Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Этот параметр безопасности определяет, будет ли ...

Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)

Этот параметр безопасности определяет, будет ли выполняться согласование подписывания SMB-пакетов с требующими этого клиентами.

Протокол блоков сообщений сервера (SMB) предоставляет основу для совместного доступа Windows к файлам и принтерам, а также для других сетевых операций (например, для удаленного администрирования Windows). Для предотвращения атак с перехватом, которые изменяют  SMB-пакеты при передаче, протокол SMB поддерживает установку цифровой подписи для SMB-пакетов. Этот параметр политики определяет, будет ли выполняться согласование подписывания SMB-пакетов с клиентами, которые это запрашивают.

Если этот параметр включен, сервер для сетей Майкрософт будет согласовывать подписывание SMB-пакетов по требованию клиента. Таким образом, если для клиента включено подписывание пакетов, будет выполнено согласование подписывания пакетов. Если эта политика отключена, SMB-клиент не будет выполнять согласование подписывания SMB-пакетов.

По умолчанию: Включено только на контроллерах домена.

Внимание!

Чтобы серверы под управлением Windows 2000 могли согласовывать подписывание с клиентами под управлением Windows NT 4.0, необходимо присвоить значение "1" следующему разделу реестра сервера: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Примечания

Все операционные системы Windows поддерживают как клиентский, так и серверный компоненты SMB. Чтобы воспользоваться преимуществом подписывания SMB-пакетов, на участвующих в соединении клиентском и серверном SMB-компонентах должно быть включено подписывание SMB-пакетов или оно должно требоваться. В операционной системе Windows 2000 и более поздних версиях требование или включение подписывания пакетов для клиентского и серверного SMB-компонентов управляется следующими четырьмя параметрами политики:
Клиент для сетей Майкрософт: использовать цифровую подпись (всегда) - определяет, требуется ли на клиентском SMB-компоненте подписывание пакетов.
Клиент для сетей Майкрософт: использовать цифровую подпись (при согласии сервера) - определяет, включено ли на клиентском SMB-компоненте подписывание пакетов.
Сервер для сетей Майкрософт: использовать цифровую подпись (всегда) - определяет, требуется ли на серверном SMB-компоненте подписывание пакетов.
Сервер для сетей Майкрософт: использовать цифровую подпись (при согласии клиента) - определяет, включено ли на серверном SMB-компоненте подписывание пакетов.
Если требуется подписывание SMB-пакетов на стороне сервера, клиент не сможет установить сеанс с этим сервером, если не включено подписывание SMB-пакетов на стороне клиента. По умолчанию подписывание SMB-пакетов на стороне клиента включено на рабочих станциях, серверах и контроллерах домена.
Аналогичным образом, если требуется подписывание SMB-пакетов на стороне клиента, клиент не сможет установить сеанс с сервером, на котором не включено подписывание пакетов. По умолчанию подписывание SMB-пакетов на стороне сервера включено только на контроллерах домена.
Если включено подписывание SMB-пакетов на стороне сервера, подписывание будет согласовываться с клиентами с включенным подписыванием SMB-пакетов на стороне клиента.
Подписывание SMB-пакетов может привести к снижению производительности до 15 процентов при транзакциях службы файлов.