Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

署名ポリシーがONTAP SMBサーバとの通信にどのように影響するかを学びます

共同作成者 netapp-aaron-holt netapp-aherbin
PDF

CIFSサーバーのSMB署名セキュリティ設定に加えて、Windowsクライアント上の2つのSMB署名ポリシーが、クライアントとCIFSサーバー間の通信のデジタル署名を制御します。ビジネス要件に合った設定を構成できます。

クライアント SMB ポリシーは、Windows のローカル セキュリティ ポリシー設定によって制御されます。これらの設定は、Microsoft Management Console(MMC)または Active Directory GPO を使用して構成されます。クライアント SMB 署名とセキュリティの問題の詳細については、Microsoft Windows のドキュメントを参照してください。

Microsoft クライアント上の 2 つの SMB 署名ポリシーについて説明します:

  • Microsoft network client: Digitally sign communications (if server agrees)

    この設定は、クライアントのSMB署名機能を有効にするかどうかを制御します。デフォルトでは有効になっています。クライアントでこの設定が無効になっている場合、CIFSサーバとのクライアント通信は、CIFSサーバのSMB署名設定に依存します。

  • Microsoft network client: Digitally sign communications (always)

    この設定は、クライアントがサーバーとの通信にSMB署名を必要とするかどうかを制御します。デフォルトでは無効になっています。クライアントでこの設定が無効になっている場合、SMB署名の動作は `Microsoft network client: Digitally sign communications (if server agrees)`のポリシー設定とCIFSサーバーの設定に基づいて行われます。

    メモ

    環境にSMB署名を必要とするように設定されたWindowsクライアントが含まれている場合は、CIFSサーバーでSMB署名を有効にする必要があります。有効にしないと、CIFSサーバーはこれらのシステムにデータを提供できません。

クライアントとCIFSサーバの実質的なSMB署名設定は、SMBセッションでSMB 1.0が使用されるかSMB 2.x以降が使用されるかによって異なります。

次の表に、セッションでSMB 1.0が使用される場合のSMB署名の動作を示します。

クライアント ONTAP—​署名は不要 ONTAP—​署名が必要です

署名は無効になっており、必要ありません

署名なし

署名される

署名が有効で必須ではありません

署名なし

署名される

署名が無効になっていますが必須です

署名される

署名される

署名が有効で必須

署名される

署名される
メモ

古いバージョンのWindowsのSMB 1クライアントや一部のWindows以外のSMB 1クライアントでは、クライアントでは署名が無効になっていてCIFSサーバでは必要な場合、接続に失敗することがあります。

次の表に、セッションでSMB 2.xまたはSMB 3.0が使用される場合のSMB署名の動作を示します。

メモ

SMB 2.x および SMB 3.0 クライアントでは、SMB 署名は常に有効です。無効にすることはできません。
クライアント ONTAP—​署名は不要 ONTAP—​署名が必要です

署名は不要です

署名なし

署名される

署名が必要です

署名される

署名される

次の表は、Microsoft クライアントおよびサーバーの SMB 署名のデフォルトの動作をまとめたものです:

プロトコル ハッシュ アルゴリズム 有効化/無効化できます 必須にできる/必須にしないことができる クライアントのデフォルト サーバーのデフォルト DCデフォルト

SMB 1.0

MD5

はい

はい

有効(必須ではありません)

無効(必須ではありません)

必須

SMB 2.x

HMAC SHA-256

いいえ

はい

不要

不要

必須

SMB 3.0

AES-CMAC。

いいえ

はい

不要

不要

必須
メモ

Microsoftは、 `Digitally sign communications (if client agrees)`または `Digitally sign communications (if server agrees)`グループポリシー設定の使用を推奨しなくなりました。Microsoftは、 `EnableSecuritySignature`レジストリ設定の使用も推奨しなくなりました。これらのオプションはSMB 1の動作にのみ影響し、 `Digitally sign communications (always)`グループポリシー設定または `RequireSecuritySignature`レジストリ設定で置き換えることができます。Microsoftブログからも詳細情報を入手できます。http://blogs.technet.com/b/josebda/archive/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2.aspx[SMB署名の基礎(SMB1とSMB2の両方をカバー)]