Schutz von SMB-Datenverkehr vor Abhörung
In diesem Artikel erfahren Sie etwas darüber, wie ein Angreifer Abfangtechniken gegen das SMB-Protokoll einsetzen und wie Sie einen Angriff abschwächen können. Die Konzepte unterstützen Sie bei der Entwicklung Ihrer eigenen Defense-in-depth-Strategie für das SMB-Protokoll.
Was ist ein Abfangangriff?
Ein Adversary-in-the-Middle-Angriff (AITM) beabsichtigt, die Netzwerkkommunikation zwischen einem Client und Server zu ändern, sodass ein Bedrohungsakteur Datenverkehr abfangen kann. Nach dem Abfangen könnte es für einen böswilligen Akteur möglich sein, Daten oder Kontoanmeldeinformationen Ihrer Organisation zu spoofen, zu manipulieren, offenzulegen oder den Zugriff darauf zu verweigern.
Viele Organisationen verlassen sich auf SMB, um Dateien zwischen Benutzern freizugeben sowie andere Anwendungen oder Technologien wie Active Directory Domain Services zu unterstützen. Bei einer so großflächigen Einführung ist SMB ein beliebtes Ziel für Angreifer und hat das Potenzial für unternehmensweite Auswirkungen.
Beispielsweise könnte ein AITM-Angriff für Spionage auf industrieller oder staatlicher Ebene, Erpressung oder das Auffinden von vertraulichen Sicherheitsdaten verwendet werden, die in Dateien gespeichert sind. Er könnte auch im Rahmen eines breiteren Angriffs verwendet werden, um es dem Angreifer zu ermöglichen, sich seitwärts in Ihrem Netzwerk zu bewegen oder mehrere Endpunkte als Ziel zu verwenden.
Angriffe werden ständig weiterentwickelt, wobei Angreifer oft eine Kombination aus etablierten und neuen Techniken verwenden. Beim Schützen Ihres Systems vor SMB-Abfangvorgängen gibt es zwei Hauptziele:
- Verringern Sie die Anzahl der verfügbaren Angriffsmethoden.
- Sichern Sie die Pfade, die Sie Ihren Benutzern bereitstellen.
Aufgrund der Vielfalt an Technologie und Kunden in vielen Organisationen kombiniert eine abgerundete Verteidigung mehrere Methoden und folgt den Zero Trust-Prinzipien. Weitere Informationen zu Zero Trust finden Sie im Artikel Was ist Zero Trust?.
Jetzt erfahren Sie etwas über einige der typischen bewährten Methodenkonfigurationen, um das Risiko eines SMB-Abfangvorgangs zu verringern.
Verringern der verfügbaren Angriffsmethoden
Ihr erster Schritt zum Schutz Ihres Systems vor SMB-Abfangangriffen sollte die Verringerung der Angriffsfläche sein. Angriffsflächen sind Stellen, an denen Ihr System anfällig für Cyberbedrohungen und Kompromittierung ist.
In den folgenden Abschnitten werden einige der grundlegenden Maßnahmen erläutert, die Sie ergreifen sollten, um die Angriffsfläche zu verringern.
Installieren von Updates
Installieren Sie regelmäßig alle verfügbaren Sicherheitsupdates sowohl auf Ihren Windows Server-Systemen als auch auf Ihren Clientsystemen so zeitnah zu deren Veröffentlichung, wie ihre Organisation es erlaubt. Die Installation der neuesten Sicherheitsupdates ist die schnellste und einfachste Möglichkeit zum Schutz Ihrer Systeme vor den aktuellen bekannten Sicherheitsrisiken, die sich nicht nur auf SMB, sondern auf alle Microsoft-Produkte und -Dienste auswirken.
Je nach den Anforderungen Ihrer Organisation können Sie Sicherheitsupdates mithilfe von verschiedenen Methoden installieren. Typische Methoden sind die folgenden:
- Azure-Updateverwaltung
- Windows Update
- Windows Server Update Services (WSUS) 3.0
- Softwareupdates in Endpoint Configuration Manager
Erwägen Sie das Abonnieren von Benachrichtigungen im Microsoft Security Response Center (MSRC) Security Update Guide. Das Security Update Guide Notification System (Benachrichtigungssystem für Sicherheitsupdates) informiert Sie darüber, wann Softwareupdates veröffentlicht werden, um neue und vorhandene allgemeine Sicherheitsrisiken und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) zu beheben.
