Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) Configuração de segurança que determina se é necessária ...

Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Configuração de segurança que determina se é necessária a assinatura do pacote pelo componente do servidor SMB.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de sistema de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB oferece suporte à assinatura digital desses pacotes. Esta configuração de política determina se a assinatura do pacote SMB deve ser negociada antes de permitir uma nova comunicação com um cliente SMB.

Se esta configuração estiver habilitada, o servidor de rede Microsoft não se comunicará com um cliente de rede Microsoft se esse cliente não concordar em executar a assinatura do pacote SMB. Se esta configuração estiver desabilitada, a assinatura de pacote SMB será negociada entre cliente e servidor.

Padrão:

Desabilitada em servidores membro.
Habilitada em controladores de domínio.

Observações

Todos os sistemas operacionais Windows oferecem suporte a um componente SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. No Windows 2000 e posterior, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de política:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) - controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) - controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
Se a assinatura de SMB do lado do servidor for necessária, um cliente não conseguirá estabelecer uma sessão com esse servidor se não tiver a assinatura de SMB do lado do cliente habilitada. Por padrão, a assinatura de SMB do lado do cliente está habilitada em estações de trabalho, servidores e controladores de domínio.
Da mesma maneira, se a assinatura de SMB do lado do cliente for necessária, esse cliente não conseguirá estabelecer uma sessão com servidores que não tenham assinatura de pacote habilitada. Por padrão, a assinatura de SMB do lado do servidor está habilitada apenas em controladores de domínio.
Se a assinatura de SMB do lado do servidor estiver habilitada, a assinatura de pacote SMB será negociada com clientes que tenham a assinatura de SMB habilitada do lado do cliente.
Usar assinatura de pacote SMB pode reduzir em até 15% o desempenho das transações de serviço de arquivo.

Importante

Para que esta política seja aplicada a computadores que executam o Windows 2000, a assinatura de pacote do lado do servidor também deverá estar habilitada. Para habilitar a assinatura de pacote SMB do lado do servidor, defina a seguinte política:
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

Para que os servidores Windows 2000 negociem assinatura com clientes Windows NT 4.0, 1 deverá ser definido para o seguinte valor do Registro no servidor Windows 2000:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Computadores com esta política definida se comunicarão com aqueles que não tenham a assinatura de pacote do lado do cliente habilitada. A assinatura de pacote do lado do cliente pode ser habilitada em computadores que estejam executando o Windows 2000 e posterior definindo a seguinte política:

Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Configuração de segurança que determina se é necessária a assinatura do pacote pelo componente do servidor SMB.

O protocolo SMB oferece a base para compartilhamento de arquivos e impressão da Microsoft e muitas outras operações de sistema de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB oferece suporte à assinatura digital desses pacotes. Esta configuração de diretiva determina se a assinatura do pacote SMB deve ser negociada antes de permitir uma nova comunicação com um cliente SMB.

Se esta configuração estiver habilitada, o servidor de rede Microsoft não se comunicará com um cliente de rede Microsoft se esse cliente não concordar em executar a assinatura do pacote SMB. Se esta configuração estiver desabilitada, a assinatura de pacote SMB será negociada entre cliente e servidor.

Padrão:

Desabilitada em servidores membro.
Habilitada em controladores de domínio.

Observações

Todos os sistemas operacionais Windows oferecem suporte a um componente SMB do lado cliente e do lado servidor. Para aproveitar a assinatura de pacote SMB, os componentes SMB do lado cliente e do lado servidor envolvidos na comunicação devem ter a assinatura de pacote SMB habilitada ou exigida. No Windows 2000 e posterior, habilitar ou exigir assinatura de pacote para componentes SMB do lado cliente e servidor é uma ação controlada pelas quatro seguintes configurações de diretiva:
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do cliente exige ou não assinatura de pacote.
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) - controla se o componente SMB do lado do cliente tem a assinatura de pacote habilitada.
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) - controla se o componente SMB do lado do servidor exige assinatura de pacote.
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) - controla se o componente SMB do lado do servidor tem a assinatura de pacote habilitada.
Se a assinatura de SMB do lado do servidor for necessária, um cliente não conseguirá estabelecer uma sessão com esse servidor se não tiver a assinatura de SMB do lado do cliente habilitada. Por padrão, a assinatura de SMB do lado do cliente está habilitada em estações de trabalho, servidores e controladores de domínio.
Da mesma maneira, se a assinatura de SMB do lado do cliente for necessária, esse cliente não conseguirá estabelecer uma sessão com servidores que não tenham assinatura de pacote habilitada. Por padrão, a assinatura de SMB do lado do servidor está habilitada apenas em controladores de domínio.
Se a assinatura de SMB do lado do servidor estiver habilitada, a assinatura de pacote SMB será negociada com clientes que tenham a assinatura de SMB habilitada do lado do cliente.
Usar assinatura de pacote SMB pode reduzir em até 15% o desempenho das transações de serviço de arquivo.

Importante

Para que esta diretiva seja aplicada a computadores que executam o Windows 2000, a assinatura de pacote do lado do servidor também deverá estar habilitada. Para habilitar a assinatura de pacote SMB do lado do servidor, defina a seguinte diretiva:
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

Para que os servidores Windows 2000 negociem assinatura com clientes Windows NT 4.0, 1 deverá ser definido para o seguinte valor do Registro no servidor Windows 2000:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Computadores com esta diretiva definida se comunicarão com aqueles que não tenham a assinatura de pacote do lado do cliente habilitada. A assinatura de pacote do lado do cliente pode ser habilitada em computadores que estejam executando o Windows 2000 e posterior definindo a seguinte diretiva: