| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 27/07/2003 :: modyfikacja: 17/07/2005
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

SMB Signing czyli podpisywanie komunikacji

Opcja podpisywania komunikacji w Otoczeniu sieciowym czyli SMB Signing jest dostępna od Windows NT 4.0 SP3, posiada ją każdy system z rodziny NT czyli, poza już wymienionym, Windows 2000/XP/2003 oraz Samba 3/Unix. Wadą protokołu SMB jest m.in. to że można miedzy komunikującym się serwerem a stacja roboczą, sfałszować komunikacje podstawiając fałszywą maszynę za jedną ze stron komunikacji i przez to oszukiwać druga stronę. Żeby utrudnić ten proceder powstało właśnie wraz z Servce Pack 3 do Windows NT 4.0 takie coś jak SMB Signing.

Podpisywanie komunikacji oznacza wiec potwierdzenie tożsamości komputera za pomocą sygnatur cyfrowych. Powoduje to zmniejszenie wydajności sieci rzędu 10-15%, gdyż każdy pakiet a konkretnie jego sygnatura cyfrowa musi być zweryfikowana. Niestety system podpisywania komunikacji nie działa na systemach Windows 95 oraz Samba 2/Unix.

Dodatkowo warto zapoznać się z artykułem "Overview of Server Message Block signing" znajdującym się pod adresem - http://support.microsoft.com/default.aspx?scid=kb;en-us;887429 oraz "Niezgodności programów, usług i klientów, które mogą wystąpić wskutek zmodyfikowania ustawień zabezpieczeń i przypisań praw użytkownika" - http://support.microsoft.com/kb/823659

Windows 98/Me

Włączenie SMB Signing, które jest standardowo wyłączone w Windows 98/Me można dokonać tylko poprzez rejestr. W tym celu trzeba dodać dwa klucze w rejestrze w gałęzi:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):

  • EnableSecuritySignature - Standardowo wyłączona (0), odpowiada za "Podpisuj cyfrowo komunikacje (za zgodą klienta)".

  • RequireSecuritySignature - Standardowo wyłączona (0), odpowiada za "Podpisuj cyfrowo komunikacje (zawsze)"

Windows NT 4.0

Włączenie SMB Signing w Windows NT 4.0 można dokonać tylko poprzez rejestr. Wymagane jest zainstalowanie Service Pack co najmniej w wersji 3.0. W tym celu trzeba odnaleźć dwa klucze w rejestrze w odpowiednich gałęziach.

Wersja po stronie klienta:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters  

Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):

  • EnableSecuritySignature - Standardowo włączona (1) w Windows NT 4.0, odpowiada za "Podpisuj cyfrowo komunikacje (kiedy możliwe)".

  • RequireSecuritySignature - Standardowo wyłączona (0) w Windows NT 4.0, odpowiada za "Podpisuj cyfrowo komunikacje (zawsze)".

Wersja po stronie serwera:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters  

Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):

  • EnableSecuritySignature - Standardowo włączona (1) na kontrolerach domeny Windows NT 4.0, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą klienta)".

  • RequireSecuritySignature - Standardowo wyłączona (0) w Windows NT 4.0, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)"

Warto zapoznać się z artykułem "How to Enable SMB Signing in Windows NT" znajdującym się pod adresem - http://support.microsoft.com/kb/161372/

Windows 2000/XP/2003

Włącza/wyłącza się SMB Signing najprościej w Windows 2000/XP/2003 poprzez Zasady Grup czyli GPO. Aby to uczynić przejdź do "Panel sterowania" >> "Narzędzia administracyjne" >> "Zasady zabezpieczeń lokalnych" >> "Zasady lokalne" >> "Opcje zabezpieczeń". Poniżej zostało przedstawione nazewnictwo z Windows XP/2003 ale w Windows 2000 brzmi one analogicznie.

Wersja po stronie klienta:

Odnajdź klucz "Klient sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą serwera)".

Oraz klucz "Klient sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)".

Wersja po stronie serwera:

Odnajdź klucz "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą klienta)".

Oraz klucz "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)".

Można to wykonać również poprzez klucze w rejestrze w odpowiednich gałęziach.

Wersja po stronie klienta:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters  

Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):

  • EnableSecuritySignature - Standardowo włączona (1) w Windows 2000/XP/2003, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą klienta)".

  • RequireSecuritySignature - Standardowo wyłączona (0) w Windows 2000/XP/2003, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)".

Wersja po stronie serwera:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters  

Wg. kolejności jak powyżej, wartości DWORD (wartość 1 - włącza, 0 - wyłącza opcje):

  • EnableSecuritySignature - Standardowo włączona (1) na kontrolerach domeny Windows 2000/2003, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (za zgodą klienta)".

  • RequireSecuritySignature - Standardowo włączona (1) na kontrolerach domeny Windows 2000/2003, odpowiada za "Serwer sieci Microsoft: podpisuj cyfrowo komunikacje (zawsze)"

Dodatkowo na serwerach Windows 2000/XP/2003 przy negocjacji podpisywania z klientami Windows NT 4.0 będziesz musiał zadziałać w rejestrze, gdyż ta opcja nie jest dostępna poprzez Zasady Grup czyli GPO. Jest to znany problem gdy NT 4.0 inicjuje sesje z serwerem Windows 2000/XP/2003 i tenże serwer zwraca odpowiedz odrzucającą połączenia z Windows 9x/NT. Możesz ten problem rozwiązać zaglądając do klucza w rejestrze:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\

Dodać tutaj wartość REG_DWORD: enableW9xsecuritysignature i ustawić ja na 1.

Będziesz musiał oczywiście pozostałe opcje SMB Signing na Windows 2000 wyłączyć, jak miałeś opisane wcześniej.

Samba 3.0/Unix

Od wersji 3.0 w pakiecie Samba wprowadzono możliwość podpisywania komunikacji, włącza ją się oczywiście poprzez wpis w pliku konfiguracyjnym smb.conf. Obie opcje odpowiedzialne za podpisywanie transmisji należy wstawić do sekcji [global].

client signing - opcja ta kontroluje zachowanie Samby gdy klient oferuje podpisaną komunikację smb, wartości jakie może przyjmować: auto (podpisywanie jest oferowane ale nie wymagane), mandatory (podpisywanie jest wymagane), disabled (wyłączona opcja). Standardowo opcja ta jest ustawiona: client signing = auto

server signing - opcja ta kontroluje zachowanie Samby czy serwer oferuje podpisaną komunikację smb, wartości jakie może przyjmować: auto (podpisywanie jest oferowane ale nie wymagane), mandatory (podpisywanie jest wymagane), disabled (wyłączona opcja). Standardowo opcja ta jest ustawiona: server signing = disabled

use spnego - opcja ta kontroluje zachowanie Samby żeby próbowała użyć "Simple and Protected Negociation" czyli SPNEGO (zdefiniowanego w rfc2478) przy komunikacji z klientami typu Windows 2000/XP/2003, gdy zgodzą się na ten mechanizm autentyfikacji. Standardowej opcji raczej nie będziesz miał potrzeby zmieniać i jest ustawiona: use spnego = yes

client use spnego - opcja ta kontroluje zachowanie klienta Samby żeby próbował użyć "Simple and Protected NEGOciation" czyli SPNEGO (zdefiniowanego w rfc2478) przy komunikacji z serwerami typu Windows 2000/XP/2003, gdy zgodzą się na ten mechanizm autentyfikacji. Standardowo opcja ta jest ustawiona: client use spnego = yes


Drukuj Dokument