Entfernen von SMB 1.0
Sie sollten das SMB 1.0-Feature von allen Windows-Servern und -Clients, die es nicht benötigen, entfernen oder darauf deaktivieren. Bei Systemen, die SMB 1.0 erfordern, sollten Sie baldmöglichst zu SMB 2.0 oder höher wechseln. Ab dem Windows 10 Fall Creators Update und Windows Server 2019 ist SMB 1.0 standardmäßig nicht mehr installiert.
Tipp
Windows 10 Home und Windows 10 Pro enthalten nach einer Neuinstallation oder einem direkten Upgrade standardmäßig weiterhin den SMB 1.0-Client. Dieses Verhalten ändert sich in Windows 11. Weitere Informationen dazu finden Sie im Artikel SMB1 now disabled by default for Windows 11 Home Insiders builds (SMB1 für Windows 11 Home Insiders-Builds jetzt standardmäßig deaktiviert).
Das Entfernen von SMB 1.0 schützt Ihre Systeme, indem mehrere bekannte Sicherheitsrisiken beseitigt werden. Bei SMB 1.0 fehlen die Sicherheitsfeatures von SMB 2.0 und höher, die zum Schutz vor Abfangvorgängen beitragen. Um beispielsweise eine kompromittierte Verbindung zu verhindern, wird bei SMB 3.0 oder höher Vorauthentifizierungsintegrität, Verschlüsselung und Signierung verwendet. Weitere Informationen finden Sie im Artikel SMB-Sicherheitsverbesserungen.
Stellen Sie vor dem Entfernen des Features SMB 1.0 sicher, dass es von Anwendungen und Prozessen auf dem Computer nicht benötigt wird. Weitere Informationen zum Erkennen und Deaktivieren von SMB 1.0 finden Sie im Artikel Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows.
Sie können auch mithilfe des Tools für Dateien und Dateifreigabe von Windows Admin Center die Überwachung von SMB1-Clientverbindungen schnell aktivieren und SMB 1 deinstallieren.
Deaktivieren von Gastauthentifizierung und Fallback
Wenn die Anmeldeinformationen eines Benutzers in SMB 1.0 fehlschlagen, versucht der SMB-Client den Gastzugriff. Ab Windows 10, Version 1709, und Windows Server 2019 lassen SMB2- und SMB3-Clients einen Gastkontozugriff oder ein Fallback auf das Gastkonto standardmäßig nicht mehr zu. Sie sollten SMB 2.0 oder höher verwenden und die Verwendung des SMB-Gastzugriffs auf allen Systemen deaktivieren, auf denen der Gastzugriff standardmäßig nicht deaktiviert ist.
Tipp
Windows 11 Home- und Pro-Editionen wurden gegenüber dem vorherigen Standardverhalten nicht geändert. Sie lassen die Gastauthentifizierung standardmäßig zu.
Wenn der Gastzugriff deaktiviert ist, wird verhindert, dass ein böswilliger Akteur einen Server erstellt und Benutzer dazu verleiten kann, mithilfe des Gastzugriffs darauf zuzugreifen. Wenn ein Benutzer beispielsweise auf die gespoofte Freigabe zugreift, schlagen seine Anmeldeinformationen fehl, und SMB 1.0 würde auf die Verwendung des Gastzugriffs zurückgreifen. Durch Deaktivieren des Gastzugriffs wird verhindert, dass die SMB-Sitzung eine Verbindung herstellt sowie dass der Benutzer auf die Freigabe und schädliche Dateien zugreifen kann.
So verhindern Sie die Verwendung eines Gast-Fallbacks auf Windows SMB-Clients, bei denen der Gastzugriff standardmäßig nicht deaktiviert ist (einschließlich Windows Server):
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > Netzwerk >Lanman-Arbeitsstation aus.
- Klicken Sie für die Einstellung mit der rechten Maustaste auf Unsichere Gastanmeldungen aktivieren, und wählen Sie Bearbeiten aus.
- Wählen Sie Aktiviert und dann OK aus.
Weitere Informationen zum Standardverhalten des Gastzugriffs finden Sie im Artikel Gastzugriff in SMB2 und SMB3, der in Windows standardmäßig deaktiviert ist.
Deaktivieren des WebDAV-Protokolls
Bei Windows-Clients muss der WebClient
-Dienst möglicherweise nicht ausgeführt werden. Der Dienst stellt das WebDAV-Protokoll (Web Distributed Authoring and Versioning) bereit. Wenn Ihre Clients nicht über HTTP oder HTTPS mithilfe von WebDAV auf SMB-Freigaben zugreifen, können Sie den Dienst deaktivieren.
Wenn Ihre Benutzer mithilfe von WebDAV auf Dateien zugreifen, gibt es keine Methode zum Erzwingen einer TLS-basierten Verbindung über HTTPS. Ihr Server ist beispielsweise vielleicht so konfiguriert, dass SMB-Signierung oder -Verschlüsselung erforderlich ist. Der Webclient könnte jedoch eine Verbindung mit HTTP/80 herstellen, wenn WebDAV aktiviert wurde. Dann wäre jede daraus resultierende Verbindung – unabhängig von Ihrer SMB-Konfiguration – unverschlüsselt.
Sie können mithilfe von Gruppenrichtlinieneinstellungen den Dienst auf einer großen Anzahl von Computern deaktivieren, wenn Sie bereit für die Implementierung sind. Weitere Informationen zum Konfigurieren von Gruppenrichtlinieneinstellungen finden Sie unter Konfigurieren eines Dienstelements.
Einschränken von ausgehenden SMB-Zielen
Blockieren Sie ausgehenden SMB-Datenverkehr zu Geräten mindestens außerhalb Ihres Netzwerks. Das Blockieren von ausgehendem SMB verhindert, dass Daten an externe Endpunkte gesendet werden. Böswillige Akteure probieren oft Spoofing-, Manipulations- oder Phishingangriffe aus, mit denen versucht wird, Benutzer an schädliche Endpunkte zu senden, die in E-Mails oder anderen Dateien als benutzerfreundliche Links oder Verknüpfungen getarnt sind. Weitere Informationen zum Blockieren des ausgehenden SMB-Zugriffs finden Sie im Artikel Sicherer SMB-Datenverkehr in Windows Server.
Erweitern Sie dieses Prinzip, indem Sie Mikroperimeter und Mikrosegmentierung in Ihre Architektur einführen. Das Blockieren des ausgehenden SMB-Datenverkehrs in externe Netzwerke trägt dazu bei, die direkte Exfiltration von Daten ins Internet zu verhindern. Bei modernen Angriffen werden aber fortschrittliche Techniken verwendet, um indirekt Zugriff zu erhalten, indem sie andere Systeme angreifen und sich dann seitwärts innerhalb Ihres Netzwerks bewegen. Mikroperimeter und Mikrosegmentierung zielen darauf ab, die Anzahl der Systeme und Benutzer zu verringern, die eine direkte Verbindung mit Ihrer SMB-Freigabe herstellen können – außer wenn dies explizit erforderlich ist. Weitere Informationen zur Netzwerksegmentierung finden Sie in unserem Zero Trust-Leitfaden.
Schützen des Protokolls
Ihr zweites Ziel besteht darin, die Wege zwischen Ihren Benutzern und deren Daten zu schützen. Dies wird als „Schutz von Daten während der Übertragung“ (Data-in-Transit Protection) bezeichnet. Der Schutz von Daten während der Übertragung umfasst normalerweise die Verwendung von Verschlüsselung, Schnittstellenhärtung und das Entfernen unsicherer Protokolle, um Ihren Angriffswiderstand zu verbessern.
In den folgenden Abschnitten werden einige der grundlegenden Maßnahmen erläutert, die Sie ergreifen sollten, um das SMB-Protokoll zu schützen.
Verwenden von SMB 3.1.1
Weil Windows immer das höchste verfügbare Protokoll aushandelt, stellen Sie sicher, dass Ihre Geräte und Computer SMB 3.1.1 unterstützen.
