Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Ihr Browser wird nicht unterstützt.

Sie müssen Ihren Browser aktualisieren, um die Website zu verwenden.

Aktualisieren Sie auf die neueste Version von Internet Explorer.

Überblick über SMB-Signaturen

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
887429 Overview of Server Message Block signing
Einführung
In diesem Artikel werden SMB-Signaturen (SMB = Server Message Block) beschrieben. Bei SMB-Signaturen, die auch als Sicherheitssignaturen bezeichnet werden, handelt es sich um einen Sicherheitsmechanismus im SMB-Protokoll. SMB-Signaturen wurden zur Verbesserung der Sicherheit des SMB-Protokolls entwickelt.SMB-Signaturen standen erstmals unter Microsoft Windows NT 4.0 Service Pack 3 (SP3) und Microsoft Windows 98 zur Verfügung.

Dieser Artikel behandelt die folgenden SMB-Themen:
  • Die Standardkonfiguration von SMB-Signaturen
  • Konfigurieren von SMB-Signaturen unter Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 und Windows 98
  • Bestimmen, ob SMB-Signaturen in einer Ablaufverfolgung in einem Netzwerkmonitor aktiviert sind
  • Beispiele für Szenarien von SMB-Signaturen
Weitere Informationen

Standardkonfiguration für den Arbeitsstationdienst und den Serverdienst

SMB-Signaturen und Sicherheitssignaturen können für den Arbeitsstationdienst und für den Serverdienst konfiguriert werden. Der Arbeitsstationdienst wird für ausgehende Verbindungen verwendet, der Serverdienst für eingehende Verbindungen.

Wenn SMB-Signaturen aktiviert sind, ist es möglich, dass sowohl Clients, die SMB-Signaturen unterstützen, als auch Clients, die SMB-Signaturen nicht unterstützen, eine Verbindung herstellen. Wenn SMB-Signaturen erforderlich sind, müssen beide Computer in der SMB-Verbindung SMB-Signaturen unterstützen. Die SMB-Verbindung ist nicht erfolgreich, wenn ein Computer SMB-Signaturen nicht unterstützt. Standardmäßig sind SMB-Signaturen für ausgehende SMB-Sitzungen in den folgenden Betriebssystemen aktiviert:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
Standardmäßig sind SMB-Signaturen für eingehende SMB-Sitzungen in den folgenden Betriebssystemen aktiviert:
  • Windows Server 2003-Domänencontroller
  • Windows 2000 Server-Domänencontroller
  • Windows NT 4.0 Server-Domänencontroller
Standardmäßig sind SMB-Signaturen für eingehende SMB-Sitzungen auf Windows Server 2003-Domänencontrollern erforderlich.

Konfigurieren von SMB-Signaturen

Es wird empfohlen, Gruppenrichtlinien zu verwenden, um SMB-Signaturen zu konfigurieren, da eine Änderung eines lokalen Registrierungswertes nicht ordnungsgemäß funktioniert, wenn es eine überschreibende Domänenrichtlinie gibt. Die folgenden Registrierungswerte ändern sich, wenn die zugehörige Gruppenrichtlinie konfiguriert wird.

Speicherorte der Richtlinie für SMB-Signaturen

Hinweis: Die folgenden Gruppenrichtlinieneinstellungen finden Sie im Gruppenrichtlinienobjekt-Editor unter "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen".
Windows Server 2003 - Gruppenrichtlinie für Standarddomänencontroller
Arbeitsstation/Client
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Richtlinieneinstellungen: Nicht definiert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Richtlinieneinstellung: Nicht definiert Effektive Einstellung: Aktiviert (aufgrund einer lokalen Richtlinie)

Server
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Richtlinieneinstellung: Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Richtlinieneinstellung: Aktiviert
Windows XP and 2003 - Gruppenrichtlinie für lokalen Computer
Arbeitsstation/Client
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Sicherheitseinstellung: Deaktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Sicherheitseinstellung: Aktiviert

Server
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Sicherheitseinstellung: Deaktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Client zustimmt) Sicherheitseinstellung: Deaktiviert
Windows 2000 - Gruppenrichtlinie für Standarddomänencontroller
Arbeitsstation/Client
Clientkommunikation digital signieren (immer) Computereinstellung: Nicht definiert
Clientkommunikation digital signieren (wenn möglich) Computereinstellung: Nicht definiert:

