Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB 署名ポリシーが CIFS サーバとの通信に与える影響

共同作成者
PDF

CIFS サーバの SMB 署名セキュリティ設定に加えて、クライアントと CIFS サーバ間の通信のデジタル署名を制御する Windows クライアント上の SMB 署名ポリシーが 2 つあります。ビジネス要件に合わせて設定を行うことができます。

クライアント SMB ポリシーは、 Microsoft 管理コンソール( MMC )または Active Directory の GPO を使用して設定した Windows ローカルセキュリティポリシー設定で制御されます。クライアントの SMB 署名とセキュリティ問題の詳細については、 Microsoft Windows のマニュアルを参照してください。

ここでは、 Microsoft クライアントの 2 つの SMB 署名ポリシーについて説明します。

  • Microsoft network client: Digitally sign communications (if server agrees)

    この設定は、クライアントの SMB 署名機能を有効にするかどうかを制御します。デフォルトでは有効になっています。この設定をクライアントで無効にすると、クライアントの CIFS サーバとの通信は、 CIFS サーバ上の SMB 署名の設定によって異なります。

  • Microsoft network client: Digitally sign communications (always)

    この設定は、クライアントがサーバとの通信に SMB 署名を必要とするかどうかを制御します。デフォルトでは無効になっています。この設定がクライアントで無効になっている場合、SMB署名の動作はのポリシー設定に基づきます Microsoft network client: Digitally sign communications (if server agrees) およびCIFSサーバの設定。

    メモ

    ご使用の環境に、 SMB 署名を必要とするように設定された Windows クライアントが含まれる場合、 CIFS サーバ上の SMB 署名を有効にする必要があります。有効にしないと、 CIFS サーバはこれらのシステムにデータを提供できません。

クライアントと CIFS サーバの SMB 署名設定の有効な結果は、 SMB セッションで SMB 1.0 が使用されるか SMB 2.x 以降が使用されるかによって異なります。

次の表に、セッションで SMB 1.0 が使用される場合の有効な SMB 署名の動作を示します。

クライアント ONTAP — 署名は不要 ONTAP — 署名が必要

署名は無効になっており、不要です

署名されません

署名

署名が有効になっており、不要である

署名されません

署名

署名が無効になっており、必要です

署名

署名

署名が有効になっており、必要です

署名

署名
メモ

古いバージョンの Windows の SMB 1 クライアントや一部の Windows 以外の SMB 1 クライアントでは、署名がクライアントでは無効になっていて CIFS サーバでは必要な場合、接続に失敗することがあります。

次の表に、セッションで SMB 2.x または SMB 3.0 が使用される場合の有効な SMB 署名の動作を示します。

メモ

SMB 2.x クライアントと SMB 3.0 クライアントでは、 SMB 署名は常に有効になります。無効にすることはできません。
クライアント ONTAP — 署名は不要 ONTAP — 署名が必要

署名は不要です

署名されません

署名

署名が必要です

署名

署名

次の表に、 Microsoft クライアントおよびサーバの SMB 署名のデフォルト動作を示します。

プロトコル ハッシュアルゴリズム 有効 / 無効を切り替えられます 必須 / 不要 クライアントのデフォルト サーバのデフォルト DC のデフォルト

SMB 1.0

MD5

はい。

はい。

有効(不要)

無効(不要)

必須

SMB 2.x

HMAC SHA-256

いいえ

はい。

必要ありません

必要ありません

必須

SMB 3.0

AES-CMAC :

いいえ

はい。

必要ありません

必要ありません

必須
メモ

Microsoftではの使用を推奨していません Digitally sign communications (if client agrees) または Digitally sign communications (if server agrees) グループポリシーの設定。Microsoftでは、の使用も推奨していません EnableSecuritySignature レジストリ設定。これらのオプションはSMB 1の動作にのみ影響し、で置き換えることができます Digitally sign communications (always) グループポリシー設定または RequireSecuritySignature レジストリ設定。詳細については、Microsoftのブログを参照してください。http://blogs.technet.com/b/josebda/archive/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2.aspx[The SMB署名の基礎(SMB1とSMB2の両方をカバー)]