在此页上,提供有关所选服务器以及与其进行通信的客户端的信息。

此安全设置确定服务器消息块 (SMB) 服务器组件是否要求进行数据包签名。

SMB 协议为 Microsoft 文件和打印共享以及许多其他网络操作(例如远程 Windows 管理)提供基础。为了帮助避免受到修改传输中的 SMB 数据包的攻击,SMB 协议支持 SMB 数据包的数字签名。此策略设置确定在允许与 SMB 客户端进行进一步通信之前,是否必须协商 SMB 数据包签名。

如果启用此设置,除非 Microsoft 网络客户端同意进行 SMB 数据包签名,否则,Microsoft 网络服务器不会与该客户端进行通信。

注意
  • 所有 Windows 操作系统均支持客户端 SMB 组件和服务器端 SMB 组件。若要利用 SMB 数据包签名,通信中涉及的客户端 SMB 组件和服务器端 SMB 组件必须均启用或要求进行 SMB 数据包签名。
  • 如果要求进行服务器端 SMB 签名,除非客户端已启用了客户端 SMB 签名,否则,客户端将无法与该服务器建立会话。默认情况下,在工作站、服务器和域控制器上启用客户端 SMB 签名。
  • 同样,如果要求进行客户端 SMB 签名,客户端将无法与未启用数据包签名的服务器建立会话。默认情况下,只在域控制器上启用服务器端 SMB 签名。
重要

使用 SMB 数据包签名可能会使文件服务事务的性能降低多达 15%。

注册表项

  • HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature

关联的安全设置

  • Microsoft 网络服务器:对通信进行数字签名(始终)

如果提供的信息不准确,可能会中断所选服务器与网络上的其他计算机之间的通信。

有关此安全设置的详细信息,请参阅“Microsoft 网络服务:对通信进行数字签名(始终)”(https://go.microsoft.com/fwlink/?LinkId=91043)(可能为英文网页)。

其他参考