| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |
SMB Signing czyli podpisywanie komunikacji Opcja podpisywania komunikacji w Otoczeniu sieciowym czyli SMB Signing jest dostępna od Windows NT 4.0 SP3, posiada ją każdy system z rodziny NT czyli, poza już wymienionym, Windows 2000/XP/2003 oraz Samba 3/Unix. Wadą protokołu SMB jest m.in. to że można miedzy komunikującym się serwerem a stacja roboczą, sfałszować komunikacje podstawiając fałszywą maszynę za jedną ze stron komunikacji i przez to oszukiwać druga stronę. Żeby utrudnić ten proceder powstało właśnie wraz z Servce Pack 3 do Windows NT 4.0 takie coś jak SMB Signing. Podpisywanie komunikacji oznacza wiec potwierdzenie tożsamości komputera za pomocą sygnatur cyfrowych. Powoduje to zmniejszenie wydajności sieci rzędu 10-15%, gdyż każdy pakiet a konkretnie jego sygnatura cyfrowa musi być zweryfikowana. Niestety system podpisywania komunikacji nie działa na systemach Windows 95 oraz Samba 2/Unix. Dodatkowo warto zapoznać się z artykułem "Overview of Server Message Block signing" znajdującym się pod adresem - http://support.microsoft.com/default.aspx?scid=kb;en-us;887429 oraz "Niezgodności programów, usług i klientów, które mogą wystąpić wskutek zmodyfikowania ustawień zabezpieczeń i przypisań praw użytkownika" - http://support.microsoft.com/kb/823659 Windows 98/Me Włączenie SMB Signing, które jest standardowo wyłączone w Windows 98/Me można dokonać tylko poprzez rejestr. W tym celu trzeba dodać dwa klucze w rejestrze w gałęzi:
Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):
Windows NT 4.0 Włączenie SMB Signing w Windows NT 4.0 można dokonać tylko poprzez rejestr. Wymagane jest zainstalowanie Service Pack co najmniej w wersji 3.0. W tym celu trzeba odnaleźć dwa klucze w rejestrze w odpowiednich gałęziach.
Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):
Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):
Warto zapoznać się z artykułem "How to Enable SMB Signing in Windows NT" znajdującym się pod adresem - http://support.microsoft.com/kb/161372/ Windows 2000/XP/2003 Włącza/wyłącza się SMB Signing najprościej w Windows 2000/XP/2003 poprzez Zasady Grup czyli GPO. Aby to uczynić przejdź do "Panel sterowania" >> "Narzędzia administracyjne" >> "Zasady zabezpieczeń lokalnych" >> "Zasady lokalne" >> "Opcje zabezpieczeń". Poniżej zostało przedstawione nazewnictwo z Windows XP/2003 ale w Windows 2000 brzmi one analogicznie. Wersja po stronie klienta: Odnajdź klucz "Klient sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą serwera)".
Oraz klucz "Klient sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)".
Wersja po stronie serwera: Odnajdź klucz "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą klienta)".
Można to wykonać również poprzez klucze w rejestrze w odpowiednich gałęziach. Wersja po stronie klienta:
Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):
Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):
Dodatkowo na serwerach Windows 2000/XP/2003 przy negocjacji podpisywania z klientami Windows NT 4.0 będziesz musiał zadziałać w rejestrze, gdyż ta opcja nie jest dostępna poprzez Zasady Grup czyli GPO. Jest to znany problem gdy NT 4.0 inicjuje sesje z serwerem Windows 2000/XP/2003 i tenże serwer zwraca odpowiedz odrzucającą połączenia z Windows 9x/NT. Możesz ten problem rozwiązać zaglądając do klucza w rejestrze: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\ Dodać tutaj wartość REG_DWORD: enableW9xsecuritysignature i ustawić ja na 1. Będziesz musiał oczywiście pozostałe opcje SMB Signing na Windows 2000 wyłączyć, jak miałeś opisane wcześniej. Samba 3.0/Unix Od wersji 3.0 w pakiecie Samba wprowadzono możliwość podpisywania komunikacji, włącza ją się oczywiście poprzez wpis w pliku konfiguracyjnym smb.conf. Obie opcje odpowiedzialne za podpisywanie transmisji należy wstawić do sekcji [global]. client signing - opcja ta kontroluje zachowanie Samby gdy klient oferuje podpisaną komunikację smb, wartości jakie może przyjmować: auto (podpisywanie jest oferowane ale nie wymagane), mandatory (podpisywanie jest wymagane), disabled (wyłączona opcja). Standardowo opcja ta jest ustawiona: client signing = auto server signing - opcja ta kontroluje zachowanie Samby czy serwer oferuje podpisaną komunikację smb, wartości jakie może przyjmować: auto (podpisywanie jest oferowane ale nie wymagane), mandatory (podpisywanie jest wymagane), disabled (wyłączona opcja). Standardowo opcja ta jest ustawiona: server signing = disabled use spnego - opcja ta kontroluje zachowanie Samby żeby próbowała użyć "Simple and Protected Negociation" czyli SPNEGO (zdefiniowanego w rfc2478) przy komunikacji z klientami typu Windows 2000/XP/2003, gdy zgodzą się na ten mechanizm autentyfikacji. Standardowej opcji raczej nie będziesz miał potrzeby zmieniać i jest ustawiona: use spnego = yes client use spnego - opcja ta kontroluje zachowanie klienta Samby żeby próbował użyć "Simple and Protected NEGOciation" czyli SPNEGO (zdefiniowanego w rfc2478) przy komunikacji z serwerami typu Windows 2000/XP/2003, gdy zgodzą się na ten mechanizm autentyfikacji. Standardowo opcja ta jest ustawiona: client use spnego = yes |