Übersicht über die Signierung von Server message Block
In diesem Artikel wird die SMB-Signatur (Server Message Block) 2.x und 3.x beschrieben, und es wird beschrieben, wie Sie ermitteln, ob eine SMB-Signatur erforderlich ist.
Einführung
Die SMB-Signatur (auch als Sicherheitssignaturen bezeichnet) ist ein Sicherheitsmechanismus im SMB-Protokoll. SMB-Signatur bedeutet, dass jede SMB-Nachricht eine Signatur enthält, die mithilfe des Sitzungsschlüssels generiert wird. Der Client fügt einen Hash der gesamten Nachricht in das Signaturfeld des SMB-Headers ein.
SMB-Signierung erschien zuerst in Microsoft Windows 2000, Microsoft Windows NT 4.0 und Microsoft Windows 98. Signaturalgorithmen haben sich im Laufe der Zeit weiterentwickelt. Die SMB 2.02-Signatur wurde durch die Einführung des HMAC-SHA-256 (Hash-Based Message Authentication Code) verbessert und ersetzte die alte MD5-Methode aus den späten 1990er Jahren, die in SMB1 verwendet wurde. SMB 3.0 hat AES-CMAC-Algorithmen hinzugefügt. In Windows Server 2022 und Windows 11 wurde die Signierbeschleunigung von AES-128-GMAC hinzugefügt. Wenn Sie die beste Kombination aus Leistung und Schutz wünschen, sollten Sie ein Upgrade auf die neuesten Windows-Versionen in Erwägung ziehen.
Schützen der Verbindung durch die SMB-Signatur
Wenn jemand während der Übertragung eine Nachricht ändert, stimmt der Hash nicht überein, und SMB weiß, dass jemand die Daten manipuliert hat. Die Signatur bestätigt auch die Identitäten des Absenders und Empfängers. Dadurch werden Relayangriffe verhindert. Im Idealfall verwenden Sie Kerberos anstelle von NTLMv2, sodass Ihr Sitzungsschlüssel stark beginnt. Stellen Sie keine Verbindung mit Freigaben mithilfe von IP-Adressen her, und verwenden Sie keine CNAME-Einträge. Andernfalls verwenden Sie NTLM anstelle von Kerberos. Verwenden Sie stattdessen Kerberos. Weitere Informationen finden Sie unter Verwenden von Computernamenaliasen anstelle von DNS-CNAME-Einträgen .
Richtlinienspeicherorte für die SMB-Signatur
Die Richtlinien für die SMB-Signatur finden Sie unter Computerkonfiguration>Windows Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen.
- Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)
Registrierungsschlüssel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registrierungswert: RequireSecuritySignature
Datentyp: REG_DWORD
Daten: 0 (deaktivieren), 1 (aktivieren) - Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)
Registrierungsschlüssel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registrierungswert: EnableSecuritySignature
Datentyp: REG_DWORD
Daten: 0 (deaktivieren), 1 (aktivieren) - Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)
Registrierungsschlüssel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registrierungswert: RequireSecuritySignature
Datentyp: REG_DWORD
Daten: 0 (deaktivieren), 1 (aktivieren) - Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)
Registrierungsschlüssel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registrierungswert: EnableSecuritySignature
Datentyp: REG_DWORD
Daten: 0 (deaktivieren), 1 (aktivieren)
Hinweis In diesen Richtlinien gibt "always" an, dass die SMB-Signatur erforderlich ist, und "wenn der Server zustimmt" oder "wenn der Client zustimmt" bedeutet, dass die SMB-Signatur aktiviert ist.
Grundlegendes zu "RequireSecuritySignature" und "EnableSecuritySignature"
Die Registrierungseinstellung EnableSecuritySignature für den SMB2+-Client und den SMB2+-Server wird ignoriert. Daher bewirkt diese Einstellung nichts, es sei denn, Sie verwenden SMB1. Die Signierung von SMB 2.02 und höher wird ausschließlich durch erforderlich oder nicht gesteuert. Diese Einstellung wird verwendet, wenn entweder der Server oder der Client SMB-Signierung erfordert. Nur wenn die Signatur auf 0 ( 0 ) festgelegt ist, erfolgt keine Signierung.
| - | Server – RequireSecuritySignature=1 | Server – RequireSecuritySignature=0 |
|---|---|---|
| Client – RequireSecuritySignature=1 | Signed | Signed |
| Client – RequireSecuritySignature=0 | Signed | Nicht signiert |
Referenz
Konfigurieren der SMB-Signatur mit Vertrauen
Schützen von Benutzern vor Abfangangriffen über SMB-Clientschutz
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für