|
Возможные проблемы с политиками подписывания SMB
|
| bet | 26/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Если политики подписывания блоков сообщений сервера (SMB) включены, то при попытке клиента SMB версии 1 начать на сервере негостевой или неанонимный сеанс серверу разрешается использовать подписи безопасности. Последующие сеансы наследуют уже установленную цепочку подписей.
В целях повышения безопасности ОС Windows 7, Windows Vista и Windows Server 2008 не позволяют злонамеренно низвести прошедшие проверку подлинности подключения сервера до гостевого или анонимного сеанса. Однако, эти средства защиты не работают должным образом, если контроллер домена управляется ОС Windows Server 2003, а на клиентских компьютерах установлены Windows Vista с пакетом обновления 1 (SP1) или Windows Server 2008. Иными словами, проблемной является ситуация, когда на контроллере домена под управлением Windows Server 2003 включены следующие политики:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (always) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Майкрософт: использовать цифровую подпись (всегда);
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (if client agrees) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Майкрософт: использовать цифровую подпись (с согласия клиента).
При этом в том же домене на клиентских компьютерах под управлением ОС Windows Vista с пакетом обновления 1 (SP1) или Windows Server 2008 включены такие политики:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (always) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Клиент сети Майкрософт: использовать цифровую подпись (всегда);
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (If server agrees) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Клиент сети Майкрософт: использовать цифровую подпись (с согласия сервера).
Эта проблема была устранена в Windows Server 2008 с пакетом обновления 2 (SP2) и Windows Vista с пакетом обновления 2 (SP2). Подробнее см. статью базы знаний Майкрософт номер 950876 «При включении некоторых политик подписывания SMB параметры групповой политики не применяются к компьютерам-участникам домена, работающим под управлением Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)».
|
| |
