SMB簽署原則如何影響與CIFS伺服器的通訊
建議變更
PDF
除了CIFS伺服器SMB簽署安全性設定之外、Windows用戶端上的兩個SMB簽署原則也會控制用戶端與CIFS伺服器之間的通訊數位簽署。您可以設定符合業務需求的設定。
用戶端SMB原則是透過Windows本機安全性原則設定來控制、這些設定是使用Microsoft管理主控台(MMC)或Active Directory GPO來設定。如需用戶端SMB簽署與安全性問題的詳細資訊、請參閱Microsoft Windows文件。
以下是Microsoft用戶端上兩種SMB簽署原則的說明:
-
Microsoft network client: Digitally sign communications (if server agrees)此設定可控制是否啟用用戶端的SMB簽署功能。預設為啟用。當用戶端停用此設定時、與CIFS伺服器的用戶端通訊取決於CIFS伺服器上的SMB簽署設定。
-
Microsoft network client: Digitally sign communications (always)此設定可控制用戶端是否需要SMB簽署才能與伺服器通訊。預設為停用。當用戶端上停用此設定時、 SMB 簽署行為會根據的原則設定而定
Microsoft network client: Digitally sign communications (if server agrees)以及 CIFS 伺服器上的設定。
如果您的環境包含設定為需要SMB簽署的Windows用戶端、則必須在CIFS伺服器上啟用SMB簽署。如果您沒有、CIFS伺服器就無法將資料提供給這些系統。
用戶端和CIFS伺服器SMB簽署設定的有效結果取決於SMB工作階段是使用SMB 1.0或SMB 2.x或更新版本。
下表摘要說明當工作階段使用SMB 1.0時的有效SMB簽署行為:
| 用戶端 | ONTAP -不需要簽署 | ONTAP -需要簽署 |
|---|---|---|
簽署已停用且不需要 |
未簽署 |
已簽署 |
簽署已啟用且不需要 |
未簽署 |
已簽署 |
簽署已停用且必要 |
已簽署 |
已簽署 |
簽署已啟用且必要 |
已簽署 |
已簽署 |
|
|
舊版Windows SMB 1用戶端和部分非Windows SMB 1用戶端若在用戶端上停用簽署、但CIFS伺服器上需要簽署、則可能無法連線。 |
下表摘要說明當工作階段使用SMB 2.x或SMB 3.0時的有效SMB簽署行為:
|
|
對於SMB 2.x和SMB 3.0用戶端、一律會啟用SMB簽署。無法停用。 |
| 用戶端 | ONTAP -不需要簽署 | ONTAP -需要簽署 |
|---|---|---|
不需要簽署 |
未簽署 |
已簽署 |
需要簽署 |
已簽署 |
已簽署 |
下表摘要說明預設的Microsoft用戶端和伺服器SMB簽署行為:
| 傳輸協定 | 雜湊演算法 | 可啟用/停用 | 可能需要/不需要 | 用戶端預設值 | 伺服器預設值 | DC預設值 |
|---|---|---|---|---|---|---|
SMB 1.0 |
md5 |
是的 |
是的 |
已啟用(非必要) |
已停用(非必要) |
必要 |
SMB 2.x |
HMAC SHA-256 |
否 |
是的 |
不需要 |
不需要 |
必要 |
SMB 3.0 |
AES-CMAC: |
否 |
是的 |
不需要 |
不需要 |
必要 |
|
|
Microsoft 不再建議使用 |