Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize

Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)

Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)

Beschrijving

Met deze beveiligingsinstelling bepaalt u of pakketondertekening is vereist voor de SMB-servercomponent.

Het SMB-protocol (server message block) vormt de basis voor het delen van bestanden en printers en vele andere netwerkbewerkingen zoals extern Windows-beheer. Het SMB-protocol ondersteunt het digitaal ondertekenen van SMB-pakketten om te voorkomen dat SMB-pakketten onderweg worden gewijzigd door tussenpersoonaanvallen. Met deze beleidsinstelling wordt bepaald of er moet worden onderhandeld over SMB-pakketondertekening voordat verdere communicatie met een SMB-client wordt toegestaan.

Als deze instelling is ingeschakeld, communiceert de Microsoft-netwerkserver niet met een Microsoft-netwerkclient, tenzij die client akkoord gaat met het ondertekenen van SMB-pakketten. Als deze instelling is uitgeschakeld, wordt over het ondertekenen van SMB-pakketten onderhandeld door de client en de server.

Standaardinstelling:

  • Uitgeschakeld voor lidservers.
  • Ingeschakeld voor domeincontrollers.

Deze beveiligingsinstelling configureren

U kunt deze beveiligingsinstelling configureren door het betreffende beleid te openen en de consolestructuur als volgt uit te breiden: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\

Zie Beveiligingsinstellingen bewerken op een groepsbeleidsobject voor specifieke informatie over het configureren van instellingen voor beveiligingsbeleid.

Opmerkingen

  • Alle Windows-besturingssystemen ondersteunen zowel een SMB-component op de client als op de server. U kunt profiteren van het ondertekenen van SMB-pakketten als het ondertekenen van SMB-pakketten is ingeschakeld of vereist voor de SMB-component op zowel de client als de server die betrokken zijn bij de communicatie. In Windows 2000 en later wordt het inschakelen of vereisen van het ondertekenen van pakketten voor SMB-componenten op de client en op de server geregeld met behulp van de volgende vier beleidsinstellingen:
    • Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) - deze instelling bepaalt of het ondertekenen van pakketten voor de SMB-component op de client is vereist.
    • Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) - deze instelling bepaalt of het ondertekenen van pakketten voor de SMB-component op de client is ingeschakeld.
    • Microsoft netwerkserver: servercommunicatie digitaal ondertekenen (altijd) - deze instelling bepaalt of het ondertekenen van pakketten voor de SMB-component op de server is vereist.
    • Microsoft netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) - deze instelling bepaalt of het ondertekenen van pakketten voor de SMB-component op de server is ingeschakeld.
  • Als SMB-ondertekening op de server verplicht is, kan een client alleen maar een sessie tot stand brengen met die server als SMB-ondertekening op de client is ingeschakeld. SMB-ondertekening is standaard ingeschakeld op de client bij werkstations, servers en domeincontrollers.
  • Als SMB-ondertekening op de client verplicht is, kan een client geen sessie tot stand brengen met servers waarop SMB-ondertekening niet is ingeschakeld. SMB-ondertekening is standaard alleen ingeschakeld op de server bij domeincontrollers.
  • Als SMB-ondertekening is ingeschakeld op de server, wordt over het ondertekenen van SMB-pakketten onderhandeld met clients waarop SMB-ondertekening is ingeschakeld.
  • Het gebruik van SMB-ondertekening kan de prestaties van bestandsservicetransacties tot 15 procent verminderen.

Belangrijk

  • Dit beleid kan alleen worden ingeschakeld op computers met Windows 2000 als pakketondertekening ook op de server wordt ingeschakeld. Stel het volgende beleid in om SMB-pakketondertekening op de server in te schakelen:
    Microsoft netwerkserver: clientcommunicatie digitaal ondertekenen (indien mogelijk)
  • Als u wilt dat servers met Windows 2000 Server of Windows Server 2003 onderhandelen over ondertekening met clientcomputers waarop Windows NT 4.0 wordt uitgevoerd, moet u op de server de volgende registerwaarde instellen op 1:
    HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
  • Computers waarop dit beleid is ingesteld, communiceren niet met computers waarop geen pakketondertekening op de client is ingechakeld. U kunt pakketondertekening op de client inschakelen op computers met Windows 2000 en hoger door het volgende beleid in te stellen:

Zie de volgende onderwerpen voor meer informatie:

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft