SMB protokoll krüpteerib andmeid kõigi Windowsi operatsioonisüsteemide failide jagamise, printeri jagamise ja Windowsi haldamise jaoks, et vältida edastatavate pakettide muutmist. See funktsioon peab olema aktiveeritud nii serveri kui ka kliendi poolel. Selle tulemusena ei saa ilma SMB allkirjata kliendi arvutid serveriga suhelda.
***SMB paketi allkirjastamise aktiveerimine vähendab failiteenuse toimingute jõudlust 15%.
Vastav registri seade:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
Selle haavatavuse eest on võimalik end kaitsta, aktiveerides seade “Microsoft network server: Digitally sign communications (always)”.
Kui teete seda kohalikus arvutis
start>käivita>Gpedit kohaliku turvalisuse seadetes
Microsoft network client: Digitally sign communications (always) tuleb lubada
Kui kasutate GPO-d, saate järgida samu samme, Gpediti asemel saate luua rühmapoliitika.
Lisaks saate pärast testimist muuta järgmiste poliitikate seadeid:
Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Security Options
Disable Microsoft Network Client: Digitally Sign Communications (Always).
Disable Microsoft Network Server: Digitally Sign Communications (Always).
Enable Microsoft Network Client: Digitally Sign Communications (If Server Agrees).
Enable Microsoft Network Server: Digitally Sign Communications (If Client Agrees).
Kui allkirjastamine pole teie süsteemis kliendi ja serveri poolel aktiveeritud, ei pruugi te pääseda ligi jagatud kaustadele. Seetõttu soovitame mitte katsetada seda tootmissüsteemidel ilma eelneva testimiseta.
