Konfigurieren der SMB-über-QUIC-Clientzugriffssteuerung unter Windows Server 2022 Azure Edition und Windows Server 2025 (Vorschau)

Wichtig

Windows Insider- und Windows Server 2025-Builds befinden sich in der VORSCHAUPHASE. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

Mit SMB über QUIC-Clientzugriffssteuerung können Sie einschränken, welche Clients über QUIC-Server auf SMB zugreifen können. Clientzugriffssteuerung erstellt Zulassungs- und Blocklisten für Geräte, um eine Verbindung mit dem Dateiserver herzustellen. Die Clientzugriffssteuerung bietet Organisationen mehr Schutz, ohne die Authentifizierung zu ändern, die beim Herstellen der SMB-Verbindung verwendet wird, oder ändert die Endbenutzerumgebung.

In diesem Artikel wird erläutert, wie Sie PowerShell verwenden, um die Clientzugriffssteuerung für SMB-über-QUIC unter Windows 11 und Windows Server 2022 Datacenter: Azure Edition zu konfigurieren. Um mit den Anweisungen fortzufahren, müssen Sie entweder das März-Update KB5035853 oder KB5035857 installiert haben, einen aktuellen Windows 11 Insider-Build oder Windows Server 2025 ausführen.

Weitere Informationen zum Konfigurieren von SMB über QUIC finden Sie unter SMB über QUIC.

Funktionsweise der Clientzugriffssteuerung

Die Clientzugriffssteuerung überprüft, ob Clients, die eine Verbindung zu einem Server herstellen, ein bekanntes Client-Zertifikat verwenden oder über ein von einem gemeinsam genutzten Stammzertifikat ausgestelltes Zertifikat verfügen. Der Administrator stellt dieses Zertifikat an den Client aus und fügt den Hash einer vom Server verwalteten Zulassungsliste hinzu. Wenn der Client versucht, eine Verbindung mit dem Server herzustellen, vergleicht der Server das Clientzertifikat mit der Zulassungsliste. Wenn das Zertifikat gültig ist, erstellt das Serverzertifikat einen TLS 1.3-verschlüsselten Tunnel über UDP-Port 443 und gewährt dem Client Zugriff auf die Freigabe. Die Clientzugriffssteuerung unterstützt auch Zertifikate mit alternativen Antragstellernamen.

Sie können SMB über QUIC auch so konfigurieren, dass der Zugriff blockiert wird, indem Zertifikate widerrufen oder der Zugriff auf bestimmte Geräte explizit verweigert wird.

Hinweis

Wir empfehlen die Verwendung von SMB über QUIC mit Active Directory-Domänen. Dies ist jedoch nicht erforderlich. Sie können SMB über QUIC auch auf einem in Arbeitsgruppen eingebundenen Server mit lokalen Benutzeranmeldeinformationen und NTLM verwenden.

Voraussetzungen

Bevor Sie die Clientzugriffssteuerung konfigurieren können, benötigen Sie einen SMB-Server mit den folgenden Voraussetzungen.

• Ein SMB-Server mit Windows Server 2022 Datacenter: Azure Edition mit dem Update vom 12. März 2024 – KB5035857 oder Windows Server 2025 oder höher. Um die Previewfunktion zu entsperren, müssen Sie auch die Windows Server 2022 KB5035857 240302_030531 Featurevorschau installieren.
• SMB über QUIC aktiviert und auf dem Server konfiguriert. Informationen zum Konfigurieren von SMB über QUIC finden Sie unter SMB über QUIC.
• Wenn Sie Client-Zertifikate verwenden, die von einer anderen Zertifizierungsstelle (CA) ausgestellt wurden, müssen Sie sicherstellen, dass der Server der CA vertraut.
• Administratorrechte für den SMB-Server, den Sie konfigurieren.

Wichtig

Nachdem KB5035857 installiert wurde, müssen Sie dieses Feature in der Gruppenrichtlinie aktivieren:

1. Klicken Sie auf Start, geben Sie gpedit ein, und klicken Sie auf Gruppenrichtlinie bearbeiten.
2. Navigieren Sie zu Computer Configuration\Administrative Templates\KB5035857 240302_030531 Feature Preview\Windows Server 2022.
3. Öffnen Sie die Richtlinie KB5035857 240302_030531 Featurevorschau, und wählen Sie Aktiviert aus.

Sie benötigen auch einen SMB-Client mit den folgenden Voraussetzungen.

• Einen SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird:
  • Windows Server 2022 Datacenter: Azure Edition mit dem Update vom 12. März 2024 – KB5035857. Um die Previewfunktion zu entsperren, müssen Sie auch die Windows Server 2022 KB5035857 240302_030531 Featurevorschau installieren.
  • Windows 11 mit dem Update vom 12. März 2024 – KB5035853. Um die Previewfunktion zu entsperren, müssen Sie auch die Windows Server 11 (ursprüngliche Version) KB5035854 240302_030535 Featurevorschau installieren.
  • Windows Server 2025 oder höher.
  • Windows 11 Insider Preview Build 25977 (Canary Channel) oder höher.
• Ein Clientzertifikat mit folgenden Merkmalen:
  • Ausgestellt zur Clientauthentifizierung (EKU 1.3.6.1.5.5.7.3.2).
  • Ausgestellt von einer vom SMB-Server vertrauenswürdigen Zertifizierungsstelle
  • Im Zertifikatspeicher des Clients installiert
• Administratorrechte für den SMB-Server, den Sie konfigurieren.

Wichtig

Nachdem KB5035854 installiert wurde, müssen Sie dieses Feature in der Gruppenrichtlinie aktivieren:

1. Klicken Sie auf Start, geben Sie gpedit ein, und klicken Sie auf Gruppenrichtlinie bearbeiten.
2. Navigieren Sie zu Computer Configuration\Administrative Templates\KB5035854 240302_030535 Feature Preview\Windows 11 (original release).
3. Öffnen Sie die Richtlinie KB5035854 240302_030535 Featurevorschau, und wählen Sie Aktiviert aus.

Konfigurieren des SMB-Clients

Sammeln der SMB-Clientzertifikatinformationen

So sammeln Sie Ihren Clientzertifikathash mithilfe von PowerShell:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem SMB-Client.

2. Führen Sie die Zertifikate im Zertifikatspeicher des Clients auf, indem Sie den folgenden Befehl ausführen.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Führen Sie den folgenden Befehl aus, um das Zertifikat in einer Variablen zu speichern. Ersetzen Sie <subject name> durch den Antragstellernamen des Zertifikats, das Sie verwenden möchten.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Notieren Sie sich den SHA256-Hash des Clientzertifikats, indem Sie den folgenden Befehl ausführen. Sie benötigen diesen Bezeichner beim Konfigurieren der Clientzugriffssteuerung.

   $clientCert.GetCertHashString("SHA256")
   

Hinweis

Der im $clientCert Objekt gespeicherte Fingerabdruck verwendet den SHA1-Algorithmus. Dies wird von Befehlen wie New-SmbClientCertificateMapping verwendet. Außerdem benötigen Sie den SHA256-Fingerabdruck, um die Clientzugriffssteuerung zu konfigurieren. Diese Fingerabdrücke werden mit unterschiedlichen Algorithmen für dasselbe Zertifikat unterschiedlich abgeleitet.

Zuordnen des Clientzertifikats zum SMB-Client

So ordnen Sie das Clientzertifikat dem SMB-Client zu:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem SMB-Client.

2. Führen Sie den New-SmbClientCertificateMapping-Befehl aus, um das Clientzertifikat zuzuordnen. Ersetzen Sie <namespace> mit dem vollqualifizierten Domänennamen (FQDN) des SMB-Servers und verwenden Sie den Fingerabdruck des SHA1-Clientzertifikats, den Sie im vorherigen Abschnitt mithilfe der Variablen gesammelt haben.

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

Sobald der Vorgang abgeschlossen ist, wird der zertifizierte Client vom SMB-Client zur Authentifizierung beim SMB-Server verwendet, der dem FQDN entspricht.

Konfigurieren der Clientzugriffssteuerung

Zuweisen einzelner Clients

Befolgen Sie die Schritte, um einem bestimmten Client mithilfe der Clientzugriffssteuerung Zugriff auf den SMB-Server zu gewähren.

1. Melden Sie sich beim SMB-Server an.

2. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem SMB-Server.

3. Führen Sie den Grant-SmbClientAccessToServer-Befehl aus, um Zugriff auf das Clientzertifikat zu gewähren. Ersetzen Sie <name> mit dem Hostnamen des SMB-Servers und <hash> mit dem SHA256-Clientzertifikatbezeichner, den Sie im Abschnitt Sammeln der SMB-Clientzertifikatinformationen gesammelt haben.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Sie haben nun Zugriff auf das Clientzertifikat gewährt. Sie können den Clientzertifikatzugriff überprüfen, indem Sie den Get-SmbClientAccessToServer-Befehl ausführen.

Zuweisen bestimmter Zertifizierungsstellen

Befolgen Sie die Schritte, um Clients von einer bestimmten Zertifizierungsstelle, auch Aussteller genannt, mithilfe der Clientzugriffssteuerung zuzuweisen.

1. Melden Sie sich beim SMB-Server an.

2. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem SMB-Server.

3. Führen Sie den Grant-SmbClientAccessToServer-Befehl aus, um Zugriff auf das Clientzertifikat zu gewähren. Ersetzen Sie <name> mit dem Hostnamen des SMB-Servers und <subject name> mit dem vollständigen X.500 Distinguished-Namen des Ausstellerzertifikats. Beispiel: CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

Deaktivieren Sie SMB über QUIC

Ab Windows 11 Insider Build 26090 können Administratoren jetzt SMB-über-QUIC für Client deaktivieren, indem Sie den folgenden Befehl ausführen:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Ebenso kann dieser Vorgang in der Gruppenrichtlinie ausgeführt werden, indem die Richtlinie "SMB-über-QUIC aktivieren" im folgenden Pfad deaktiviert wird:

• Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation

Herstellen einer Verbindung zum SMB-Server

Wenn Sie fertig sind, testen Sie, ob Sie eine Verbindung zum Server herstellen können, indem Sie einen der folgenden Befehle ausführen:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Oder

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Wenn Sie eine Verbindung zum Server herstellen können, haben Sie SMB über QUIC mithilfe der Clientzugriffssteuerung erfolgreich konfiguriert.

Zugehöriger Inhalt

• SMB über QUIC
• Storage at Microsoft-Blog (Blog zu Speicher bei Microsoft)
• Startseite der QUIC-Arbeitsgruppe
• Microsoft MsQuic GitHub-Startseite
• QUIC Wikipedia
• Startseite der TLS 1.3-Arbeitsgruppe