Översikt över signering av servermeddelandeblockering

Artikel
12/26/2023

I den här artikeln beskrivs SMB-signering (Server Message Block) 2.x och 3.x och hur du avgör om SMB-signering krävs.

Inledning

SMB-signering (kallas även säkerhetssignaturer) är en säkerhetsmekanism i SMB-protokollet. SMB-signering innebär att varje SMB-meddelande innehåller en signatur som genereras med hjälp av sessionsnyckeln. Klienten placerar en hash för hela meddelandet i signaturfältet i SMB-huvudet.

SMB-signering visades först i Microsoft Windows 2000, Microsoft Windows NT 4.0 och Microsoft Windows 98. Signeringsalgoritmer har utvecklats med tiden. SMB 2.02-signering förbättrades genom införandet av hashbaserad kod för meddelandeautentisering (HMAC) SHA-256, som ersätter den gamla MD5-metoden från slutet av 1990-talet som användes i SMB1. SMB 3.0 lade till AES-CMAC-algoritmer. I Windows Server 2022 och Windows 11 lade vi till AES-128-GMAC-signeringsacceleration. Om du vill ha den bästa prestanda- och skyddskombinationen bör du överväga att uppgradera till de senaste Windows-versionerna.

Så skyddar SMB-signering anslutningen

Om någon ändrar ett meddelande under överföringen matchar inte hashen, och SMB vet att någon har manipulerat data. Signaturen bekräftar också avsändarens och mottagarens identiteter. Detta förhindrar reläattacker. Helst använder du Kerberos i stället för NTLMv2 så att sessionsnyckeln börjar starkt. Anslut inte till resurser med hjälp av IP-adresser och använd inte CNAME-poster, annars använder du NTLM i stället för Kerberos. Använd Kerberos i stället. Mer information finns i Använda alias för datornamn i stället för DNS CNAME-poster .

Principplatser för SMB-signering

Principerna för SMB-signering finns i Datorkonfiguration>Windows-inställningar>Säkerhetsinställningar>Säkerhetsalternativ för lokala principer>.

Microsoft-nätverksklient: Signera kommunikation digitalt (alltid)
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registervärde: RequireSecuritySignature
Datatyp: REG_DWORD
Data: 0 (inaktivera), 1 (aktivera)
Microsoft-nätverksklient: Signera kommunikation digitalt (om servern tillåter)
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registervärde: EnableSecuritySignature
Datatyp: REG_DWORD
Data: 0 (inaktivera), 1 (aktivera)
Microsoft-nätverksserver: Signera kommunikation digitalt (alltid)
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registervärde: RequireSecuritySignature
Datatyp: REG_DWORD
Data: 0 (inaktivera), 1 (aktivera)
Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten samtycker)
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registervärde: EnableSecuritySignature
Datatyp: REG_DWORD
Data: 0 (inaktivera), 1 (aktivera)

Observera I dessa principer anger "alltid" att SMB-signering krävs, och "om servern godkänner" eller "om klienten samtycker" anger att SMB-signering är aktiverat.

Förstå "RequireSecuritySignature" och "EnableSecuritySignature"

Registerinställningen EnableSecuritySignature för SMB2+-klienten och SMB2+-servern ignoreras. Därför gör den här inställningen ingenting om du inte använder SMB1. SMB 2.02 och senare signering styrs enbart genom att krävas eller inte. Den här inställningen används när antingen servern eller klienten kräver SMB-signering. Endast om båda har signering inställt på 0 kommer signering inte att ske.