Comment les stratégies de signature SMB affectent la communication avec un serveur CIFS
Suggérer des modifications
PDF
Outre les paramètres de sécurité de signature SMB du serveur CIFS, deux stratégies de signature SMB sur les clients Windows contrôlent la signature numérique des communications entre les clients et le serveur CIFS. Vous pouvez configurer le paramètre qui répond aux besoins de votre entreprise.
Les stratégies SMB du client sont contrôlées via les paramètres de stratégie de sécurité locale de Windows, qui sont configurés à l'aide des stratégies de groupe MMC (Microsoft Management Console) ou Active Directory. Pour plus d'informations sur les problèmes de sécurité et de signature SMB du client, consultez la documentation Microsoft Windows.
Voici les descriptions des deux stratégies de signature SMB sur les clients Microsoft :
-
Microsoft network client: Digitally sign communications (if server agrees)Ce paramètre détermine si la fonctionnalité de signature SMB du client est activée. Elle est activée par défaut. Lorsque ce paramètre est désactivé sur le client, les communications client avec le serveur CIFS dépendent du paramètre de signature SMB sur le serveur CIFS.
-
Microsoft network client: Digitally sign communications (always)Ce paramètre détermine si le client requiert la signature SMB pour communiquer avec un serveur. Elle est désactivée par défaut. Lorsque ce paramètre est désactivé sur le client, le comportement de signature SMB est basé sur le paramètre de stratégie pour
Microsoft network client: Digitally sign communications (if server agrees)Et le paramètre sur le serveur CIFS.
Si votre environnement inclut des clients Windows configurés pour exiger une signature SMB, vous devez activer la signature SMB sur le serveur CIFS. Dans le cas contraire, le serveur CIFS ne peut pas transmettre de données à ces systèmes.
Les résultats effectifs des paramètres de signature SMB du client et du serveur CIFS dépendent du fait que les sessions SMB utilisent SMB 1.0 ou SMB 2.x et versions ultérieures.
Le tableau suivant récapitule le comportement de signature SMB efficace si la session utilise SMB 1.0 :
| Client | Signature ONTAP : non requise | Signature ONTAP requise |
|---|---|---|
Signature désactivée et non requise |
Non signé |
Signé |
Signature activée et non requise |
Non signé |
Signé |
Signature désactivée et requise |
Signé |
Signé |
Signature activée et requise |
Signé |
Signé |
|
|
Les anciens clients Windows SMB 1 et certains clients non Windows SMB 1 peuvent ne pas se connecter si la signature est désactivée sur le client mais requise sur le serveur CIFS. |
Le tableau suivant récapitule le comportement de signature SMB efficace si la session utilise SMB 2.x ou SMB 3.0 :
|
|
Pour les clients SMB 2.x et SMB 3.0, la signature SMB est toujours activée. Elle ne peut pas être désactivée. |
| Client | Signature ONTAP : non requise | Signature ONTAP requise |
|---|---|---|
Signature non requise |
Non signé |
Signé |
Signature requise |
Signé |
Signé |
Le tableau suivant récapitule le comportement de signature SMB du serveur et du client Microsoft par défaut :
| Protocole | Algorithme de hachage | Peut activer/désactiver | Peut exiger/non requis | Client par défaut | Serveur par défaut | DC par défaut |
|---|---|---|---|---|---|---|
SMB 1.0 |
MD5 |
Oui. |
Oui. |
Activé (non requis) |
Désactivé (non requis) |
Obligatoire |
SMB 2.x |
HMAC SHA-256 |
Non |
Oui. |
Non requis |
Non requis |
Obligatoire |
SMB 3.0 |
AES-CMAC. |
Non |
Oui. |
Non requis |
Non requis |
Obligatoire |
|
|
Microsoft ne recommande plus d'utiliser |