Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой сервер (Майкрософт): уровень проверки сервером имени субъекта-службы конечного объекта.

Справка

Этот параметр политики управляет уровнем проверки, которую выполняет сервер с общедоступными папками или принтерами в отношении имени субъекта-службы, предоставляемого клиентским устройством при установке сеанса с помощью протокола SMB. Уровень проверки может помочь предотвратить определенный класс атак на службы SMB (известные как атаки с перехватом SMB). Этот параметр влияет на SMB1 и SMB2.

Серверы, использующие протокол SMB, предоставляют подключенным к сети клиентским устройствам доступ к своим файловым системам и другим ресурсам, таким как принтеры. Большинство серверов, использующих протокол SMB, выполняют проверку подлинности пользователей при попытке доступа к ресурсам с помощью проверки подлинности домена NT (NTLMv1 и NTLMv2) и протокола Kerberos.

Возможные значения

Возможны следующие параметры уровней проверки:

  • Отключено

    Сервер SMB не требует и не проверяет имя субъекта-службы от клиента SMB.

  • Принимать, если предоставлено клиентом

    Сервер SMB будет принимать и проверять имя субъекта-службы, предоставленное клиентом SMB, и позволит установить сеанс, если оно находится в списке имен субъектов-служб сервера SMB. Если имя субъекта-службы отсутствует в списке, запрос на сеанс от этого клиента SMB будет отклонен.

  • Требовать от клиента

    Клиент SMB должен отправлять имя субъекта-службы при настройке сеанса, при этом оно должно находиться в списке сервера SMB, на который отправляется запрос на установку соединения. Если клиентское устройство не предоставляет имя субъекта-службы, или оно не находится в списке, запрос на сеанс отклоняется.

Значение по умолчанию: Отключено.

Рекомендации

Этот параметр влияет на поведение сервера SMB, потому его реализацию следует внимательно оценить и протестировать, чтобы избежать нарушения функций обслуживания файлов и принтеров.

Примечание  

Все операционные системы Windows поддерживают компоненты SMB на стороне клиента и сервера.

 

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Отключено

Политика контроллера домена по умолчанию

Отключено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Контроль уровня проверки не реализован

Действующие параметры рядового сервера по умолчанию

Контроль уровня проверки не реализован

Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах

Контроль уровня проверки не реализован

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Вопросы, касающиеся конфликтов политик

Нет.

Групповая политика

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Этот параметр политики управляет уровнем проверки, которую выполняет сервер с общедоступными папками или принтерами в отношении имени субъекта-службы, предоставляемого клиентским устройством при установке сеанса с помощью протокола SMB. Уровень проверки может помочь предотвратить определенный класс атак на серверы SMB (известные как атаки с перехватом SMB). Этот параметр влияет на SMB1 и SMB2.

Меры противодействия

Меры противодействия, подходящие для вашей среды, вы можете найти в подразделе Возможные значения выше.

Возможные последствия

Все операционные системы Windows поддерживают компоненты SMB на стороне клиента и сервера. Этот параметр влияет на поведение сервера SMB, потому его реализацию следует внимательно оценить и протестировать, чтобы избежать нарушения функций обслуживания файлов и принтеров.

Из-за широкого распространения протокола SMB установка значений Принимать, если предоставлено клиентом или Требовать от клиента приведет к тому, что некоторые клиенты не смогут пройти проверку подлинности на некоторых серверах в вашей среде.

Связанные разделы

Параметры безопасности

 

 

Показ: