服务器消息阻止签名概述
12/04/2020
本文内容
本文介绍了 SMB 签名 (阻止) ,以及如何确定是否启用 SMB 签名。
适用于: Windows Server 2012R2、Windows 10 - 所有版本
原始 KB 编号: 887429
简介
SMB 签名是 SMB 协议中的安全机制,也称为安全签名。 SMB 签名旨在帮助提高 SMB 协议的安全性。 SMB 签名首先在 Microsoft Windows NT 4.0 Service Pack 3 (SP3) 和 Microsoft Windows 98 中提供。
本文将介绍以下 SMB 主题:
SMB 签名的默认配置。
如何在 Microsoft Windows Server 2003、Microsoft Windows XP、Microsoft Windows 2000、Windows NT 4.0 和 Windows 98 中配置 SMB 签名。
如何确定是否在网络监视器跟踪中启用 SMB 签名。
SMB 签名方案示例。
更多信息
工作站服务和服务器服务的默认配置
可以针对工作站服务和服务器服务配置 SMB 签名和安全签名。 工作站服务用于传出连接。 服务器服务用于传入连接。
启用 SMB 签名后,支持 SMB 签名的客户端可以连接,并且不支持 SMB 签名的客户端也可以进行连接。 当需要 SMB 签名时,SMB 连接中的两台计算机都必须支持 SMB 签名。 如果一台计算机不支持 SMB 签名,则 SMB 连接不成功。 默认情况下,在下列操作系统上为传出 SMB 会话启用 SMB 签名:
Windows Server 2003
Windows XP
Windows 2000
Windows NT 4.0
Windows 98
默认情况下,在下列操作系统上为传入 SMB 会话启用 SMB 签名:
Windows基于服务器 2003 的域控制器
Windows 2000 基于服务器的域控制器
Windows NT基于 4.0 服务器的域控制器
默认情况下,基于 Windows Server 2003 的域控制器上的传入 SMB 会话需要 SMB 签名。
配置 SMB 签名
建议使用组策略配置 SMB 签名,因为如果存在覆盖域策略,本地注册表值更改将无法正常工作。 在配置关联的组策略时,将更改以下注册表值。
SMB 签名的策略位置
备注
以下组策略设置位于"计算机配置和安全Windows 设置本地策略 \ \ \ \ 设置"组策略对象编辑器路径中。
WindowsServer 2003 - 默认域控制器组策略
工作站/客户端
Microsoft 网络客户端:对通信进行数字签名 (始终) 策略设置:未定义
Microsoft 网络客户端:如果服务器 (策略设置:未) 有效设置:由于本地策略 (已启用,则对通信进行数字签名)
服务器
Microsoft 网络服务器:对通信进行数字签名 (始终) 策略设置:已启用
Microsoft 网络服务器:如果客户端同意 (策略设置) 对通信进行数字签名:已启用
WindowsXP 和 2003 - 本地计算机组策略
工作站/客户端
Microsoft 网络客户端:对通信进行数字签名 (始终) "安全"设置:已禁用
Microsoft 网络客户端:如果服务器同意 (安全设置) 对通信进行数字签名:已启用
服务器
Microsoft 网络服务器:始终使用 (对) 通信进行数字签名:已禁用
Microsoft 网络服务器:如果客户端同意 (安全性设置:禁用) 对通信进行数字签名
Windows 2000 - 默认域控制器组策略
工作站/客户端
对客户端通信进行数字签名 (始终) 计算机设置:未定义
对客户端通信进行数字签名 (如果可能,) 计算机设置:未定义
服务器
对服务器通信进行数字签名 (始终) 计算机设置:未定义
如果可能,请对服务器 (进行数字签名) 计算机设置:已启用
Windows 2000 - 本地计算机组策略
工作站/客户端
对客户端通信进行数字签名 (始终) 本地设置:禁用的有效设置:已禁用
对客户端通信进行数字签名(如果 (本地) :已启用的有效设置:已启用
服务器
对服务器通信进行数字签名 (始终) 本地设置:禁用的有效设置:已禁用
对服务器通信进行数字签名 (本地) :禁用的有效设置:已禁用
与 Windows Server 2003、Windows XP 和 Windows 2000 的组策略配置关联的注册表值
客户端
在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端:如果服务器同意) ,则对通信进行数字签名 ("组策略;在 Windows 2000 中,"如果可能 (对客户端通信进行数字签名) "组策略映射到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
值名称:EnableSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
Windows Server 2003、Windows XP 和 Windows 2000 中的默认值为 1 (启用) 。
在 Windows Server 2003 和 Windows XP 中,"Microsoft 网络客户端:对通信进行数字签名 (始终为) "组策略,在 Windows 2000 中,"对客户端通信进行数字签名 (始终) "组策略映射到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
值名称:RequireSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
Windows Server 2003、Windows XP 和 Windows 2000 中的默认值 (0,) 。
服务器
在 Windows Server 2003 和 Windows XP 中,名为"Microsoft 网络客户端:如果客户端同意 () ,则对通信进行数字签名"的组策略;在 Windows 200 (0 中,名为"如果可能) ,对服务器通信进行数字签名"的组策略映射到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
值名称:EnableSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
