Esporta (0) Stampa
Espandi tutto
Espandi Riduci a icona

Server di rete Microsoft: Digitally sign communications (always)

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)

Descrizione

Questa impostazione di protezione determina se la firma digitale dei pacchetti è richiesta dal componente server SMB.

Il protocollo SMB (Server Message Block) costituisce la base per la condivisione di file e stampanti e per molte altre operazioni di rete Microsoft, come ad esempio l'amministrazione remota di Windows. Per prevenire intrusioni che possano modificare i pacchetti SMB in transito, il protocollo SMB supporta la firma digitale dei propri pacchetti. Questa impostazione di criterio determina se deve essere negoziata la firma digitale dei pacchetti SMB prima di consentire ulteriori comunicazioni con un client SMB.

Se l'impostazione è attivata, il server di rete Microsoft non comunicherà con un client di rete Microsoft finché il client non avrà accettato l'apposizione della firma digitale ai pacchetti SMB. Se l'impostazione è disattivata, verrà negoziata la firma digitale dei pacchetti SMB tra il client e il server.

Impostazione predefinita:

  • Disattivato per i server membro.

  • Attivato per i controller di dominio.

Configurazione dell'impostazione di protezione

È possibile configurare questa impostazione di protezione aprendo il criterio appropriato ed espandendo la struttura della console nel modo indicato: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione\

Per informazioni specifiche sulla configurazione delle impostazioni dei criteri di protezione, vedere Modificare un'impostazione di protezione in un oggetto Criteri di gruppo.

Note

  • Tutti i sistemi operativi Windows supportano un componente SMB lato client e un componente SMB lato server. Per usufruire dei vantaggi offerti dalla firma digitale dei pacchetti SMB, in entrambi i componenti SMB che prendono parte a una comunicazione deve essere attivata o richiesta la firma digitale dei pacchetti SMB. In Windows 2000 e versioni successive, l'attivazione o la richiesta della firma digitale dei pacchetti per i componenti SMB lato client e lato server è stabilita dai quattro criteri descritti di seguito:

    • Client di rete Microsoft: aggiungi firma digitale alle comunicazioni client (sempre) - determina se richiedere la firma digitale dei pacchetti per il componente SMB lato client.

    • Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) - determina se la firma digitale dei pacchetti è attivata nel componente SMB lato client.

    • Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) - determina se richiedere la firma digitale dei pacchetti per il componente SMB lato server.

    • Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - determina se la firma digitale dei pacchetti è attivata nel componente SMB lato server.

  • Se è richiesta la firma digitale SMB dal lato server, il client non sarà in grado di stabilire una sessione con tale server, a meno che non sia stata attivata la firma SMB dal lato client. Per impostazione predefinita, la firma digitale SMB dal lato client è attivata in workstation, server e controller di dominio.

  • Allo stesso modo, se è richiesta la firma digitale SMB dal lato client, il client non sarà in grado di stabilire una sessione con i server nei quali non sia stata attivata la firma SMB. Per impostazione predefinita, la firma digitale SMB dal lato server è attivata solo nei controller di dominio.

  • Se è attivata la firma digitale SMB dal lato server, la firma dei pacchetti SMB verrà negoziata con i client nei quali è stata attivata la firma digitale SMB dal lato client.

  • L'utilizzo della firma digitale dei pacchetti SMB può ridurre fino al 15% le prestazioni nelle transazioni dei servizi di file.

Importante

  • Perché questo criterio possa avere effetto nei computer Windows 2000, è necessario attivare anche la firma digitale dei pacchetti dal lato server. Per attivare la firma digitale dei pacchetti SMB dal lato server, impostare il seguente criterio:

    Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)

  • Per consentire ai server Windows 2000 Server o Windows Server 2003 di negoziare la firma digitale con i computer client Windows NT 4.0 o Windows 98, impostare su 1 il valore della chiave del Registro di sistema indicata di seguito nel server:

    HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

  • I computer nei quali è stato impostato questo criterio non comunicheranno con i computer nei quali non è stata abilitata la firma digitale dei pacchetti dal lato client. La firma digitale dei pacchetti dal lato client può essere attivata nei computer con sistema operativo Windows 2000 e versioni successive impostando il seguente criterio:

Per ulteriori informazioni, vedere:

  • Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)

  • Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)

  • Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)

  • Strumenti di gestione della configurazione della protezione

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft