CIFSサーバのSMB署名セキュリティ設定に加えて、クライアントとSVMのCIFSサーバ間の通信のデジタル署名を制御するWindowsクライアント上のSMB署名ポリシーが2つあります。ビジネス要件に合わせた設定を行うことができます。
クライアントSMBポリシーは、Microsoft管理コンソール(MMC)またはActive DirectoryのGPOを使用して設定したWindowsローカル セキュリティ ポリシー設定で制御されます。クライアントのSMB署名とセキュリティ問題の詳細については、Microsoft Windowsのマニュアルを参照してください。
ここでは、Microsoftクライアントの2つのSMB署名ポリシーについて説明します。
この設定はクライアントのSMB署名機能を有効にするかどうかを制御します。この機能はデフォルトで有効になっています。この設定をクライアントで無効にすると、クライアントのCIFSサーバとの通信は、CIFSサーバ上のSMB署名の設定によって異なります。
この設定は、クライアントがサーバとの通信にSMB署名を必要とするかどうかを制御します。この設定はデフォルトでは無効になっています。この設定がクライアント上で無効である場合、SMB署名の動作は、「Microsoft network client: Digitally sign communications (if server agrees)」ポリシー設定とCIFSサーバ上の設定に基づきます。
クライアントとCIFSサーバのSMB署名設定の有効な結果は、SMBセッションでSMB 1.0が使用されるかSMB 2.x以降が使用されるかによって異なります。
次の表に、セッションでSMB 1.0が使用される場合の有効なSMB署名の動作を示します。
| クライアント | ONTAP - 署名が不要である | ONTAP - 署名が必要である |
|---|---|---|
| 署名が無効になっており、不要である | 署名されない | 署名される |
| 署名が有効になっており、不要である | 署名されない | 署名される |
| 署名が無効になっており、必要である | 署名される | 署名される |
| 署名が有効になっており、必要である | 署名される | 署名される |
次の表に、セッションでSMB 2.xまたはSMB 3.0が使用される場合の有効なSMB署名の動作を示します。
| クライアント | ONTAP - 署名が不要である | ONTAP - 署名が必要である |
|---|---|---|
| 署名が不要である | 署名されない | 署名される |
| 署名が必要である | 署名される | 署名される |
次の表に、MicrosoftクライアントおよびサーバのSMB署名のデフォルト動作を示します。
| プロトコル | ハッシュ アルゴリズム | 有効と無効の切り替えが可能 | 必須と不要の切り替えが可能 | クライアントのデフォルト | サーバのデフォルト | DCのデフォルト |
|---|---|---|---|---|---|---|
| SMB 1.0 | MD5 | ○ | ○ | 有効(不要) | 無効(不要) | 必須 |
| SMB 2.x | HMAC SHA-256 | × | ○ | 不要 | 不要 | 必須 |
| SMB 3.0 | AES-CMAC | × | ○ | 不要 | 不要 | 必須 |