SMB 签名策略如何影响与 CIFS 服务器进行通信
除了 CIFS 服务器 SMB 签名安全设置,Windows 客户端还有两个 SMB 签名策略可控制客户端和 CIFS 服务器之间通信的数字签名。可配置能满足业务需求的设置。
客户端 SMB 策略通过 Windows 本地安全策略设置控制,而后者可使用 Microsoft Management Console(MMC)或 Active Directory GPO 进行配置。有关客户端 SMB 签名和安全问题的更多信息,请参阅相关 Microsoft Windows 文档。
以下是 Microsoft 客户端上两个 SMB 签名策略的描述:
Microsoft network client: Digitally sign communications (if server agrees)
此设置控制是否启用客户端的 SMB 签名功能。它在默认情况下处于启用状态。客户端上禁用此设置时,则与 CIFS 服务器的客户端通信将取决于 CIFS 服务器上的 SMB 签名设置。
Microsoft network client: Digitally sign communications (always)
此设置控制客户端是否需要 SMB 签名与服务器进行通信。默认情况下,其处于禁用状态。客户端上禁用此设置时,SMB 签名行为将取决于 Microsoft network client: Digitally sign communications (if server agrees) 策略设置和 CIFS 服务器的设置。
注如果您环境中包括的 Windows 客户端已配置为需要 SMB 签名,则必须在 CIFS 服务器上启用 SMB 签名。如果不启用,CIFS 服务器将无法为这些系统提供数据。
客户端和 CIFS 服务器 SMB 签名设置的有效结果取决于 SMB 会话是否使用 SMB 1.0 或 SMB 2.x 和更高版本。
下表概括了会话使用 SMB 1.0 时有效的 SMB 签名行为:
| 客户端 | ONTAP — 不需要签名 | ONTAP — 需要签名 |
|---|---|---|
| 签名已禁用且不需要 | 未签名 | 已签名 |
| 签名已启用但不需要 | 未签名 | 已签名 |
| 签名已禁用但需要 | 已签名 | 已签名 |
| 签名已启用且需要 | 已签名 | 已签名 |
下表概括了会话使用 SMB 2.x 或 SMB 3.0 时有效的 SMB 签名行为:
| 客户端 | ONTAP — 不需要签名 | ONTAP — 需要签名 |
|---|---|---|
| 不需要签名 | 未签名 | 已签名 |
| 需要签名 | 已签名 | 已签名 |
下表概括了默认 Microsoft 客户端和服务器 SMB 签名行为:
| 协议 | 哈希算法 | 可启用/禁用 | 可需要/不需要 | 客户端默认 | 服务器默认 | DC 默认 |
|---|---|---|---|---|---|---|
| SMB 1.0 | MD5 | 是 | 是 | 已启用(不需要) | 已禁用(不需要) | 必需 |
| SMB 2.x | HMAC SHA-256 | 否 | 是 | 不需要 | 不需要 | 必需 |
| SMB 3.0 | AES-CMAC。 | 否 | 是 | 不需要 | 不需要 | 必需 |
Microsoft 不推荐使用 Digitally sign communications (if client agrees) 或 Digitally sign communications (if server agrees) 组策略设置。Microsoft 也不推荐使用 EnableSecuritySignature 注册表设置。这些选项仅影响 SMB 1 行为,并可由 Digitally sign communications (always) 组策略设置或 RequireSecuritySignature 注册表设置替代。此外,还可以从 Microsoft 博客获得更多信息。