SMB 签名的工作原理
服务器消息块 (SMB) 签名是一项安全功能,它使用会话密钥和密码套件向通过连接传输的消息添加签名。 此签名包含 SMB 标题中整个消息的哈希。 如果有人篡改传输中的消息,则被篡改消息中的数据与签名中的哈希值将不匹配。 该哈希还包括原始发送方和预期收件人的标识。 签名不匹配会提醒用户可能存在的恶意行为,帮助他们保护其部署免受中继和欺骗攻击。
SMB 签名要求可能涉及出站签名(涵盖来自 SMB 客户端的流量)和入站签名(涵盖到服务器的流量)。 Windows 和 Windows Server 可以仅要求出站签名、仅要求入站签名、两者都要求或两者都不要求。 例如:
- Windows 11 Insider 企业版、专业版和教育版需要出站和入站 SMB 签名。
- Windows Server 2025 仅需要出站 SMB 签名。
- Windows 11 Insider 家庭版不需要出站或入站 SMB 签名。
SMB 签名行为
尽管所有版本的 Windows 和 Windows Server 都支持 SMB 签名,但第三方可以选择禁用或不支持 SMB 签名。 如果尝试连接到不允许 SMB 签名的第三方 SMB 服务器上的远程共享,可能会遇到以下错误消息之一。