릴리스 정보
SMB 서명 정책이 CIFS 서버와의 통신에 미치는 영향
변경 제안
-
이 문서 사이트의 PDF
-
볼륨 관리
-
CLI를 통한 논리적 스토리지 관리
-
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
-
SMB를 사용하여 파일 액세스를 관리합니다
-
-
-
보안 및 데이터 암호화
-
별도의 PDF 문서 모음
Creating your file...
CIFS 서버 SMB 서명 보안 설정 외에도 Windows 클라이언트의 두 SMB 서명 정책은 클라이언트와 CIFS 서버 간의 디지털 통신 서명을 제어합니다. 비즈니스 요구 사항에 맞게 설정을 구성할 수 있습니다.
클라이언트 SMB 정책은 MMC(Microsoft Management Console) 또는 Active Directory GPO를 사용하여 구성되는 Windows 로컬 보안 정책 설정을 통해 제어됩니다. 클라이언트 SMB 서명 및 보안 문제에 대한 자세한 내용은 Microsoft Windows 설명서를 참조하십시오.
다음은 Microsoft 클라이언트에 대한 두 가지 SMB 서명 정책에 대한 설명입니다.
-
'Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우)'
이 설정은 클라이언트의 SMB 서명 기능이 설정되었는지 여부를 제어합니다. 기본적으로 활성화되어 있습니다. 클라이언트에서 이 설정을 비활성화하면 CIFS 서버와의 클라이언트 통신은 CIFS 서버의 SMB 서명 설정에 따라 달라집니다.
-
마이크로네트워크 클라이언트: 디지털 서명 통신(항상)
이 설정은 클라이언트가 서버와 통신하기 위해 SMB 서명을 필요로 하는지 제어합니다. 기본적으로 비활성화되어 있습니다. 클라이언트에서 이 설정을 비활성화하면 SMB 서명 동작은 'Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우)' 및 CIFS 서버의 설정에 대한 정책 설정을 기반으로 합니다.
환경에 SMB 서명이 필요하도록 구성된 Windows 클라이언트가 포함된 경우 CIFS 서버에서 SMB 서명을 설정해야 합니다. 그렇지 않으면 CIFS 서버가 이러한 시스템에 데이터를 제공할 수 없습니다.
클라이언트 및 CIFS 서버 SMB 서명 설정의 효과적인 결과는 SMB 세션이 SMB 1.0 또는 SMB 2.x 이상을 사용하는지 여부에 따라 달라집니다.
다음 표에는 세션이 SMB 1.0을 사용하는 경우 효과적인 SMB 서명 동작이 요약되어 있습니다.
| 클라이언트 | ONTAP — 서명이 필요하지 않습니다 | ONTAP — 서명이 필요합니다 |
|---|---|---|
서명이 비활성화되었으며 필요하지 않습니다 |
서명되지 않았습니다 |
서명됨 |
서명이 활성화되었으며 필요하지 않습니다 |
서명되지 않았습니다 |
서명됨 |
서명이 비활성화되었으며 필수입니다 |
서명됨 |
서명됨 |
서명이 설정되어 있어야 합니다 |
서명됨 |
서명됨 |
|
|
클라이언트에서 서명이 비활성화되었지만 CIFS 서버에서 필요한 경우 이전 Windows SMB 1 클라이언트와 일부 비 Windows SMB 1 클라이언트가 연결되지 않을 수 있습니다. |
다음 표에는 세션에서 SMB 2.x 또는 SMB 3.0을 사용하는 경우 효과적인 SMB 서명 동작이 요약되어 있습니다.
|
|
SMB 2.x 및 SMB 3.0 클라이언트의 경우 SMB 서명이 항상 사용하도록 설정됩니다. 비활성화할 수 없습니다. |
| 클라이언트 | ONTAP — 서명이 필요하지 않습니다 | ONTAP — 서명이 필요합니다 |
|---|---|---|
서명이 필요하지 않습니다 |
서명되지 않았습니다 |
서명됨 |
서명이 필요합니다 |
서명됨 |
서명됨 |
다음 표에는 기본 Microsoft 클라이언트 및 서버 SMB 서명 동작이 요약되어 있습니다.
| 프로토콜 | 해시 알고리즘입니다 | 활성화/비활성화할 수 있습니다 | 필요/필요하지 않습니다 | 클라이언트 기본값입니다 | 서버 기본값 | DC 기본값 |
|---|---|---|---|---|---|---|
SMB 1.0 |
MD5 |
예 |
예 |
활성화됨(필요하지 않음) |
사용 안 함(필수 아님) |
필수 요소입니다 |
SMB 2.x |
HMAC SHA-256 |
아니요 |
예 |
필요하지 않습니다 |
필요하지 않습니다 |
필수 요소입니다 |
SMB 3.0 |
AES-CMAC |
아니요 |
예 |
필요하지 않습니다 |
필요하지 않습니다 |
필수 요소입니다 |
|
|
Microsoft는 더 이상 '고유 서명 통신(클라이언트에서 동의한 경우)' 또는 '고유 서명 통신(서버에서 동의한 경우)' 그룹 정책 설정을 사용할 것을 권장하지 않습니다. Microsoft는 또한 "EnableSecuritySignature" 레지스트리 설정을 더 이상 사용하지 않을 것을 권장합니다. 이러한 옵션은 SMB 1 동작에만 영향을 미치며 Digitally sign communications (Always)(항상 서명 통신) 그룹 정책 설정 또는 RequireSecuritySignature(요구 보안 서명) 레지스트리 설정으로 대체할 수 있습니다. 또한 Microsoft 블로그에서 자세한 정보를 얻을 수 있습니다. The SMB 서명의 기본 사항(SMB1 및 SMB2 모두 포함) |