Wie sich SMB-Signing-Richtlinien auf die Kommunikation mit einem CIFS-Server auswirken
Änderungen vorschlagen
PDFs
Zusätzlich zu den SMB-Sicherheitseinstellungen des CIFS-Servers steuern zwei SMB-Signaturrichtlinien auf Windows-Clients das digitale Signieren der Kommunikation zwischen Clients und dem CIFS-Server. Sie können die Einstellung konfigurieren, die Ihren geschäftlichen Anforderungen entspricht.
Die SMB-Richtlinien für Clients werden über lokale Einstellungen für Windows-Sicherheitsrichtlinien gesteuert, die mithilfe der Microsoft Management Console (MMC) oder Active Directory-Gruppenrichtlinienobjekte konfiguriert wurden. Weitere Informationen zu SMB-Signing- und Sicherheitsproblemen des Clients finden Sie in der Microsoft Windows-Dokumentation.
Die folgenden Beschreibungen der beiden SMB-Signaturrichtlinien für Microsoft-Clients:
-
Microsoft network client: Digitally sign communications (if server agrees)Diese Einstellung steuert, ob die SMB-Signing-Funktion des Clients aktiviert ist. Standardmäßig ist sie aktiviert. Wenn diese Einstellung auf dem Client deaktiviert ist, hängt die Client-Kommunikation mit dem CIFS-Server von der SMB-Signing-Einstellung auf dem CIFS-Server ab.
-
Microsoft network client: Digitally sign communications (always)Diese Einstellung steuert, ob der Client SMB-Signaturen für die Kommunikation mit einem Server benötigt. Sie ist standardmäßig deaktiviert. Wenn diese Einstellung auf dem Client deaktiviert ist, basiert das SMB-Signierungsverhalten auf der Richtlinieneinstellung für
Microsoft network client: Digitally sign communications (if server agrees)und der Einstellung auf dem CIFS-Server.
Wenn in Ihrer Umgebung Windows Clients enthalten sind, die für SMB-Signaturen konfiguriert sind, müssen Sie SMB-Signaturen auf dem CIFS-Server aktivieren. Wenn nicht, kann der CIFS-Server diesen Systemen keine Daten bereitstellen.
Die effektiven Ergebnisse von SMB-Signing-Einstellungen für Clients und CIFS-Server hängen davon ab, ob in den SMB-Sitzungen SMB 1.0 oder SMB 2.x und höher verwendet werden.
Die folgende Tabelle fasst das effektive Verhalten von SMB-Signaturen zusammen, wenn die Sitzung SMB 1.0 verwendet:
| Client | ONTAP- Signatur nicht erforderlich | ONTAP- Signatur erforderlich |
|---|---|---|
Die Signatur ist deaktiviert und nicht erforderlich |
Nicht signiert |
Unterschrift |
Das Signieren ist aktiviert und nicht erforderlich |
Nicht signiert |
Unterschrift |
Die Signatur ist deaktiviert und erforderlich |
Unterschrift |
Unterschrift |
Das Signieren ist aktiviert und erforderlich |
Unterschrift |
Unterschrift |
|
|
Ältere Windows SMB 1-Clients und einige nicht-Windows SMB 1-Clients können möglicherweise keine Verbindung herstellen, wenn das Signieren auf dem Client deaktiviert ist, aber auf dem CIFS-Server erforderlich ist. |
Die folgende Tabelle fasst das effektive Verhalten von SMB-Signaturen zusammen, wenn die Sitzung SMB 2.x oder SMB 3.0 verwendet:
|
|
Für SMB 2.x- und SMB 3.0-Clients ist SMB-Signatur immer aktiviert. Sie kann nicht deaktiviert werden. |
| Client | ONTAP- Signatur nicht erforderlich | ONTAP- Signatur erforderlich |
|---|---|---|
Das Signieren ist nicht erforderlich |
Nicht signiert |
Unterschrift |
Signieren erforderlich |
Unterschrift |
Unterschrift |
Die folgende Tabelle bietet einen Überblick über das Standardverhalten der SMB-Signatur von Microsoft Client und Server:
| Protokoll | Hash-Algorithmus | Kann aktiviert/deaktiviert werden | Bedarf möglich/nicht erforderlich | Client-Standard | Server-Standard | DC-Standard |
|---|---|---|---|---|---|---|
SMB 1,0 |
MD5 |
Ja. |
Ja. |
Aktiviert (nicht erforderlich) |
Deaktiviert (nicht erforderlich) |
Erforderlich |
SMB 2.x |
HMAC SHA-256 |
Nein |
Ja. |
Nicht erforderlich |
Nicht erforderlich |
Erforderlich |
SMB 3,0 |
AES-CMAC: |
Nein |
Ja. |
Nicht erforderlich |
Nicht erforderlich |
Erforderlich |
|
|
Microsoft empfiehlt die Verwendung der |