SMB署名ポリシーがCIFSサーバとの通信に与える影響
変更を提案
PDF
CIFS サーバの SMB 署名セキュリティ設定に加えて、クライアントと CIFS サーバ間の通信のデジタル署名を制御する Windows クライアント上の SMB 署名ポリシーが 2 つあります。ビジネス要件に合わせて設定を行うことができます。
クライアント SMB ポリシーは、 Microsoft 管理コンソール( MMC )または Active Directory の GPO を使用して設定した Windows ローカルセキュリティポリシー設定で制御されます。クライアントの SMB 署名とセキュリティ問題の詳細については、 Microsoft Windows のマニュアルを参照してください。
ここでは、 Microsoft クライアントの 2 つの SMB 署名ポリシーについて説明します。
-
Microsoft network client: Digitally sign communications (if server agrees)この設定は、クライアントのSMB署名機能を有効にするかどうかを制御します。デフォルトでは有効になっています。この設定がクライアントで無効になっている場合、クライアントのCIFSサーバとの通信は、CIFSサーバのSMB署名の設定によって異なります。
-
Microsoft network client: Digitally sign communications (always)この設定は、クライアントがサーバとの通信に SMB 署名を必要とするかどうかを制御します。デフォルトでは無効になっています。この設定がクライアントで無効になっている場合、SMB署名の動作は、のポリシー設定とCIFSサーバの設定に基づき `Microsoft network client: Digitally sign communications (if server agrees)`ます。
ご使用の環境に、 SMB 署名を必要とするように設定された Windows クライアントが含まれる場合、 CIFS サーバ上の SMB 署名を有効にする必要があります。有効にしないと、 CIFS サーバはこれらのシステムにデータを提供できません。
クライアントとCIFSサーバのSMB署名設定の有効な結果は、SMBセッションでSMB 1.0が使用されるかSMB 2.x以降が使用されるかによって異なります。
次の表に、セッションでSMB 1.0が使用される場合の有効なSMB署名の動作を示します。
| クライアント | ONTAP — 署名は不要 | ONTAP — 署名が必要 |
|---|---|---|
署名は無効になっており、不要です |
署名されません |
署名済み |
署名が有効になっており、不要である |
署名されません |
署名済み |
署名が無効になっており、必要です |
署名済み |
署名済み |
署名が有効になっており、必要です |
署名済み |
署名済み |
|
|
古いバージョンのWindowsのSMB 1クライアントや一部のWindows以外のSMB 1クライアントでは、署名がクライアントでは無効になっていてCIFSサーバでは必要な場合、接続に失敗することがあります。 |
次の表に、セッションでSMB 2.xまたはSMB 3.0が使用される場合の有効なSMB署名の動作を示します。
|
|
SMB 2.x クライアントと SMB 3.0 クライアントでは、 SMB 署名は常に有効になります。無効にすることはできません。 |
| クライアント | ONTAP — 署名は不要 | ONTAP — 署名が必要 |
|---|---|---|
署名は不要です |
署名されません |
署名済み |
署名が必要です |
署名済み |
署名済み |
次の表に、 Microsoft クライアントおよびサーバの SMB 署名のデフォルト動作を示します。
| プロトコル | ハッシュアルゴリズム | 有効 / 無効を切り替えられます | 必須 / 不要 | クライアントのデフォルト | サーバのデフォルト | DC のデフォルト |
|---|---|---|---|---|---|---|
SMB 1.0 |
MD5 |
〇 |
〇 |
有効(不要) |
無効(不要) |
必須 |
SMB 2.x |
HMAC SHA-256 |
いいえ |
〇 |
不要 |
不要 |
必須 |
SMB 3.0 |
AES-CMAC : |
いいえ |
〇 |
不要 |
不要 |
必須 |
|
|
Microsoftでは、または |