Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
Este tópico ainda não foi avaliado como - Avalie este tópico

Servidor de rede Microsoft: Assinar digitalmente a comunicação (sempre)

Servidor de rede Microsoft: Assinar digitalmente a comunicação (sempre)

Descrição

Essa configuração de segurança determina se a assinatura de pacotes é exigida pelo componente servidor do SMB.

O protocolo bloco de mensagens de servidor (SMB) serve como base para compartilhamento de arquivos e impressão da Microsoft e várias outras operações de rede, como administração remota do Windows. Para evitar ataques com interceptação de terceiros que modificam pacotes SMB em trânsito, o protocolo SMB aceita assinatura digital de pacotes SMB. Essa configuração de segurança determina se a assinatura de pacotes SMB deve ser negociada antes de a comunicação com um servidor SMB ser permitida.

Se essa configuração estiver ativada, o servidor de rede Microsoft não se comunicará com um cliente de rede Microsoft a menos que o cliente concorde em assinar os pacotes SMB. Se estiver desativada, a assinatura de pacotes SMB será negociada entre o cliente e o servidor.

Padrão:

  • Desabilitado para servidores membros.
  • Habilitado para controladores de domínio.

Definindo essa configuração de segurança

Você pode definir essa configuração de segurança abrindo a diretiva apropriada e expandindo a árvore de console da seguinte forma: Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Opções de segurança\

Para obter instruções específicas sobre como definir configurações de diretiva de segurança, consulte Editar configurações de segurança em um objeto de Diretiva de Grupo.

Observações

  • Todos os sistemas operacionais Windows oferecem suporte a componente SMB tanto do lado do cliente quanto do servidor. Para usar a assinatura de pacotes SMB, tanto o componente SMB do lado do cliente quanto o componente SMB do lado do servidor envolvidos em uma comunicação devem ter a assinatura de pacotes SMB ativada ou ela deve ser exigida. No Windows 2000 e posterior, a ativação ou a exigência de assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlada pelas quatro configurações de diretiva a seguir:
    • <b>Cliente de rede Microsoft:</b> <b>assinar digitalmente a comunicação (sempre)</b> - Controla se o componente SMB do lado do cliente exige ou não a assinatura de pacotes.
    • <b>Cliente de rede Microsoft:</b> <b>assinar digitalmente a comunicação (se o servidor concordar )</b> - Controla se o componente SMB do lado do cliente está ou não com a assinatura de pacotes ativada.
    • <b>Servidor de rede Microsoft:</b> <b>assinar digitalmente a comunicação (sempre)</b> - Controla se o componente SMB do lado do servidor exige ou não a assinatura de pacotes.
    • <b>Servidor de rede Microsoft:</b> <b>assinar digitalmente a comunicação (se o cliente concordar )</b> - Controla se o componente SMB do lado do servidor está ou não com a assinatura de pacotes ativada.
  • Se for exigida a assinatura SMB do lado do servidor, o cliente só conseguirá estabelecer uma sessão com esse servidor se a assinatura SMB do lado do cliente estiver ativada. Por padrão, a assinatura SMB do lado do cliente fica ativada em estações de trabalho, servidores e controladores de domínio.
  • Da mesma forma, se for exigida a assinatura SMB do lado do cliente, esse cliente só conseguirá estabelecer uma sessão com servidores com a assinatura de pacotes ativada. Por padrão, a assinatura SMB do lado do servidor só é ativada em controladores de domínio.
  • Se a assinatura SMB do lado do servidor estiver ativada, a assinatura de pacotes SMB será negociada com clientes com a assinatura SMB do lado do cliente ativada.
  • O uso de assinatura de pacotes SMB pode causar uma queda no desempenho de até 15% em transações de serviços de arquivos.

Importante

  • Para que essa diretiva tenha efeito em computadores com Windows 2000, a assinatura de pacotes no lado do servidor também deve ser ativada. Para ativá-la, defina a seguinte diretiva:
    <b>Servidor de rede Microsoft:</b> <b>assinar digitalmente a comunicação (se o servidor concordar)</b>
  • Para que os servidores executando o Windows 2000 Server ou Windows Server 2003 negociem a assinatura com computadores clientes executando o Windows NT 4.0 ou o Windows 98, o valor do Registro a seguir deve ser definido como 1 no servidor:
    HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
  • Computadores com essa diretiva definida não poderão se comunicar com computadores sem assinatura de pacotes ativada no lado do cliente. A assinatura de pacotes no lado do cliente pode ser ativada em computadores com Windows 2000 e posteriores pela definição da seguinte diretiva:

Para obter mais informações, consulte:

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.