Teilen über


Richtlinien-CSP – ADMX_LanmanServer

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

Pol_CipherSuiteOrder

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_CipherSuiteOrder

Diese Richtlinieneinstellung bestimmt die vom SMB-Server verwendeten Verschlüsselungssammlungen.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden Verschlüsselungssammlungen in der angegebenen Reihenfolge priorisiert.

Wenn Sie diese Richtlinieneinstellung aktivieren und nicht mindestens eine unterstützte Verschlüsselungssammlung angeben, oder wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardreihenfolge der Verschlüsselungssammlung verwendet.

SMB 3.11-Verschlüsselungssammlungen:

AES_128_GCM.

AES_128_CCM.

AES_256_GCM.

AES_256_CCM.

SMB 3.0- und 3.02-Verschlüsselungssammlungen:

AES_128_CCM.

So ändern Sie diese Einstellung:

Ordnen Sie die gewünschten Verschlüsselungssammlungen im Bearbeitungsfeld an, eine Verschlüsselungssammlung pro Zeile, in der Reihenfolge von den meisten bis zu den am wenigsten bevorzugten, mit der am besten bevorzugten Verschlüsselungssuite oben. Entfernen Sie alle Verschlüsselungssammlungen, die Sie nicht verwenden möchten.

Hinweis

Beim Konfigurieren dieser Sicherheitseinstellung werden Änderungen erst wirksam, wenn Sie Windows neu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name Pol_CipherSuiteOrder
Anzeigename Verschlüsselungssammlungsreihenfolge
Position Computerkonfiguration
Pfad Netzwerk > lanman Server
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanServer
ADMX-Dateiname LanmanServer.admx

Pol_HashPublication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HashPublication

Diese Richtlinieneinstellung gibt an, ob ein Hashgenerierungsdienst Hashes generiert, die auch als Inhaltsinformationen bezeichnet werden, für Daten, die in freigegebenen Ordnern gespeichert sind. Diese Richtlinieneinstellung muss auf Servercomputer angewendet werden, auf denen die Rolle Dateidienste und sowohl die Rollendienste Dateiserver als auch BranchCache für Netzwerkdateien installiert sind.

Richtlinienkonfiguration.

Wählen Sie eine der folgenden Optionen:

  • Nicht konfiguriert. Bei dieser Auswahl werden hashveröffentlichungseinstellungen nicht auf Dateiserver angewendet. Wenn Dateiserver Domänenmitglieder sind, Sie aber nicht BranchCache auf allen Dateiservern aktivieren möchten, können Sie für diese Domäne die Gruppenrichtlinieneinstellung Nicht konfiguriert angeben und dann die lokale Computerrichtlinie so konfigurieren, dass BranchCache auf einzelnen Dateiservern aktiviert wird. Da die Domänengruppenrichtlinieneinstellung nicht konfiguriert ist, wird die aktivierte Einstellung, die Sie auf einzelnen Servern verwenden, auf denen BranchCache aktiviert werden soll, nicht überschreiben.

  • Aktiviert. Mit dieser Auswahl ist die Hashveröffentlichung für alle Dateiserver aktiviert, auf die gruppenrichtlinien angewendet werden. Wenn die Hashveröffentlichung für BranchCache beispielsweise in der Gruppenrichtlinie der Domäne aktiviert ist, wird die Hashveröffentlichung für alle Domänenmitgliedsdateiserver aktiviert, auf die die Richtlinie angewendet wird. Die Dateiserver können dann Inhaltsinformationen für alle Inhalte erstellen, die in BranchCache-fähigen Dateifreigaben gespeichert sind.

  • Deaktiviert. Mit dieser Auswahl wird die Hashveröffentlichung für alle Dateiserver deaktiviert, auf die gruppenrichtlinien angewendet werden.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie auch die folgenden Konfigurationsoptionen auswählen:

  • Hashveröffentlichung für alle freigegebenen Ordner zulassen. Mit dieser Option generiert BranchCache Inhaltsinformationen für alle Inhalte in allen Freigaben auf dem Dateiserver.

  • Hashveröffentlichung nur für freigegebene Ordner zulassen, für die BranchCache aktiviert ist. Mit dieser Option werden Inhaltsinformationen nur für freigegebene Ordner generiert, für die BranchCache aktiviert ist. Wenn Sie diese Einstellung verwenden, müssen Sie BranchCache für einzelne Freigaben in der Freigabe- und Speicherverwaltung auf dem Dateiserver aktivieren.

  • Hashveröffentlichung für alle freigegebenen Ordner nicht zulassen. Mit dieser Option generiert BranchCache keine Inhaltsinformationen für Freigaben auf dem Computer und sendet keine Inhaltsinformationen an Clientcomputer, die Inhalte anfordern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name Pol_HashPublication
Anzeigename Hashveröffentlichung für BranchCache
Position Computerkonfiguration
Pfad Netzwerk > lanman Server
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanServer
ADMX-Dateiname LanmanServer.admx

Pol_HashSupportVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HashSupportVersion

Diese Richtlinieneinstellung gibt an, ob der BranchCache-Hashgenerierungsdienst Hashes der Version 1 (V1), Version 2 (V2) oder V1- und V2-Hashes unterstützt. Hashes, auch als Inhaltsinformationen bezeichnet, werden basierend auf den Daten in freigegebenen Ordnern erstellt, in denen BranchCache aktiviert ist.

Wenn Sie nur eine unterstützte Version angeben, sind Inhaltsinformationen für diese Version der einzige Typ, der von BranchCache generiert wird, und dies ist der einzige Typ von Inhaltsinformationen, der von Clientcomputern abgerufen werden kann. Wenn Sie beispielsweise die Unterstützung für V1-Hashes aktivieren, generiert BranchCache nur V1-Hashes, und Clientcomputer können nur V1-Hashes abrufen.

Richtlinienkonfiguration.

Wählen Sie eine der folgenden Optionen:

  • Nicht konfiguriert. Bei dieser Auswahl werden BranchCache-Einstellungen nicht durch diese Richtlinieneinstellung auf Clientcomputer angewendet. In diesem Fall , der Standard, werden sowohl die V1- als auch die V2-Hashgenerierung und -abruf unterstützt.

  • Aktiviert. Mit dieser Auswahl wird die Richtlinieneinstellung angewendet, und die in "Hashversion unterstützt" angegebenen Hashversionen werden generiert und abgerufen.

  • Deaktiviert. Mit dieser Auswahl werden sowohl V1- als auch V2-Hashgenerierung und -abruf unterstützt.

In Fällen, in denen diese Einstellung aktiviert ist, können Sie auch die folgende Option auswählen und konfigurieren:

Unterstützte Hashversion:

  • Um nur V1-Inhaltsinformationen zu unterstützen, konfigurieren Sie "Hashversion unterstützt" mit dem Wert 1.

  • Um nur V2-Inhaltsinformationen zu unterstützen, konfigurieren Sie "Hashversion unterstützt" mit dem Wert 2.

  • Um sowohl V1- als auch V2-Inhaltsinformationen zu unterstützen, konfigurieren Sie "Hashversion unterstützt" mit dem Wert 3.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name Pol_HashSupportVersion
Anzeigename Hashversionsunterstützung für BranchCache
Position Computerkonfiguration
Pfad Netzwerk > lanman Server
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanServer
ADMX-Dateiname LanmanServer.admx

Pol_HonorCipherSuiteOrder

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HonorCipherSuiteOrder

Diese Richtlinieneinstellung bestimmt, wie der SMB-Server beim Aushandeln einer neuen Verbindung mit einem SMB-Client eine Verschlüsselungssammlung auswählt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wählt der SMB-Server die Am häufigsten bevorzugte Verschlüsselungssammlung aus der Liste der clientgestützten Verschlüsselungssammlungen aus, wobei die Einstellungen des Clients ignoriert werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wählt der SMB-Server aus der Liste der vom Server unterstützten Verschlüsselungssammlungen die Vom Client am meisten bevorzugte Verschlüsselungssammlung aus.

Hinweis

Beim Konfigurieren dieser Sicherheitseinstellung werden Änderungen erst wirksam, wenn Sie Windows neu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name Pol_HonorCipherSuiteOrder
Anzeigename Reihenfolge der Verschlüsselungssammlung berücksichtigen
Position Computerkonfiguration
Pfad Netzwerk > lanman Server
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanServer
Name des Registrierungswertes HonorCipherSuiteOrder
ADMX-Dateiname LanmanServer.admx

Dienstanbieter für die Richtlinienkonfiguration