Como as políticas de assinatura SMB afetam a comunicação com um servidor CIFS
Além das configurações de segurança de assinatura SMB do servidor CIFS, duas diretivas de assinatura SMB em clientes Windows controlam a assinatura digital de comunicações entre clientes e o servidor CIFS. Você pode configurar a configuração que atende aos requisitos da sua empresa.
As diretivas SMB do cliente são controladas por meio das configurações de diretiva de segurança local do Windows, que são configuradas usando o MMC (Console de Gerenciamento da Microsoft) ou GPOs do ative Directory. Para obter mais informações sobre a assinatura SMB do cliente e problemas de segurança, consulte a documentação do Microsoft Windows.
Aqui estão descrições das duas políticas de assinatura SMB em clientes Microsoft:
-
Microsoft network client: Digitally sign communications (if server agrees)
Esta configuração controla se a capacidade de assinatura SMB do cliente está ativada. Ele é habilitado por padrão. Quando essa configuração é desativada no cliente, as comunicações do cliente com o servidor CIFS dependem da configuração de assinatura SMB no servidor CIFS.
-
Microsoft network client: Digitally sign communications (always)
Esta configuração controla se o cliente requer assinatura SMB para se comunicar com um servidor. Ele está desativado por padrão. Quando essa configuração é desativada no cliente, o comportamento de assinatura SMB é baseado na configuração de diretiva
Microsoft network client: Digitally sign communications (if server agrees)
e na configuração no servidor CIFS.Se o seu ambiente incluir clientes Windows configurados para exigir assinatura SMB, você deverá ativar a assinatura SMB no servidor CIFS. Se você não fizer isso, o servidor CIFS não poderá fornecer dados a esses sistemas.
Os resultados efetivos das configurações de assinatura SMB do cliente e do servidor CIFS dependem se as sessões SMB usam SMB 1,0 ou SMB 2.x e posterior.
A tabela a seguir resume o comportamento eficaz de assinatura SMB se a sessão usar SMB 1,0:
Cliente | ONTAP—assinatura não necessária | ONTAP - assinatura necessária |
---|---|---|
Assinatura desativada e não necessária |
Não assinado |
Assinado |
Assinatura ativada e não necessária |
Não assinado |
Assinado |
Assinatura desativada e necessária |
Assinado |
Assinado |
Assinatura ativada e necessária |
Assinado |
Assinado |
Clientes Windows SMB 1 mais antigos e alguns clientes SMB 1 não Windows podem não conseguir se conetar se a assinatura estiver desativada no cliente, mas necessária no servidor CIFS. |
A tabela a seguir resume o comportamento eficaz de assinatura SMB se a sessão usar SMB 2.x ou SMB 3,0:
Para clientes SMB 2.x e SMB 3,0, a assinatura SMB está sempre ativada. Não pode ser desativado. |
Cliente | ONTAP—assinatura não necessária | ONTAP - assinatura necessária |
---|---|---|
Assinatura não necessária |
Não assinado |
Assinado |
Assinatura necessária |
Assinado |
Assinado |
A tabela a seguir resume o comportamento padrão de assinatura SMB de cliente e servidor da Microsoft:
Protocolo | Algoritmo hash | Pode ativar/desativar | Pode exigir/não exigir | Padrão do cliente | Padrão do servidor | DC predefinido |
---|---|---|---|---|---|---|
SMB 1,0 |
MD5 |
Sim |
Sim |
Ativado (não necessário) |
Desativado (não necessário) |
Obrigatório |
SMB 2.x |
HMAC SHA-256 |
Não |
Sim |
Não é necessário |
Não é necessário |
Obrigatório |
SMB 3,0 |
AES-CMAC. |
Não |
Sim |
Não é necessário |
Não é necessário |
Obrigatório |
A Microsoft não recomenda mais o uso |