Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

SMB簽署原則如何影響與CIFS伺服器的通訊

貢獻者
PDF

除了CIFS伺服器SMB簽署安全性設定之外、Windows用戶端上的兩個SMB簽署原則也會控制用戶端與CIFS伺服器之間的通訊數位簽署。您可以設定符合業務需求的設定。

用戶端SMB原則是透過Windows本機安全性原則設定來控制、這些設定是使用Microsoft管理主控台(MMC)或Active Directory GPO來設定。如需用戶端SMB簽署與安全性問題的詳細資訊、請參閱Microsoft Windows文件。

以下是Microsoft用戶端上兩種SMB簽署原則的說明:

  • Microsoft network client: Digitally sign communications (if server agrees)

    此設定可控制是否啟用用戶端的SMB簽署功能。預設為啟用。當用戶端停用此設定時、與CIFS伺服器的用戶端通訊取決於CIFS伺服器上的SMB簽署設定。

  • Microsoft network client: Digitally sign communications (always)

    此設定可控制用戶端是否需要SMB簽署才能與伺服器通訊。預設為停用。當用戶端上停用此設定時、 SMB 簽署行為會根據的原則設定而定 Microsoft network client: Digitally sign communications (if server agrees) 以及 CIFS 伺服器上的設定。

    註

    如果您的環境包含設定為需要SMB簽署的Windows用戶端、則必須在CIFS伺服器上啟用SMB簽署。如果您沒有、CIFS伺服器就無法將資料提供給這些系統。

用戶端和CIFS伺服器SMB簽署設定的有效結果取決於SMB工作階段是使用SMB 1.0或SMB 2.x或更新版本。

下表摘要說明當工作階段使用SMB 1.0時的有效SMB簽署行為:

用戶端 ONTAP -不需要簽署 ONTAP -需要簽署

簽署已停用且不需要

未簽署

已簽署

簽署已啟用且不需要

未簽署

已簽署

簽署已停用且必要

已簽署

已簽署

簽署已啟用且必要

已簽署

已簽署
註

舊版Windows SMB 1用戶端和部分非Windows SMB 1用戶端若在用戶端上停用簽署、但CIFS伺服器上需要簽署、則可能無法連線。

下表摘要說明當工作階段使用SMB 2.x或SMB 3.0時的有效SMB簽署行為:

註

對於SMB 2.x和SMB 3.0用戶端、一律會啟用SMB簽署。無法停用。
用戶端 ONTAP -不需要簽署 ONTAP -需要簽署

不需要簽署

未簽署

已簽署

需要簽署

已簽署

已簽署

下表摘要說明預設的Microsoft用戶端和伺服器SMB簽署行為:

傳輸協定 雜湊演算法 可啟用/停用 可能需要/不需要 用戶端預設值 伺服器預設值 DC預設值

SMB 1.0

md5

是的

是的

已啟用(非必要)

已停用(非必要)

必要

SMB 2.x

HMAC SHA-256

是的

不需要

不需要

必要

SMB 3.0

AES-CMAC:

是的

不需要

不需要

必要
註

Microsoft 不再建議使用 Digitally sign communications (if client agrees)Digitally sign communications (if server agrees) 群組原則設定。Microsoft 也不再建議使用 EnableSecuritySignature 登錄設定。這些選項只會影響 SMB 1 行為、可由取代 Digitally sign communications (always) 群組原則設定或 RequireSecuritySignature 登錄設定。您也可以從 Microsoft 部落格取得更多資訊。 The SMB 簽署基礎知識(涵蓋 SMB1 和 SMB2 )