|
|
Windows 2000では、SMBレベルのメッセージに対して、メッセージダイジェスト関数を用いたデジタル署名を行う機能が提供されています。この機能を利用することで、サーバとクライアントにおいて相互認証が可能になり、中継攻撃を防ぐことができます。
デジタル署名を利用するには、クライアントとサーバにおいて以下の設定が行われている必要があります。なお、「RequireSecuritySignature」が設定されている場合、通信相手側で「EnableSecuritySignature」が設定されてない場合には接続ができません。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
サーバ
| Key | HKLM\System\CurrentControlSet\Services\LanManServer\Parameters |
| Name | EnableSecuritySignature |
| Type | REG_DWORD |
| Value | 0 (無効), 1 (有効) デフォルトでは無効(0) |
| Key | HKLM\System\CurrentControlSet\Services\LanManServer\Parameters |
| Name | RequireSecuritySignature |
| Type | REG_DWORD |
| Value | 0 (無効), 1 (有効) デフォルトでは無効(0) |
クライアント
| Key | HKLM\System\CurrentControlSet\Services\Rdr\Parameters |
| Name | EnableSecuritySignature |
| Type | REG_DWORD |
| Value | 0 (無効), 1 (有効) デフォルトで有効(1) |
| Key | HKLM\System\CurrentControlSet\Services\Rdr\Parameters |
| Name | RequireSecuritySignature |
| Type | REG_DWORD |
| Value | 0 (無効), 1 (有効) デフォルトでは無効(0) |
「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。
可能な場合、クライアントの通信にデジタル署名を行う
可能な場合、サーバーの通信にデジタル署名を行う
常にクライアント側の通信にデジタル署名を行う
常にサーバーの通信にデジタル署名を行う
設定値による動作の違いは以下の表のようになります。
○ : 接続可能、署名有効
△ : 接続可能、署名無効
× : 接続不可
Ess : EnableSecuritySignature
Rss : RequireSecuritySignature
サーバ |
||||
ワークステーション |
Ess = 0 |
Ess = 0 |
Ess = 1 |
Ess = 1 |
Ess = 0 |
△ |
△ |
△ |
× |
|
Ess = 0 |
△ |
△ |
△ |
× |
Ess = 1 |
△ |
△ |
○ |
○ |
|
Ess = 1 |
× |
× |
○ |
○ |