Protocole PME, Microsoft Il est utilisé pour permettre le partage de fichiers et d'imprimantes dans un réseau réseau. en transit SMB Pour aider à détecter les attaques de l'homme du milieu (MITM) susceptibles de manipuler le trafic, SMB Nous pouvons configurer la signature via la stratégie de groupe.
Table des matières
Signature PME, WindowsDisponible sur toutes les versions prises en charge de . Microsoft De plus, en fonction de facteurs tels que la version SMB, la taille des fichiers et le matériel spécifique utilisé, SMB signer le colis SMBIl est important de noter que cela peut réduire les performances de , ce qui est normal puisque nous signons chaque paquet qui passe par le réseau, ce qui ajoute une surcharge supplémentaire.
que SMB ne crypte pas le trafic, uniquement le client et le serveur SMB pour déterminer si le trafic a été modifié ou non. SMB Notez que nous allons configurer la signature.
Signature PME configuré selon notre environnement GPO Nous pouvons le faire en utilisant un nouveau GPO Il est recommandé de créer .
Pour ce processus, nous devons suivre GPO L'étape est la suivante ;
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
Signature PME doit être utilisé pour configurer 4 Il y a une politique, celle-ci Politiques Pour expliquer, nous pouvons faire une définition comme suit.


Serveur réseau Microsoft : communications signées numériquement (toujours)
Cette stratégie contrôle si le serveur fournisseur SMB requiert la signature des paquets, déterminant si la signature des paquets SMB doit être convenue avant que d'autres communications avec le client SMB ne soient autorisées.
Par défaut, ce paramètre est activé pour les contrôleurs de domaine, mais désactivé pour les autres serveurs membres du domaine.
Serveur réseau Microsoft : communications signées numériquement (si le client est d'accord)
Cette stratégie détermine si le serveur SMB négocie la signature des paquets SMB avec les clients demandeurs. Lorsque ce paramètre est activé, le serveur SMB négocie la signature des paquets SMB en fonction de la demande du client. Si la signature des paquets SMB est activée sur le client, elle est négociée par le serveur. Par défaut, cette stratégie est active uniquement sur les contrôleurs de domaine.
Client réseau Microsoft : signer numériquement les communications (toujours)
L'activation de cette stratégie garantit que le client SMB nécessite toujours la signature des paquets SMB. Si le serveur n'accepte pas de prendre en charge la signature de paquets SMB avec le client, celui-ci ne communiquera pas avec le serveur. Par défaut, cette stratégie est désactivée, ce qui signifie que SMB est autorisé par défaut sans nécessiter de signature de paquets. Il est toujours possible de négocier la signature d’un package, mais cela n’a pas besoin de fonctionner.
Client réseau Microsoft : communications signées numériquement (si le serveur l'accepte)
Cette stratégie est activée par défaut et détermine si le client SMB tente de négocier la signature des paquets SMB avec le serveur. Si cette option est désactivée, le client ne tentera pas du tout de négocier la signature des paquets SMB.
Remarque : Microsoft ne recommande plus d'utiliser les options « est-ce une agression du serveur et si une agression du client ».
Vous pouvez le configurer en fonction de ces options et lier le GPO créé à l'UO.