Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) Questa impostazione di protezione specifica ...

Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)  Questa impostazione di protezione specifica se il componente server di SMB richiede la firma dei pacchetti.  Il protocollo SMB (Server Message Block) costituisce la base delle funzionalità Microsoft per la condivisione di file e stampanti e di molte altre funzionalità di rete, quale l'amministrazione remota di Windows. Per impedire gli attacchi man in the middle che modificano i pacchetti SMB durante la trasmissione, il protocollo SMB supporta la firma digitale dei pacchetti SMB. Questa impostazione specifica se la firma dei pacchetti SMB deve essere negoziata prima di consentire ulteriori comunicazioni con un client SMB.  Se questa impostazione è attivata, il server di rete Microsoft potrà comunicare solo con i client di rete Microsoft che accettano di eseguire la firma dei pacchetti SMB. Se questa impostazione è disattivata, la firma dei pacchetti SMB verrà negoziata tra client e server.  Impostazione predefinita:  Disattivata per i server membro Attivata per i controller di dominio  Note  Tutti i sistemi operativi Windows supportano sia il componente lato client che il componente lato server di SMB. È possibile avvalersi della firma dei pacchetti SMB solo se la firma dei pacchetti SMB è attivata o richiesta sia per il componente lato client che per il componente lato server di SMB coinvolti nella comunicazione. Nei sistemi operativi Windows 2000 e versioni successive, per attivare o richiedere la firma dei pacchetti per i componenti lato client e lato server di SMB è necessario configurare le quattro impostazioni seguenti: Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (sempre) - Specifica se il componente lato client di SMB richiede o meno la firma dei pacchetti. Client di rete Microsoft: aggiungi firma digitale alla comunicazione client (se autorizzato dal server) - Specifica se per il componente lato client di SMB la firma dei pacchetti è attivata o meno. Server di rete Microsoft: aggiungi firma digitale alla comunicazione (sempre) - Specifica se il componente lato server di SMB richiede o meno la firma dei pacchetti. Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Specifica se per il componente lato server di SMB la firma dei pacchetti è attivata o meno. Se è richiesta la firma SMB lato server, potranno stabilire una sessione con il server solo i client in cui la firma SMB lato client è attivata. Per impostazione predefinita, la firma SMB lato client è attivata su workstation, server e controller di dominio. Analogamente, se è richiesta la firma SMB lato client, il client non potrà stabilire una sessione con i server in cui la firma dei pacchetti non è attivata. Per impostazione predefinita, la firma SMB lato server è attivata solo nei controller di dominio. Se la firma SMB lato server è attivata, la firma dei pacchetti SMB verrà negoziata con i client in cui la firma SMB lato client è attivata. L'utilizzo della firma dei pacchetti SMB può comportare un calo di prestazioni fino al 15% sulle transazioni dei servizi file.  Importante  Affinché questo criterio abbia effetto sui computer che eseguono Windows 2000, è necessario attivare anche la firma dei pacchetti SMB lato server. Per attivare anche la firma dei pacchetti SMB lato server, è necessario impostare il criterio seguente: Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client)  Per consentire ai server Windows 2000 di negoziare la firma con i client Windows NT 4.0, nel server Windows 2000 è necessario impostare su 1 il seguente valore del Registro di sistema: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature  I computer in cui è impostato questo criterio non possono comunicare con i computer in cui la firma dei pacchetti lato client non è attivata. Per attivare la firma dei pacchetti lato client nei computer che eseguono Windows 2000 e versioni successive, è possibile impostare il criterio seguente: