Overzicht van ondertekening van serverberichtblokkering
In dit artikel wordt de ondertekening van Server Message Block (SMB) 2.x en 3.x beschreven en hoe u kunt bepalen of SMB-ondertekening is vereist.
Inleiding
SMB-ondertekening (ook wel bekend als beveiligingshandtekeningen) is een beveiligingsmechanisme in het SMB-protocol. SMB-ondertekening betekent dat elk SMB-bericht een handtekening bevat die wordt gegenereerd met behulp van de sessiesleutel. De client plaatst een hash van het hele bericht in het handtekeningveld van de SMB-header.
SMB-ondertekening werd voor het eerst weergegeven in Microsoft Windows 2000, Microsoft Windows NT 4.0 en Microsoft Windows 98. Ondertekeningsalgoritmen zijn in de loop van de tijd geëvolueerd. SMB 2.02-ondertekening is verbeterd door de introductie van hash-gebaseerde berichtverificatiecode (HMAC) SHA-256, ter vervanging van de oude MD5-methode uit de late jaren 1990 die werd gebruikt in SMB1. SMB 3.0 heeft AES-CMAC-algoritmen toegevoegd. In Windows Server 2022 en Windows 11 hebben we AES-128-GMAC-ondertekeningsversnelling toegevoegd. Als u de beste combinatie van prestaties en beveiliging wilt, kunt u een upgrade uitvoeren naar de nieuwste Windows-versies.
Hoe SMB-ondertekening de verbinding beveiligt
Als iemand een bericht wijzigt tijdens het verzenden, komt de hash niet overeen en weet SMB dat iemand met de gegevens heeft geknoeid. De handtekening bevestigt ook de identiteit van de afzender en ontvanger. Dit voorkomt relayaanvallen. Idealiter gebruikt u Kerberos in plaats van NTLMv2, zodat uw sessiesleutel sterk begint. Maak geen verbinding met shares met behulp van IP-adressen en gebruik geen CNAME-records, anders gebruikt u NTLM in plaats van Kerberos. Gebruik in plaats hiervan Kerberos. Zie Computernaamaliassen gebruiken in plaats van DNS CNAME Records voor meer informatie.
Beleidslocaties voor SMB-ondertekening
Het beleid voor SMB-ondertekening bevindt zich in Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>Beveiligingsopties.
- Microsoft-netwerkclient: communicatie digitaal ondertekenen (altijd)
Registersleutel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registerwaarde: RequireSecuritySignature
Gegevenstype: REG_DWORD
Gegevens: 0 (uitschakelen), 1 (inschakelen) - Microsoft-netwerkclient: communicatie digitaal ondertekenen (als de server hiermee akkoord gaat)
Registersleutel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Registerwaarde: EnableSecuritySignature
Gegevenstype: REG_DWORD
Gegevens: 0 (uitschakelen), 1 (inschakelen) - Microsoft-netwerkserver: communicatie digitaal ondertekenen (altijd)
Registersleutel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registerwaarde: RequireSecuritySignature
Gegevenstype: REG_DWORD
Gegevens: 0 (uitschakelen), 1 (inschakelen) - Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client hiermee akkoord gaat)
Registersleutel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Registerwaarde: EnableSecuritySignature
Gegevenstype: REG_DWORD
Gegevens: 0 (uitschakelen), 1 (inschakelen)
Opmerking In dit beleid geeft 'always' aan dat SMB-ondertekening is vereist en 'als de server hiermee akkoord gaat' of 'als de client hiermee akkoord gaat' geeft aan dat SMB-ondertekening is ingeschakeld.
Inzicht in 'RequireSecuritySignature' en 'EnableSecuritySignature'
De registerinstelling EnableSecuritySignature voor SMB2+-client en SMB2+-server wordt genegeerd. Daarom doet deze instelling niets, tenzij u SMB1 gebruikt. Ondertekening van SMB 2.02 en hoger wordt alleen beheerd door vereist of niet. Deze instelling wordt gebruikt wanneer de server of client SMB-ondertekening vereist. Alleen als ondertekening voor beide is ingesteld op 0 , wordt de ondertekening niet uitgevoerd.
| - | Server – RequireSecuritySignature=1 | Server – RequireSecuritySignature=0 |
|---|---|---|
| Client – RequireSecuritySignature=1 | Ondertekend | Ondertekend |
| Client – RequireSecuritySignature=0 | Ondertekend | Niet ondertekend |
Verwijzing
SMB-ondertekening configureren met vertrouwen
Gebruikers beschermen tegen onderscheppingsaanvallen via SMB Client Defense
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor