Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)
介绍了有关“Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
服务器消息块 (SMB) 协议为文件和打印共享以及其他许多网络操作(例如远程 Windows 管理)提供基础支持。为防止传输过程中修改 SMB 数据包的中间人攻击,SMB 协议支持对 SMB 数据包进行数字签名。此策略设置确定在允许与服务器服务进行进一步通信之前,是否必须协商 SMB 数据包签名。
在高安全性网络中实现数字签名可帮助防止模拟客户端计算机和服务器(这称为“会话劫持”)。但是,误用这些策略设置是常见错误,可导致数据丢失或者数据访问或安全性出现问题。
如果需要进行服务器端 SMB 签名,除非服务器已启用客户端 SMB 签名,否则客户端设备将不会与该服务器建立会话。默认情况下,在工作站、服务器和域控制器上,启用客户端 SMB 签名。同样,如果需要进行客户端 SMB 签名,客户端设备将不会与未启用数据包签名的服务器建立会话。默认情况下,仅在域控制器上启用服务器端 SMB 签名。
如果服务器端 SMB 签名已启用,将与已启用 SMB 签名的客户端计算机协商 SMB 数据包签名。
使用 SMB 数据包签名会使文件服务事务的性能最多下降 15%。
有三个其他策略设置与服务器消息块 (SMB) 通信的数据包签名要求相关:
可能值
启用
禁用
未定义
最佳做法
配置以下安全策略设置,如下所示:
启用“Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)”****。
此外,你可以将所有这些策略设置设为“已启用”,但启用它们会导致客户端设备性能下降,并会阻止客户端设备与传统 SMB 应用程序和操作系统进行通信。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
启用 |
独立服务器默认设置 |
未定义 |
DC 有效默认设置 |
启用 |
成员服务器有效默认设置 |
未定义 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
“会话劫持”所使用的工具可允许攻击者有权访问作为客户端设备或服务器的同一网络来中断、结束或窃取正在进行的会话。攻击者可能截获并修改未经签名的服务器消息块 (SMB) 数据包,然后修改通信并进行转发,以便服务器可以执行不受欢迎的操作。或者,攻击者可能在进行合法的身份验证后伪装成服务器或客户端计算机,并获取对数据未经授权的访问。
SMB 是受许多 Windows 操作系统支持的资源共享协议。它是 NetBIOS 和其他许多协议的基础。SMB 签名会对用户和托管数据的服务器进行身份验证。如果在任一端进行的身份验证过程失败时,将不会进行数据传输。
对策
如下所示配置设置:
启用“Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)”。
在高度安全的环境中,我们建议你将所有这些设置配置为“已启用”。但是,该配置可能导致客户端设备性能下降,并会阻止其与较早的 SMB 应用程序和操作系统进行通信。
注意
可以保护所有网络通信的替代对策是实现附带 IPsec 的数字签名。具有可供 IPsec 加密和签名的基于硬件的加速器,这可用于最大程度地降低对服务器 CPU 性能的影响。没有可用于 SMB 签名的此类加速器。
潜在影响
SMB 文件和打印共享协议支持相互身份验证。这可防止会话劫持攻击,并支持消息身份验证来防止中间人攻击。SMB 签名通过将数字签名放入每个 SMB 中提供此身份验证,然后通过客户端和服务器对其进行验证。
实现 SMB 签名可能对性能造成负面影响,因为必须签名和验证每个数据包。如果在执行多个角色的服务器(例如用作域控制器、文件服务器、打印服务器和应用程序服务器的小型企业服务器)上启用了这些设置,性能可能会显著降低。此外,如果将计算机配置为忽略所有未签名的 SMB 通信,将无法连接较早的应用程序和操作系统。但是,如果你完全禁用所有 SMB 签名,计算机易受会话劫持攻击。