安全风险: SMB的数字签名通信

Question

我在一个控制工业过程的网络上有一台计算机(Windows)。本地安全策略>>本地策略>> Security >>中有一个选项"Microsoft :数字签名通信(总是)“。

默认情况下，应该在Windows机器上禁用此选项，但我们从供应商收到的所有计算机都启用了此功能，因此我只能假设它是有意的。为了备份到NAS，我不得不禁用这个功能。

我的问题是，考虑到这台机器位于控制工业过程的本地网络上，安全方面的考虑是什么？从微软的网站，我得到的印象是，它可以防止中间人攻击，以修改SMB数据包。这是完整的故事吗？

Answer 1

实际上，Microsoft将MITM预防列为此设置的唯一用途。而数字签名就是这样做的:证明数字信息的真实性。如果您的网络是可信的，并且MITM方案真的是(!)不可能，它可以被禁用。

显然，当启用它时，性能也会下降。因此，如果出于性能原因禁用它：你用表现来换取安全。