Scopri in che modo le policy di firma influiscono sulla comunicazione con i server ONTAP SMB
Suggerisci modifiche
PDF
Oltre alle impostazioni di sicurezza della firma SMB del server CIFS, due criteri di firma SMB sui client Windows controllano la firma digitale delle comunicazioni tra i client e il server CIFS. È possibile configurare l'impostazione che soddisfa i requisiti di business.
I criteri SMB dei client sono controllati tramite le impostazioni dei criteri di protezione locali di Windows, che vengono configurate utilizzando Microsoft Management Console (MMC) o gli oggetti Criteri di gruppo di Active Directory. Per ulteriori informazioni sulla firma SMB del client e sui problemi di sicurezza, consultare la documentazione di Microsoft Windows.
Di seguito sono riportate le descrizioni dei due criteri di firma SMB sui client Microsoft:
-
Microsoft network client: Digitally sign communications (if server agrees)Questa impostazione controlla se la funzionalità di firma SMB del client è attivata. È attivato per impostazione predefinita. Quando questa impostazione è disattivata sul client, le comunicazioni del client con il server CIFS dipendono dall'impostazione della firma SMB sul server CIFS.
-
Microsoft network client: Digitally sign communications (always)Questa impostazione specifica se il client richiede la firma SMB per comunicare con un server. È disattivato per impostazione predefinita. Quando questa impostazione è disattivata sul client, il comportamento della firma SMB si basa sull'impostazione del criterio per
Microsoft network client: Digitally sign communications (if server agrees)E l'impostazione sul server CIFS.
Se l'ambiente include client Windows configurati per richiedere la firma SMB, è necessario attivare la firma SMB sul server CIFS. In caso contrario, il server CIFS non può fornire dati a questi sistemi.
I risultati effettivi delle impostazioni di firma SMB del client e del server CIFS dipendono dal fatto che le sessioni SMB utilizzino SMB 1.0 o SMB 2.x e versioni successive.
La seguente tabella riassume il comportamento effettivo della firma SMB se la sessione utilizza SMB 1.0:
| Client | ONTAP - Firma non richiesta | ONTAP—Firma obbligatoria |
|---|---|---|
Firma disattivata e non richiesta |
Non firmato |
Firmato |
Firma abilitata e non richiesta |
Non firmato |
Firmato |
Firma disattivata e obbligatoria |
Firmato |
Firmato |
Firma abilitata e obbligatoria |
Firmato |
Firmato |
|
|
I client SMB 1 di Windows meno recenti e alcuni client SMB 1 non Windows potrebbero non riuscire a connettersi se la firma è disattivata sul client ma richiesta sul server CIFS. |
La seguente tabella riassume il comportamento effettivo della firma SMB se la sessione utilizza SMB 2.x o SMB 3.0:
|
|
Per i client SMB 2.x e SMB 3.0, la firma SMB è sempre abilitata. Non può essere disattivato. |
| Client | ONTAP - Firma non richiesta | ONTAP—Firma obbligatoria |
|---|---|---|
Firma non richiesta |
Non firmato |
Firmato |
Firma obbligatoria |
Firmato |
Firmato |
La seguente tabella riassume il comportamento predefinito della firma SMB del client e del server Microsoft:
| Protocollo | Algoritmo hash | Può attivare/disattivare | Può richiedere/non richiedere | Impostazione predefinita del client | Server predefinito | DC predefinito |
|---|---|---|---|---|---|---|
SMB 1.0 |
MD5 |
Sì |
Sì |
Abilitato (non richiesto) |
Disattivato (non richiesto) |
Obbligatorio |
SMB 2.x |
HMAC SHA-256 |
No |
Sì |
Non richiesto |
Non richiesto |
Obbligatorio |
SMB 3.0 |
AES-CMAC. |
No |
Sì |
Non richiesto |
Non richiesto |
Obbligatorio |
|
|
Microsoft sconsiglia di utilizzare |