エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

SMB署名ポリシーがCIFSサーバーとの通信に与える影響

CIFSサーバーのSMB署名セキュリティ設定に加えて、クライアントとSVMのCIFSサーバー間の通信のデジタル署名を制御するWindowsクライアント上のSMB署名ポリシーが2つあります。ビジネス要件に合わせた設定を行うことができます。

クライアントSMBポリシーは、Microsoft管理コンソール(MMC)またはActive DirectoryのGPOを使用して設定したWindowsローカル セキュリティ ポリシー設定で制御されます。クライアントのSMB署名とセキュリティ問題の詳細については、Microsoft Windowsのマニュアルを参照してください。

ここでは、Microsoftクライアントの2つのSMB署名ポリシーについて説明します。

  • Microsoft network client: Digitally sign communications (if server agrees)

    この設定はクライアントのSMB署名機能を有効にするかを制御します。この機能はデフォルトで有効になっています。クライアントでこの設定を無効にすると、クライアントとCIFSサーバーとの通信はCIFSサーバーのSMB署名設定によって制御されます。

  • Microsoft network client: Digitally sign communications (always)

    この設定は、クライアントがサーバーとの通信にSMB署名を必要とするかを制御します。この設定はデフォルトでは無効になっています。クライアントでこの設定を無効にすると、SMB署名の動作は、「Microsoft network client: Digitally sign communications (if server agrees)」のポリシー設定とCIFSサーバーの設定によって制御されます。

    ご使用の環境に、SMB署名を必要とするように設定されたWindowsクライアントが含まれる場合、CIFSサーバー上のSMB署名を有効にする必要があります。有効にしない場合は、CIFSサーバーはこれらのシステムにデータを提供できません。

クライアントとCIFSサーバーの実質的なSMB署名設定は、SMBセッションでSMB 1.0が使用されるかSMB 2.x以降が使用されるかによって異なります。

次の表に、セッションでSMB 1.0が使用される場合のSMB署名の動作を示します。

クライアント ONTAP-署名が不要である ONTAP-署名が必要である

署名が無効になっており、不要である

署名されない

署名される

署名が有効になっており、不要である

署名されない

署名される

署名が無効になっており、必要である

署名される

署名される

署名が有効になっており、必要である

署名される

署名される

古いバージョンのWindowsのSMB 1クライアントや一部のWindows以外のSMB 1クライアントでは、クライアントでは署名が無効になっていてCIFSサーバーでは必要な場合、接続に失敗することがあります。

次の表に、セッションでSMB 2.xまたはSMB 3.0が使用される場合のSMB署名の動作を示します。

SMB 2.xクライアントおよびSMB 3.0クライアントでは、SMB署名は常に有効になります。無効にはできません。

クライアント ONTAP-署名が不要である ONTAP-署名が必要である

署名が不要である

署名されない

署名される

署名が必要である

署名される

署名される

次の表に、MicrosoftクライアントおよびサーバーのSMB署名のデフォルト動作を示します。

プロトコル ハッシュ アルゴリズム 有効と無効の切り替えが可能 必須と不要の切り替えが可能 クライアントのデフォルト サーバーのデフォルト DCのデフォルト

SMB 1.0

MD5

有効(不要)

無効(不要)

必須

SMB 2.x

HMAC SHA-256

×

不要

不要

必須

SMB 3.0

AES-CMAC

×

不要

不要

必須

現在Microsoftでは、「Digitally sign communications (if client agrees)」または「Digitally sign communications (if server agrees)」グループ ポリシー設定の使用を推奨していません。また、「EnableSecuritySignature」レジストリー設定の使用も推奨していません。これらのオプションは、SMB 1の動作にのみ影響を与え、「Digitally sign communications (always)」グループ ポリシー設定または「RequireSecuritySignature」レジストリー設定で置き換えることができます。

Top of Page