Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)

Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)

Descrição

Esta definição de segurança determina se a assinatura de pacotes pelo componente do servidor SMB é necessária.

O protocolo do bloco de mensagem de servidor (SMB, server message block) fornece a base para a partilha de ficheiros e impressoras da Microsoft e muitas outras operações relacionadas com o funcionamento em rede, tal como a administração do Windows remota. Para impedir ataques por intromissão que modificam os pacotes SMB em trânsito, o protocolo do SMB suporta a assinatura digital de pacotes SMB. Esta definição de política determina se a assinatura de pacotes SMB tem de ser negociada antes de serem autorizadas comunicações adicionais com um cliente SMB.

Se esta definição estiver activada, o servidor de rede da Microsoft não comunicará com um cliente de rede da Microsoft, a menos que o cliente concorde em executar a assinatura de pacotes SMB. Se esta definição estiver desactivada, a assinatura de pacotes SMB é negociada entre o cliente e o servidor.

Predefinição:

  • Desactivado para servidores membros.
  • Activado para controladores de domínio.

Configurar esta definição de segurança

Pode configurar esta definição de segurança abrindo a política apropriada e expandindo a árvore de consola da seguinte forma: Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança\

Para obter instruções específicas sobre como configurar definições de política de segurança, consulte Editar definições de segurança num objecto de Política de Grupo.

Notas

  • Todos os sistemas operativos do Windows suportam um componente SMB do lado do cliente e um componente SMB do lado do servidor. Para tirar partido da assinatura de pacotes SMB, o componente SMB do lado do cliente e o componente SMB do lado do servidor, envolvidos numa comunicação, têm de ter a assinatura de pacotes SMB activada ou solicitada. No Windows 2000 e versões posteriores, a activação ou requisição da assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlada pelas quatro seguintes definições de política:
    • Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) - Controla se o componente SMB do lado do cliente requer a assinatura de pacotes.
    • Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) - Controla se o componente SMB do lado do cliente tem a assinatura de pacotes activada.
    • Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) - Controla se o componente SMB do lado do servidor requer a assinatura de pacotes.
    • Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) - Controla se o componente SMB do lado do servidor tem a assinatura de pacotes activada.
  • Se a assinatura SMB do lado do servidor for necessária, um cliente não conseguirá estabelecer sessão com esse servidor, a menos que tenha a assinatura SMB do lado do cliente activada. Por predefinição, a assinatura SMB do lado do cliente está activada em estações de trabalho, servidores e controladores de domínio.
  • Do mesmo modo, se a assinatura SMB do lado do cliente for solicitada, esse cliente não conseguirá estabelecer uma sessão com os servidores que não têm a assinatura de pacotes activada. Por predefinição, a assinatura SMB do lado do servidor está activada apenas em controladores de domínio.
  • Se a assinatura SMB do lado do servidor estiver activada, a assinatura de pacotes SMB será negociada com os clientes que tiverem a assinatura SMB do lado do cliente activada.
  • A utilização da assinatura de pacotes SMB pode degradar o desempenho até 15 por cento em transacções de serviço de ficheiros.

Importante

  • Para que esta política entre em vigor em computadores com o Windows 2000, a assinatura de pacotes do lado do servidor tem de estar activada. Para activar a assinatura de pacotes SMB do lado do servidor, defina a seguinte política:
    Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar)
  • Para os servidores com o Windows 2000 Server ou Windows Server 2003 negociarem a assinatura com clientes com o Windows NT 4.0 ou Windows 98, os valores do registo que se seguem devem ser definidos como 1 no servidor:
    HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
  • Os computadores com esta política definida não comunicam com computadores que não têm a assinatura de pacotes do lado do cliente activada. A assinatura de pacotes do lado do cliente pode ser activada em computadores com o Windows 2000 e versão posteriores através da definição da seguinte política:

Para mais informações, consulte:

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft