"Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う"(Windows 10 セキュリティオプション)に関して説明します。
スポンサード リンク
設定項目:
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行うパス:
ローカルコンピュータポリシー\コンピュータの構成\Windowsの設定\セキュリティの設定\ローカル ポリシー\セキュリティオプション
設定ツール起動方法:セキュリティオプションの設定方法
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
このセキュリティ設定を使用して、SMB クライアント コンポーネントがパケット署名を必要とするかどうかを決定します。
サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB サーバーとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。
この設定を有効にすると、Microsoft ネットワーク クライアントは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク サーバーとは通信しません。このポリシーを無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。
既定値: 無効。
重要
Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、クライアント側のパケット署名も有効にされている必要があります。クライアント側 SMB パケット署名を有効にするには、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" を設定します。
このポリシーが設定されたコンピューターは、サーバー側パケット署名が有効にされていないコンピューターとは通信できません。既定では、サーバー側パケット署名は、Windows 2000 以降を実行しているドメイン コントローラーでのみ有効にされています。
Windows 2000 以降を実行しているコンピューターでサーバー側パケット署名を有効にするには、"Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う" を設定します。
Windows NT 4.0 Service Pack 3 以降を実行しているコンピューターでサーバー側パケット署名を有効にするには、次のレジストリ値を 1 に設定します。
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
Windows 95 または Windows 98 を実行しているコンピューターではサーバー側パケット署名を有効にすることはできません。
注意
すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。SMB パケット署名の利点を生かすには、通信に関与するクライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方で、SMB パケット署名を有効にするかまたは要求する必要があります。Windows 2000 以降のオペレーティング システムでは、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
サーバー側 SMB 署名が要求される場合、クライアントは、クライアント側 SMB 署名が有効にされていないサーバーとはセッションを確立できません。既定では、クライアント側 SMB 署名は、ワークステーション、サーバー、およびドメイン コントローラー上で有効にされています。同様に、クライアント側 SMB 署名が要求される場合、クライアントは、パケット署名が有効にされていないサーバーとはセッションを確立できません。既定では、サーバー側 SMB 署名は、ドメイン コントローラー上でのみ有効にされています。
サーバー側 SMB 署名が有効にされている場合、クライアント側 SMB 署名が有効にされているクライアントとの間で SMB パケット署名がネゴシエートされます。
SMB パケット署名を使用することにより、ファイル サービス トランザクションのパフォーマンスが最大 15% 低下することがあります。
スポンサード リンク
(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)