Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) Questa impostazione di sicurezza specifica ...

Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre)

Questa impostazione di sicurezza specifica se il componente client di SMB richiede la firma dei pacchetti.

Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man in the middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se è necessario negoziare la firma dei pacchetti SMB prima di consentire ulteriori comunicazioni con un server SMB.

Se questa impostazione è attivata, il client di rete Microsoft potrà comunicare solo con i server di rete Microsoft che accettano di eseguire la firma dei pacchetti SMB. Se questo criterio è disattivato, la firma dei pacchetti SMB verrà negoziata tra client e server.

Impostazione predefinita: disattivata

Importante

Affinché questo criterio abbia effetto sui computer che eseguono Windows 2000, è necessario attivare anche la firma dei pacchetti lato client. Per attivare la firma dei pacchetti SMB lato client, impostare il criterio Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server).
I computer in cui è impostato questo criterio non possono comunicare con i computer in cui la firma dei pacchetti lato server non è attivata. Per impostazione predefinita, la firma dei pacchetti lato server è attivata solo nei controller di dominio che eseguono Windows 2000 e versioni successive.
Per attivare la firma dei pacchetti lato server nei computer che eseguono Windows 2000 e versioni successive, è possibile impostare il criterio Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client).
Per attivare la firma dei pacchetti lato server nei computer che eseguono Windows NT 4.0 Service Pack 3 e versioni successive, è possibile impostare su 1 il seguente valore del Registro di sistema:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature

Nei computer che eseguono Windows 95 o Windows 98 la firma dei pacchetti lato server non può essere attivata.

Note

Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. È possibile avvalersi della firma dei pacchetti SMB solo se la firma dei pacchetti SMB è attivata o richiesta sia per il componente lato client che per il componente lato server di SMB coinvolti nella comunicazione. Nei sistemi operativi Windows 2000 e versioni successive, per attivare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti:
Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti.
Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è attivata o meno.
Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti.
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è attivata o meno.
Se è richiesta la firma SMB lato server, potranno stabilire una sessione con il server solo i client in cui la firma SMB lato client è attivata. Per impostazione predefinita, la firma SMB lato client è attivata su workstation, server e controller di dominio. Analogamente, se è richiesta la firma SMB lato client, il client non potrà stabilire una sessione con i server in cui la firma dei pacchetti non è attivata. Per impostazione predefinita, la firma SMB lato server è attivata solo nei controller di dominio.
Se la firma SMB lato server è attivata, la firma dei pacchetti SMB verrà negoziata con i client in cui la firma SMB lato client è attivata.
L'utilizzo della firma dei pacchetti SMB può comportare un calo di prestazioni fino al 15% sulle transazioni dei servizi file.