Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой сервер (Майкрософт): уровень проверки сервером имени субъекта-службы конечного объекта.
Справка
Этот параметр политики управляет уровнем проверки, которую выполняет сервер с общедоступными папками или принтерами в отношении имени субъекта-службы, предоставляемого клиентским устройством при установке сеанса с помощью протокола SMB. Уровень проверки может помочь предотвратить определенный класс атак на службы SMB (известные как атаки с перехватом SMB). Этот параметр влияет на SMB1 и SMB2.
Серверы, использующие протокол SMB, предоставляют подключенным к сети клиентским устройствам доступ к своим файловым системам и другим ресурсам, таким как принтеры. Большинство серверов, использующих протокол SMB, выполняют проверку подлинности пользователей при попытке доступа к ресурсам с помощью проверки подлинности домена NT (NTLMv1 и NTLMv2) и протокола Kerberos.
Возможные значения
Возможны следующие параметры уровней проверки:
Отключено
Сервер SMB не требует и не проверяет имя субъекта-службы от клиента SMB.
Принимать, если предоставлено клиентом
Сервер SMB будет принимать и проверять имя субъекта-службы, предоставленное клиентом SMB, и позволит установить сеанс, если оно находится в списке имен субъектов-служб сервера SMB. Если имя субъекта-службы отсутствует в списке, запрос на сеанс от этого клиента SMB будет отклонен.
Требовать от клиента
Клиент SMB должен отправлять имя субъекта-службы при настройке сеанса, при этом оно должно находиться в списке сервера SMB, на который отправляется запрос на установку соединения. Если клиентское устройство не предоставляет имя субъекта-службы, или оно не находится в списке, запрос на сеанс отклоняется.
Значение по умолчанию: Отключено.
Рекомендации
Этот параметр влияет на поведение сервера SMB, потому его реализацию следует внимательно оценить и протестировать, чтобы избежать нарушения функций обслуживания файлов и принтеров.
Примечание
Все операционные системы Windows поддерживают компоненты SMB на стороне клиента и сервера.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Отключено |
Политика контроллера домена по умолчанию |
Отключено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Контроль уровня проверки не реализован |
Действующие параметры рядового сервера по умолчанию |
Контроль уровня проверки не реализован |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Контроль уровня проверки не реализован |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Этот параметр политики управляет уровнем проверки, которую выполняет сервер с общедоступными папками или принтерами в отношении имени субъекта-службы, предоставляемого клиентским устройством при установке сеанса с помощью протокола SMB. Уровень проверки может помочь предотвратить определенный класс атак на серверы SMB (известные как атаки с перехватом SMB). Этот параметр влияет на SMB1 и SMB2.
Меры противодействия
Меры противодействия, подходящие для вашей среды, вы можете найти в подразделе Возможные значения выше.
Возможные последствия
Все операционные системы Windows поддерживают компоненты SMB на стороне клиента и сервера. Этот параметр влияет на поведение сервера SMB, потому его реализацию следует внимательно оценить и протестировать, чтобы избежать нарушения функций обслуживания файлов и принтеров.
Из-за широкого распространения протокола SMB установка значений Принимать, если предоставлено клиентом или Требовать от клиента приведет к тому, что некоторые клиенты не смогут пройти проверку подлинности на некоторых серверах в вашей среде.