Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Server sítě Microsoft: Vždy digitálně podepsat komunikaci

Server sítě Microsoft: Vždy digitálně podepsat komunikaci

Popis

Toto nastavení zabezpečení určuje, zda server SMB požaduje podepisování paketů.

Protokol SMB (Server Message Block) poskytuje základ pro sdílení souborů a tiskáren a pro mnoho dalších síťových operací, jako je například vzdálená správa systému Windows. Jako ochranu proti útokům zachycením zprávy při přenosu, které mění přenášené pakety SMB, poskytuje protokol SMB digitální podepisování paketů SMB. Toto nastavení zásad určuje, zda dříve než bude povolena komunikace s klientem SMB, musí být vyjednáno podepisování paketů SMB.

Pokud je toto nastavení povoleno, nebude server sítě Microsoft komunikovat s klientem sítě Microsoft, nesouhlasí-li klient s podepisováním paketů SMB. Pokud je toto nastavení zakázáno, je podepisování paketů SMB vyjednáno mezi klientem a serverem.

Výchozí nastavení:

  • Zakázáno na členských serverech.
  • Povoleno na řadičích domény.

Konfigurace tohoto nastavení zabezpečení

Otevřete příslušnou zásadu a ve stromu konzoly rozbalte následující cestu: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\

Konkrétní pokyny týkající se konfigurace nastavení zásad zabezpečení naleznete v tématu Změna nastavení zabezpečení u objektu zásad skupiny.

Poznámky

  • Všechny operační systémy Windows podporují klientskou součást SMB i serverovou součást SMB. Aby bylo možné využít podepisování paketů SMB, musí mít klientská i serverová součást SMB, které se komunikace účastní, povoleno nebo požadovat podepisování paketů SMB. V systému Windows 2000 a novějším se povolení a požadování podepisování paketů pro klientskou součást SMB a serverovou součást SMB řídí následujícími čtyřmi nastaveními zásad:
    • Klient sítě Microsoft: vždy digitálně podepsat komunikaci. Určuje, zda klientská součást SMB požaduje podepisování paketů.
    • Klient sítě Microsoft: pokud server souhlasí, digitálně podepsat komunikaci. Určuje, zda má klientská součást SMB povoleno podepisování paketů.
    • Server sítě Microsoft: vždy digitálně podepsat komunikaci. Určuje, zda serverová součást SMB požaduje podepisování paketů.
    • Server sítě Microsoft: pokud klient souhlasí, digitálně podepsat komunikaci. Určuje, zda má serverová součást SMB povoleno podepisování paketů.
  • Jestliže je požadováno podepisování SMB na straně serveru, nebude klient moci s tímto serverem vytvořit relaci, není-li povoleno podepisování SMB na straně klienta. Ve výchozím nastavení je podepisování SMB na straně klienta povoleno v pracovních stanicích, serverech a řadičích domény.
  • Podobně, pokud je požadováno podepisování SMB na straně klienta, nebude tento klient moci vytvořit relaci se servery, které nemají povoleno podepisování paketů. Ve výchozím nastavení je podepisování SMB na straně serveru povoleno pouze v řadičích domény.
  • Pokud je podepisování SMB na straně serveru povoleno, bude podepisování paketů SMB vyjednáno s klienty, kteří mají povoleno podepisování SMB na straně klienta.
  • Podepisování paketů SMB může snížit výkon přenosů služby souborů až o 15 procent.

Důležité informace

  • Aby byla tato zásada účinná v počítačích se systémem Windows 2000, musí být povoleno také podepisování paketů na straně serveru. Chcete-li povolit podepisování paketů SMB na straně serveru, nastavte následující zásadu:
    Server sítě Microsoft: Digitální podepisování komunikace, pokud server souhlasí
  • Aby servery se systémem Windows 2000 Server nebo Windows Server 2003 vyjednávaly podepisování s klientskými počítači se systémem Windows NT 4.0 nebo Windows 98, musí být na serveru následující hodnota registru nastavena na 1:
    HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
  • Počítače, ve kterých je tato zásada nastavena, nebudou komunikovat s počítači, ve kterých není povoleno podepisování paketů na straně klienta. V počítačích se systémem Windows 2000 a novějším lze podepisování paketů na straně klienta povolit nastavením následující zásady:

Další informace naleznete v tématech:

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft