Gilt für
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 9. September 2025KB-ID: 5066913

Zusammenfassung

Der SMB-Server unterstützt bereits zwei Mechanismen zum Härten gegen Relayangriffe: 

  • Signieren des SMB-Servers

  • Erweiterter SMB-Serverschutz für die Authentifizierung (EPA)

In einigen Kundenumgebungen stellt das Erzwingen eines dieser Härtungsmechanismen Kompatibilitätsrisiken dar, da einige Legacysysteme und Implementierungen von Drittanbietern möglicherweise keine SMB-Serversignatur oder SMB-Server-EPA unterstützen. 

Im Rahmen der Windows-Updates, die am und nach dem 9. September 2025 (CVE-2025-55234) veröffentlicht wurden, wird unterstützung für die Überwachung der SMB-Clientkompatibilität für die SMB-Serversignatur sowie für die SMB-Server-EPA aktiviert. Auf diese Weise können Kunden ihre Umgebung bewerten und potenzielle Geräte- oder Softwareinkompatibilitätsprobleme identifizieren, bevor sie die Härtungsmaßnahmen bereitstellen, die bereits von SMB Server unterstützt werden.

Hintergrund

Der SMB-Server ist abhängig von der Konfiguration möglicherweise anfällig für Relayangriffe. Um dieses Sicherheitsrisiko zu verhindern, hat Microsoft die folgenden Entschärfungen veröffentlicht: 

SMB Server EPA

Signieren des SMB-Servers

Kunden müssen entweder SMB Server so konfigurieren, dass die SMB Server-Signatur erforderlich ist, oder SMB Server EPA aktivieren, um ihre Systeme gegen diese Angriffsklasse zu härten. ​​​​​​​​​​​​​​

SMB-Server mit global aktivierter Verschlüsselung und keinem unverschlüsselten Zugriff sind ebenfalls vor Relayangriffen geschützt. Weitere Informationen finden Sie unter SMB-Sicherheitserweiterungen.

Aktivieren der Überwachungsunterstützung für die SMB-Serversignatur

Standardmäßig ist die Überwachung für die SMB Server-Signatur deaktiviert. Dies kann sowohl für den SMBv1-Server als auch für den SMB2/3-Server über Gruppenrichtlinie oder Registrierungseinstellungen aktiviert werden.

Gruppenrichtlinien

Richtlinienspeicherort

Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server

Richtlinienname

Das Signieren wird vom Überwachungsclient nicht unterstützt.

Richtlinienzustände

  • Deaktiviert– Überwachung deaktivieren

  • Aktiviert: Aktivieren der Überwachung

  • Nicht konfiguriert (Standard) – Befolgen der Registrierungskonfiguration

Registrierung

Registrierungspfad

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (Standard) – Überwachung deaktivieren

  • 1 – Aktivieren der Überwachung

SMB-Server signieren Überwachungsereignisse

Ereignisprotokoll

Microsoft-Windows-SMBServer/Audit

Veranstaltungstyp

Warnung

Ereignisquelle

Microsoft-Windows-SMBServer

Ereigniskennung

3021

Ereignistext

Der SMB-Server hat festgestellt, dass der Client signieren nicht unterstützt. 

Clientname: <>

Benutzername: <>

Server erfordert Signierung: <>

Ereignisprotokoll

Microsoft-Windows-SMBServer/Audit

Veranstaltungstyp

Warnung

Ereignisquelle

Microsoft-Windows-SMBServer

Ereigniskennung

3027

Ereignistext

Der SMBv1-Server hat festgestellt, dass die Signatur auf dem SMBv1-Client nicht aktiviert ist.

Clientname: <>

Server erfordert Signierung: <>

Leitfaden: Dieses Ereignis gibt an, dass der SMBv1-Client möglicherweise das Aktivieren der Überwachungsunterstützung für die SMB-Signatur nicht unterstützt, aber aufgrund von Protokollbeschränkungen kann dies nicht mit Sicherheit bestimmt werden. Eine weitere Auswertung wird empfohlen, um die Signaturfunktionen des Clients zu überprüfen. 

Vor Windows Vista konnten SMBv1-Clients, für die die Signierung nicht explizit aktiviert war, die Aktivierung der Überwachungsunterstützung für die SMB-Signatur nicht ausführen. 

Dieses Verhalten wurde mit der Veröffentlichung von Windows Vista geändert und wurde auch durch Updates auf Windows XP und Windows Server 2003 zurückportiert. Mit diesen Änderungen unterstützen SMB-Clients möglicherweise signieren, auch wenn sie nicht explizit aktiviert ist, sofern der Server dies erfordert. 

Notizen

  • Clients, die die Signatur ordnungsgemäß implementieren, diese Unterstützung aber nicht ankündigen, führen zu falsch positiven Ergebnissen.

  • Clients, die Unterstützung für signieren, aber nicht ordnungsgemäß implementieren, führen zu falsch negativen Ergebnissen.

Aktivieren der Überwachungsunterstützung für SMB Server EPA

Standardmäßig ist die Überwachung für SMB Server EPA deaktiviert. Dies kann sowohl für den SMBv1-Server als auch für den SMB2/3-Server über Gruppenrichtlinie oder Registrierungseinstellungen aktiviert werden.

Gruppenrichtlinien

Richtlinienspeicherort

Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server

Richtlinienname

SpN-Unterstützung des SMB-Clients überwachen

Richtlinienzustände

  • Deaktiviert– Überwachung deaktivieren

  • Aktiviert: Aktivieren der Überwachung

  • Nicht konfiguriert (Standard) – Befolgen der Registrierungskonfiguration

Registrierung

Registrierungspfad

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (Standard) – Deaktivieren der SPN-Überwachung

  • 1 – Aktivieren der SPN-Überwachung

EPA-Überwachungsereignisse des SMB-Servers

Ereignisprotokoll

Microsoft-Windows-SMBServer/Audit

Veranstaltungstyp

Warnung

Ereignisquelle

Microsoft-Windows-SMBServer

Ereigniskennung

3024

Ereignistext

Der SMB-Server hat festgestellt, dass der Client während der Authentifizierung keinen SPN gesendet hat, was darauf hinweist, dass der Client den erweiterten Schutz für die Authentifizierung (EPA) nicht unterstützt oder die Unterstützung für EPA deaktiviert ist. 

Clientname: <>

SPN-Abfragestatus: <>

Aktivieren des erweiterten Schutzes für die Authentifizierungsrichtlinie: <>

Ereignisprotokoll

Microsoft-Windows-SMBServer/Audit

Veranstaltungstyp

Warnung

Ereignisquelle

Microsoft-Windows-SMBServer

Ereigniskennung

3025

Ereignistext

Der SMB-Server hat beobachtet, dass der Client während der Authentifizierung einen unbekannten SPN gesendet hat. 

Clientname: <>

SPN: <>

Aktivieren des erweiterten Schutzes für die Authentifizierungsrichtlinie: <>

Ereignisprotokoll

Microsoft-Windows-SMBServer/Audit

Veranstaltungstyp

Warnung

Ereignisquelle

Microsoft-Windows-SMBServer

Ereigniskennung

3026

Ereignistext

Der SMB-Server hat beobachtet, dass der Client während der Authentifizierung einen leeren SPN gesendet hat, was darauf hinweist, dass der Client einen SPN senden kann, aber nicht angegeben hat. 

Clientname: <>

Aktivieren des erweiterten Schutzes für die Authentifizierungsrichtlinie: <>
Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter