コンピューターの構成\ポリシー\Windowsの設定\セキュリティの設定\ローカルポリシー

コンピュータの構成
└ポリシー
　└Windowsの設定
　　└セキュリティの設定
　　　└ローカルポリシー
　　　　└セキュリティ オプション
　　　　　★ココ★

Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う

 

このセキュリティ設定を使用して、SMB サーバー コンポーネントがパケット署名を必要とするかどうかを決定します。

 

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。

 

この設定を有効にすると、Microsoft ネットワーク サーバーは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク クライアントとは通信しません。この設定を無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。

 

既定値:

 

メンバー サーバーでは無効。
ドメイン コントローラーでは有効。

 

注意

 

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
同様に、クライアント側 SMB 署名が要求される場合、クライアントは、パケット署名が有効にされていないサーバーとはセッションを確立できません。既定では、サーバー側 SMB 署名は、ドメイン コントローラー上でのみ有効にされています。
サーバー側 SMB 署名が有効にされている場合、クライアント側 SMB 署名が有効にされているクライアントとの間で SMB パケット署名がネゴシエートされます。
SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。

 

重要

 

Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、サーバー側のパケット署名も有効にされている必要があります。サーバー側 SMB パケット署名を有効にするには、次のポリシーを設定します。
Microsoft ネットワーク サーバー: サーバーが同意すれば、通信にデジタル署名を行う

 

Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名をネゴシエートするには、Windows 2000 サーバーで次のレジストリ値を 1 に設定する必要があります。
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
詳細については、https://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。

• 有効
• 無効