Клиент сети Microsoft: использовать цифровую подпись (всегда)

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой клиент (Майкрософт): использовать цифровую подпись (всегда).

Справка

Протокол SMB предоставляет основу для общего доступа к файлам и принтерам, а также других сетевых операций, таких как удаленное администрирование Windows. Для предотвращения атак типа "злоумышленник в середине", искажающих SMB-пакеты при передаче, протокол SMB поддерживает использование цифровой подписи для SMB-пакетов. Этот параметр политики определяет необходимость согласования использования подписи для SMB-пакетов перед выдачей разрешения на дальнейшую связь со службой сервера.

Внедрение цифровых подписей в сетях с высоким уровнем безопасности помогает предотвращать олицетворение клиентских компьютеров и серверов, также известное как «перехват сеанса». Но неправильное использование этих параметров политики — это распространенная ошибка, которая может привести к потере данных, проблемам с доступом к данным или безопасностью.

Если требуется подпись SMB на стороне сервера, клиентское устройство не сможет установить сеанс с этим сервером, если на последнем не включена подпись SMB на стороне клиента. По умолчанию подпись SMB на стороне клиента включена на рабочих станциях, серверах и контроллерах доменов. Аналогично, если требуется подпись SMB на стороне клиента, это клиентское устройство не сможет установить сеанс с серверами, на которых не включена подпись пакетов. По умолчанию подпись SMB на стороне сервера включена только на контроллерах доменов.

Если подпись SMB на стороне сервера включена, она будет согласовываться с клиентскими компьютерами, на которых включена подпись SMB.

Использование подписи SMB-пакетов может привести к сокращению производительности транзакций файловых служб до 15%.

Существует три других параметра политики, связанных с требованиями к подписи пакетов для коммуникаций по протоколу SMB:

Возможные значения

  • Включено

  • Отключено

  • Не определено

Рекомендации

  1. Настройте следующие параметры политики безопасности, как указано ниже:

  2. Либо вы можете включить все указанные параметры политики, что снизит производительность клиентских устройств и не позволит им взаимодействовать с устаревшими приложениями SMB и операционными системами.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Отключено

Действующие параметры рядового сервера по умолчанию

Отключено

Действующие параметры клиентского компьютера по умолчанию

Отключено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

При перехвате сеанса используются средства, которые позволяют злоумышленникам, имеющим доступ к сети, в которой находится клиентское устройство или сервер, прерывать, завершать или красть запущенный сеанс. Злоумышленники могут перехватывать и изменять неподписанные SMB-пакеты, а затем изменять и переадресовывать трафик, чтобы сервер выполнял неприемлемые действия. Также злоумышленник может выдавать себя за сервер или клиентский компьютер после успешной проверки подлинности и получать несанкционированный доступ к данным.

SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. Он лежит в основе NetBIOS и многих других протоколов. Подписи SMB проверяют подлинность пользователей и серверов, на которых размещены данные. Если одной из сторон не удается пройти проверку подлинности, передача данных не происходит.

Меры противодействия

Настройте параметры следующим образом:

Мы рекомендуем включить все указанные параметры в сетях с высоким уровнем безопасности. Однако это может снизить производительность клиентских устройств и помешать взаимодействию с устаревшими приложениями SMB и операционными системами.

Примечание  

В качестве альтернативной меры противодействия для защиты всего сетевого трафика можно внедрить использование цифровых подписей с IPsec. Существуют аппаратные ускорители для шифрования и подписывания IPsec, с помощью которых можно максимально сократить снижение производительности серверных процессоров. Для подписи SMB таких ускорителей не предусмотрено.

 

Возможные последствия

Реализации протокола SMB общего доступа к файлам и принтерам поддерживают взаимную проверку подлинности. Это предотвращает атаки типа "перехват сеанса" и поддерживает проверку подлинности сообщений для предотвращения атак типа "злоумышленник в середине". Подпись SMB предоставляет такую проверку подлинности путем размещения цифровой подписи на каждом SMB-пакете, которую затем проверяют клиент и сервер.

Внедрение подписи SMB может снизить производительность, поскольку каждый пакет необходимо подписать и проверить. Если эти параметры включены на сервере, выполняющем несколько ролей, например на сервере малого бизнеса, который служит контроллером домена, файловым сервером, сервером печати и сервером приложений, производительность может быть существенно снижена. Кроме того, если настроить устройства так, чтобы игнорировать все неподписанные каналы SMB, устаревшие приложения и операционные системы не смогут к ним подключиться. Но если вы полностью отключите подписывание SMB-пакетов, компьютеры будут уязвимы к атакам типа "перехват сеанса".

Связанные разделы

Параметры безопасности

 

 

Показ: