Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевой клиент (Майкрософт): использовать цифровую подпись (с согласия сервера).
Справка
Протокол SMB предоставляет основу для общего доступа к файлам и принтерам Майкрософт, а также других сетевых операций, таких как удаленное администрирование Windows. Для предотвращения атак типа "злоумышленник в середине", искажающих SMB-пакеты при передаче, протокол SMB поддерживает использование цифровой подписи для SMB-пакетов. Этот параметр политики определяет необходимость согласования использования подписи для SMB-пакетов перед выдачей разрешения на дальнейшую связь со службой сервера.
Внедрение цифровых подписей в сетях с высоким уровнем безопасности помогает предотвращать олицетворение клиентских компьютеров и серверов, также известное как "перехват сеанса". Но неправильное использование этих параметров политики — это распространенная ошибка, которая может привести к потере данных, проблемам с доступом к данным или безопасностью.
Если требуется подпись SMB на стороне сервера, клиентский компьютер не сможет установить сеанс с этим сервером, если на последнем не включена подпись SMB на стороне клиента. По умолчанию подпись SMB на стороне клиента включена на рабочих станциях, серверах и контроллерах доменов. Аналогично, если требуется подпись SMB на стороне клиента, это клиентское устройство не сможет установить сеанс с серверами, на которых не включена подпись пакетов. По умолчанию подпись SMB на стороне сервера включена только на контроллерах доменов.
Если подпись SMB на стороне сервера включена, она будет согласовываться с клиентскими компьютерами, на которых включена подпись SMB..
Использование подписи SMB-пакетов может привести к сокращению производительности транзакций файловых служб до 15%.
Существует три других параметра политики, связанных с требованиями к подписи пакетов для коммуникаций по протоколу SMB:
Сетевой сервер (Майкрософт): использовать цифровую подпись (всегда)
Клиент сети Microsoft: использовать цифровую подпись (всегда)
Сетевой сервер (Майкрософт): использовать цифровую подпись (с согласия клиента)
Возможные значения
Включено
Отключено
Не определено
Рекомендации
Настройте следующие параметры политики безопасности, как указано ниже:
отключите параметр Сетевой клиент (Майкрософт): использовать цифровую подпись (всегда);
отключите параметр Сетевой сервер (Майкрософт): использовать цифровую подпись (всегда);
включите параметр Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера);
включите параметр Сетевой сервер (Майкрософт): использовать цифровую подпись (с согласия клиента);
Либо вы можете включить все указанные параметры политики, что снизит производительность клиентских устройств и не позволит им взаимодействовать с устаревшими приложениями SMB и операционными системами.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
При перехвате сеанса используются средства, которые позволяют злоумышленникам, имеющим доступ к сети, в которой находится клиентский компьютер или сервер, прерывать, завершать или красть запущенный сеанс. Злоумышленники могут перехватывать и изменять неподписанные SMB-пакеты, а затем изменять и переадресовывать трафик, чтобы сервер выполнял неприемлемые действия. Также злоумышленник может выдавать себя за сервер или клиентское устройство после успешной проверки подлинности и получать несанкционированный доступ к данным.
SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. Он лежит в основе NetBIOS и многих других протоколов. Подписи SMB проверяют подлинность пользователей и серверов, на которых размещены данные. Если одной из сторон не удается пройти проверку подлинности, передача данных не происходит.
Меры противодействия
Настройте параметры следующим образом:
отключите параметр Сетевой клиент (Майкрософт): использовать цифровую подпись (всегда);
отключите параметр Сетевой сервер (Майкрософт): использовать цифровую подпись (всегда);
включите параметр Сетевой клиент (Майкрософт): использовать цифровую подпись (с согласия сервера);
включите параметр Сетевой сервер (Майкрософт): использовать цифровую подпись (с согласия клиента);
Мы рекомендуем включить все указанные параметры в сетях с высоким уровнем безопасности. Однако это может снизить производительность клиентских устройств и помешать взаимодействию с устаревшими приложениями SMB и операционными системами.
Примечание
В качестве альтернативной меры противодействия для защиты всего сетевого трафика можно внедрить использование цифровых подписей с IPsec. Существуют аппаратные ускорители для шифрования и подписывания IPsec, с помощью которых можно максимально сократить снижение производительности серверных процессоров. Для подписи SMB таких ускорителей не предусмотрено.
Возможные последствия
Реализации протокола SMB общего доступа к файлам и принтерам поддерживают взаимную проверку подлинности. Это предотвращает атаки типа "перехват сеанса" и поддерживает проверку подлинности сообщений для предотвращения атак типа "злоумышленник в середине". Подпись SMB предоставляет такую проверку подлинности путем размещения цифровой подписи на каждом SMB-пакете, которую затем проверяют клиент и сервер.
Внедрение подписи SMB может снизить производительность, поскольку каждый пакет необходимо подписать и проверить. Если эти параметры включены на сервере, выполняющем несколько ролей, например на сервере малого бизнеса, который служит контроллером домена, файловым сервером, сервером печати и сервером приложений, производительность может быть существенно снижена. Кроме того, если настроить устройства так, чтобы игнорировать все неподписанные каналы SMB, устаревшие приложения и операционные системы не смогут к ним подключиться. Но если вы полностью отключите подписывание SMB-пакетов, устройства будут уязвимы к атакам типа "перехват сеанса".