SMB署名ポリシーがCIFSサーバとの通信に与える影響

CIFSサーバのSMB署名セキュリティ設定に加えて、クライアントとSVMのCIFSサーバ間の通信のデジタル署名を制御するWindowsクライアント上のSMB署名ポリシーが2つあります。ビジネス要件に合わせた設定を行うことができます。

クライアントSMBポリシーは、Microsoft管理コンソール(MMC)またはActive DirectoryのGPOを使用して設定したWindowsローカル セキュリティ ポリシー設定で制御されます。クライアントのSMB署名とセキュリティ問題の詳細については、Microsoft Windowsのマニュアルを参照してください。

ここでは、Microsoftクライアントの2つのSMB署名ポリシーについて説明します。

クライアントとCIFSサーバのSMB署名設定の有効な結果は、SMBセッションでSMB 1.0が使用されるかSMB 2.x以降が使用されるかによって異なります。

次の表に、セッションでSMB 1.0が使用される場合の有効なSMB署名の動作を示します。

クライアント ONTAP - 署名が不要である ONTAP - 署名が必要である
署名が無効になっており、不要である 署名されない 署名される
署名が有効になっており、不要である 署名されない 署名される
署名が無効になっており、必要である 署名される 署名される
署名が有効になっており、必要である 署名される 署名される
注: 古いバージョンのWindowsのSMB 1クライアントや一部のWindows以外のSMB 1クライアントでは、署名がクライアントでは無効になっていてCIFSサーバでは必要な場合、接続に失敗することがあります。

次の表に、セッションでSMB 2.xまたはSMB 3.0が使用される場合の有効なSMB署名の動作を示します。

注: SMB 2.xクライアントおよびSMB 3.0クライアントでは、SMB署名は常に有効になります。無効にはできません。
クライアント ONTAP - 署名が不要である ONTAP - 署名が必要である
署名が不要である 署名されない 署名される
署名が必要である 署名される 署名される

次の表に、MicrosoftクライアントおよびサーバのSMB署名のデフォルト動作を示します。

プロトコル ハッシュ アルゴリズム 有効と無効の切り替えが可能 必須と不要の切り替えが可能 クライアントのデフォルト サーバのデフォルト DCのデフォルト
SMB 1.0 MD5 有効(不要) 無効(不要) 必須
SMB 2.x HMAC SHA-256 × 不要 不要 必須
SMB 3.0 AES-CMAC × 不要 不要 必須
注: Microsoftでは、「Digitally sign communications (if client agrees)」または「Digitally sign communications (if server agrees)」グループ ポリシー設定の使用を推奨していません。また、Microsoftでは、「EnableSecuritySignature」レジストリ設定の使用も推奨していません。これらのオプションは、SMB 1の動作にのみ影響を与え、「Digitally sign communications (always)」グループ ポリシー設定または「RequireSecuritySignature」レジストリ設定で置き換えることができます。詳細については、Microsoftのブログを参照してください。

The Basics of SMB Signing (covering both SMB1 and SMB2)