Windows Server 2003 域控制器和 Windows 2000 域控制器中的默认值 (1) 。 4.0 Windows NT中的默认值为 0, (禁用) 。
WindowsServer 2003 和 Windows XP 策略命名为"Microsoft 网络服务器:对通信进行数字签名 (始终) "
Windows 2000 策略命名为"对服务器通信进行数字签名 (始终) ",两者均映射到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
值名称:RequireSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
Windows Server 2003 域控制器和 Windows 2000 域控制器中的默认值 (1) 。 Windows NT 4.0 域控制器中的默认值为 0, (不需要) 。
若要Windows NT基于 4.0 的计算机能够使用 SMB 签名连接到基于 Windows 2000 的计算机,必须在基于 Windows 2000 的计算机上创建以下注册表值:
值名称: enableW9xsecuritysignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
没有与 EnableW9xsecuritysignature 注册表值关联的组策略。
在 4.0 Windows NT SMB 登录
对客户端进行数字签名:
备注
这是 RDR 密钥 -不是 LanmanWorkstation,如 Windows 2000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
值名称:EnableSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
在运行 (4.0 SP3) Windows NT 4.0 SP3 或更高版本的计算机上,默认值为 1 Windows。
值名称:RequireSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
在运行 (4.0 SP3) 4.0 SP3 或更高版本的计算机上,默认值为 Windows NT 0 Windows。
策略中的"对服务器进行数字签名"映射到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
值名称:EnableSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
在 Windows Server 2003) 、Windows 2000 域控制器和 Windows NT 4.0 域控制器上,默认值为 (1。 运行 Windows NT 4.0 SP3 或更高版本的所有其他计算机的默认值Windows 0, (禁用) 。
值名称:RequireSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
在 Windows Server 2003 域控制器 (默认值) 1。 运行 Windows NT 4.0 SP3 或更高版本的所有其他计算机的默认值Windows 0, (要求) 。
在 98 Windows SMB 登录
将以下两个注册表值添加到此注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
值名称:EnableSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
98 中的默认值Windows 1, (启用) 。
值名称:RequireSecuritySignature
数据类型: REG_DWORD
数据:0 (禁用) ,1 (启用)
备注
98 中的默认值Windows 0, (禁用) 。
如何确定网络监视器跟踪中是否启用了 SMB 签名
若要确定是启用 SMB 签名,还是服务器需要 SMB 签名,或同时启用这两者,请从服务器查看协商方言响应:
SMB: R negotiate, Dialect # = 5
SMB: Command = R negotiate
SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15]
SMB: .......1 = User level security
SMB: ......1. = Encrypt passwords
在此响应中,"安全模式摘要 (NT) ="字段表示服务器上已配置的选项。 此值将为 3、7 或 15。
以下信息有助于说明协商方言响应号码所代表的内容:
UCHAR SecurityMode;安全模式:
位 0:0 = 共享
位 0:1 = 用户
位 1:1 = 加密密码
第 2 位:1 = 启用 SMB (安全) 签名
第 3 位:1 = 要求 (SMB 序列号) 签名
如果在服务器上禁用 SMB 签名,则值为 3。
"SMB:安全模式摘要 (NT) = 3 (0x3) "
如果 SMB 签名已启用,并且服务器不需要,则值为 7。
"SMB:安全模式摘要 (NT) = 7 (0x7) "
如果服务器启用了 SMB 签名并且需要 SMB 签名,则值为 15。
"SMB:安全模式摘要 (NT) = 15 (0xF) "
有关 CIFS 的其他信息,请访问以下 Microsoft 网站:
CIFS
SMB 签名方案
方言协商后 SMB 会话的行为显示客户端配置。
如果客户端和服务器都启用了 SMB 签名并且需要 SMB 签名,或者客户端和服务器都禁用了 SMB 签名,则连接成功。
如果在客户端启用 SMB 签名并且要求在服务器上禁用 SMB 签名,则正常关闭与 TCP 会话的连接,在方言协商之后,客户端会收到以下"1240 (ERROR_LOGIN_WKSTA_RESTRICTION) "错误消息:
发生系统错误 1240。 该帐户无权从此工作站登录。
如果在客户端上禁用 SMB 签名,并且在服务器上启用 SMB 签名并且需要此签名,则当客户端收到针对 DFS 引用的树 连接 或 Transact2 的响应时,将收到"STATUS_ACCESS_DENIED"错误消息。
扫一扫
843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