Server
Serverkommunikation digital signieren (immer) Computereinstellung: Nicht definiert
Serverkommunikation digital signieren (wenn möglich) Computereinstellung: Aktiviert
Windows 2000 - Gruppenrichtlinie für lokalen Computer
Arbeitsstation/Client
Kommunikation digital signieren (immer) Lokale Einstellung: Deaktiviert Effektive Einstellung: Deaktiviert
Clientkommunikation digital signieren (wenn möglich) Lokale Einstellung: Aktiviert Effektive Einstellung: Aktiviert

Server
Serverkommunikation digital signieren (immer) Lokale Einstellung: Deaktiviert Effektive Einstellung: Deaktiviert
Serverkommunikation digital signieren (wenn möglich) Lokale Einstellung: Deaktiviert Effektive Einstellung: Deaktiviert

Registrierungswerte, die der Gruppenrichtlinienkonfiguration für Windows Server 2003, Windows XP und Windows 2000 zugeordnet sind

Client
In Windows Server 2003 und Windows XP ist die Gruppenrichtlinie "Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)" und in Windows 2000 die Gruppenrichtlinie "Clientkommunikation digital signieren (wenn möglich)" dem folgenden Registrierungsunterschlüssel zugeordnet:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Wertname: EnableSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows Server 2003, Windows XP und Windows 2000 ist 1 (aktiviert).

In Windows Server 2003 und Windows XP ist die Gruppenrichtlinie "Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)" und in Windows 2000 die Gruppenrichtlinie "Clientkommunikation digital signieren (immer)" dem folgenden Registrierungsunterschlüssel zugeordnet:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Wertname: RequireSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows Server 2003, Windows XP und Windows 2000 ist 0 (nicht erforderlich).
Server
In Windows Server 2003 und Windows XP ist die Gruppenrichtlinie "Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Client zustimmt)" und in Windows 2000 die Gruppenrichtlinie "Serverkommunikation digital signieren (wenn möglich)" dem folgenden Registrierungsschlüssel zugeordnet:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Wertname: EnableSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows Server 2003- und Windows 2000-Domänencontrollern ist 1 (aktiviert). Der Standardwert in Windows NT 4.0-Domänencontrollern ist 0 (deaktiviert).
Die Windows Server 2003- und Windows XP-Richtlinie hat den Namen "Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)".
Die Windows 2000-Richtlinie hat den Namen "Serverkommunikation digital signieren (immer)", und beide sind dem folgenden Registrierungsschlüssel zugeordnet:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Wertname: RequireSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows Server 2003- und Windows 2000-Domänencontrollern ist 1 (erforderlich). Der Standardwert in Windows NT 4.0-Domänencontrollern ist 0 (nicht erforderlich).
Damit Windows NT 4.0-Computer eine Verbindung zu Windows 2000-Computern mithilfe von SMB-Signaturen herstellen können, müssen Sie folgenden Registrierungswert auf den Windows 2000-Computern erstellen:
Wertname: enableW9xsecuritysignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)
Hinweis: Es gibt keine Gruppenrichtlinie, die dem Registrierungswert "EnableW9xsecuritysignature" zugeordnet ist.

Konfigurieren von SMB-Signaturen in Windows NT 4.0

Client digital signieren: (Beachten Sie, dass dies der RDR-Schlüssel ist - nicht LanmanWorkstation wie in Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Wertname: EnableSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert bei Computern, auf denen Windows NT 4.0 SP3 oder eine höhere Version von Windows ausgeführt wird, ist 1 (aktiviert).
Wertname: RequireSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert bei Computern, auf denen Windows NT 4.0 SP3 oder eine höhere Version von Windows ausgeführt wird, ist 0 (nicht erforderlich).
"Server digital signieren" in der Richtlinie ist folgendem Registrierungsschlüssel zugeordnet:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Wertname: EnableSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert bei Windows Server 2003-, Windows 2000- und Windows NT 4.0-Domänencontrollern ist 1 (aktiviert). Der Standardwert bei allen anderen Computern, auf denen Windows NT 4.0 SP3 oder eine höhere Version von Windows ausgeführt wird, ist 0 (deaktiviert).
Wertname: RequireSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert bei Windows Server 2003-Domänencontrollern ist 1 (erforderlich). Der Standardwert bei allen anderen Computern, auf denen Windows NT 4.0 SP3 oder eine höhere Version von Windows ausgeführt wird, ist 0 (nicht erforderlich).


Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
161372 Aktivieren von SMB-Signaturen in Windows NT

Konfigurieren von SMB-Signaturen in Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Fügen Sie die folgenden beiden Registrierungswerte diesem Registrierungsunterschlüssel hinzu:
Wertname: EnableSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows 98 ist 1 (aktiviert).
Wertname: RequireSecuritySignature
Datentyp: REG_DWORD
Wert: 0 (deaktiviert), 1 (aktiviert)

Hinweis: Der Standardwert in Windows 98 ist 0 (deaktiviert).

Bestimmen, ob SMB-Signaturen in einer Ablaufverfolgung in einem Netzwerkmonitor aktiviert sind

Um zu bestimmen, ob SMB-Signaturen aktiviert sind, auf dem Server erforderlich sind, oder beides, sehen Sie sich die Negotiate Dialect-Meldung vom Server an:

SMB: R negotiate, Dialect # = 5 SMB: Command = R negotiate SMB: Security Mode Summary (NT) = [a value of 3, 7 or 15] SMB: .......1 = User level security SMB: ......1. = Encrypt passwords


In dieser Antwort stellt das Feld "Security Mode Summary (NT) =" die konfigurierten Optionen auf dem Server dar. Dieser Wert ist entweder 3, 7 oder 15.

Weitere Informationen zur Konfiguration des Netzwerkmonitors finden Sie im folgenden Artikel der Microsoft Knowledge Base:
812953 Wie Verwenden von Netzwerkmonitor zu Aufzeichnung von Netzwerkverkehr
Die folgenden Informationen dienen als Verständnishilfe, was die Zahlen in der Negotiate Dialect-Meldung jeweils bedeuten:
UCHAR SecurityMode; Sicherheitsmodus:
bit 0: 0 = Freigabe
bit 0: 1 = Benutzer
bit 1: 1 = verschlüsselte Kennwörter
bit 2: 1 = Sicherheitssignaturen (SMB-Sequenznummern) aktiviert
bit 3: 1 = Sicherheitssignaturen (SMB-Sequenznummern) erforderlich


Wenn SMB-Signaturen auf dem Server deaktiviert sind, ist der Wert 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Wenn SMB-Signaturen auf dem Server aktiviert und nicht erforderlich sind, ist der Wert 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Wenn SMB-Signaturen auf dem Server aktiviert und erforderlich sind, ist der Wert 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Weitere Informationen zu CIFS finden Sie auf der folgenden Microsoft-Website:

Szenarien von SMB-Signaturen

Das Verhalten der SMB-Sitzung nach Dialect Negotiation zeigt die Clientkonfiguration an.

Wenn SMB-Signaturen sowohl auf dem Client als auch auf dem Server aktiviert und erforderlich sind oder wenn SMB-Signaturen auf dem Client und auf dem Server deaktiviert sind, ist die Verbindung erfolgreich.

Wenn SMB-Signaturen auf dem Client aktiviert und erforderlich und auf dem Server deaktiviert sind, wird die Verbindung zu der TCP-Sitzung nach Dialect Negotiation ordnungsgemäß geschlossen, und der Client erhält die folgende Fehlermeldung des Typs "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Systemfehler 1240 ist aufgetreten. Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
Wenn SMB-Signaturen auf dem Client deaktiviert und auf dem Server aktiviert und erforderlich sind, erhält der Client die Fehlermeldung "STATUS_ACCESS_DENIED", wenn er eine Antwort auf "Verzeichnisverbindung (Tree Connect)" oder "Transact2 for DFS"-Verweise erhält.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 887429 – Letzte Überarbeitung: 05/03/2006 07:30:00 – Revision: 2.1

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
  • kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429
Feedback
pendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >>ow.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");