-256 replaces MD5 as hashing algorithm
• Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось. Improved scalability for file sharing — number of users, shares, and open files per server greatly increased
• Поддержка символьных ссылок Support for symbolic links
• Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB. Client oplock leasing model — limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
• Поддержка большого MTU — для полного использования 10-гигабе (ГБ) Ethernet Large MTU support — for full use of 10-gigabye (GB) Ethernet
• Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режим Improved energy efficiency — clients that have open files to a server can sleep

Протокол SMB был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012. The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Дополнительные сведения о возможностях протоколов SMB 2.0 и SMBv3 см. в следующих статьях: For more information about the capabilities of SMBv2 and SMBv3 capabilities, see the following articles:

Удаление SMB v1 How to remove SMB v1

Вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2. Here’s how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.