SMB 3.1.1 ist ab Windows 10 und Windows Server 2016 verfügbar. SMB 3.1.1 enthält das neue obligatorische Sicherheitsfeature Vorauthentifizierungsintegrität. Die Vorauthentifizierungsintegrität signiert oder verschlüsselt die frühen Phasen von SMB-Verbindungen, um die Manipulation von Aushandlungs- und Sitzungseinrichtungsnachrichten mithilfe von kryptografischem Hashing zu verhindern.
Kryptografisches Hashing bedeutet, dass Client und Server den Verbindungs- und Sitzungseigenschaften gegenseitig vertrauen können. Die Vorauthentifizierungsintegrität ersetzt die in SMB 3.0 eingeführte sichere Dialektaushandlung. Sie können die Vorauthentifizierungsintegrität nicht deaktivieren, aber wenn ein Client einen älteren Dialekt verwendet, wird sie nicht verwendet.
Sie können Ihren Sicherheitsstatus weiter verbessern, indem Sie die Verwendung von SMB 3.1.1 als Minimum erzwingen. Führen Sie zum Festlegen des minimalen SMB-Dialekt auf 3.1.1 an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311
Weitere Informationen zum Festlegen des minimalen und maximalen SMB-Dialekts, der in Windows Server und Windows verwendet wird, finden Sie unter Verwalten von SMB-Dialekten in Windows.
Verwenden der UNC-Härtung, um Signierung, Verschlüsselung und gegenseitige Authentifizierung anzufordern
Aktivieren Sie die UNC-Härtung für alle SMB-Freigaben, indem Sie mindestens gegenseitige Authentifizierung (Kerberos) und Integrität (SMB-Signierung) anfordern. Sie sollten auch die Auswertung des Datenschutzes (SMB-Verschlüsselung) statt der SMB-Signierung in Betracht ziehen. Es ist nicht erforderlich, SMB-Signierung und -Verschlüsselung zu konfigurieren, weil die Verschlüsselung die von der Signierung verwendeten Signaturen implizit enthält.
Achtung
Die SMB-Verschlüsselung wurde mit SMB 3 in Windows 8 und Windows Server 2012 eingeführt. Sie sollten nur dann eine Verschlüsselung verlangen, wenn alle Ihre Computer SMB 3.0 oder höher unterstützen oder Drittanbieter mit SMB 3 und Verschlüsselungsunterstützung sind. Wenn Sie die SMB-Verschlüsselung auf Clients oder in UNC-Pfaden konfigurieren, die von Servern gehostet werden, die die SMB-Verschlüsselung nicht unterstützen, kann der SMB-Client auf den angegebenen Pfad nicht zugreifen. Außerdem: Wenn Sie Ihren Server für die SMB-Verschlüsselung konfigurieren und von Clients darauf zugegriffen wird, die ihn nicht unterstützen, können auch diese Clients auf den Pfad nicht zugreifen.
UNC-Härtung bietet die Möglichkeit zum Überprüfen von UNC-Pfaden auf vorgeschriebene Sicherheitseinstellungen und lehnt das Herstellen einer Verbindung ab, wenn ein Server diese Vorschriften nicht erfüllen konnte. Ab Windows Server 2016 und Windows 10 ist die UNC-Härtung für SYSVOL- und NETLOGON-Freigaben auf Domänencontrollern standardmäßig aktiviert. Es ist ein sehr effektives Tool gegen Spoofing und Manipulation, weil der Client die Identität des Servers authentifizieren und die Integrität der SMB-Nutzlasten überprüfen kann.
Beim Konfigurieren der UNC-Härtung können Sie verschiedene UNC-Pfadmuster angeben. Beispiel:
\\<Server>\<Share>
– Der Konfigurationseintrag gilt für die Freigabe mit dem angegebenen Namen auf dem angegebenen Server.\\*\<Share>
– Der Konfigurationseintrag gilt für die Freigabe mit dem angegebenen Namen auf jedem beliebigen Server.\\<Server>\*
– Der Konfigurationseintrag gilt für jede beliebige Freigabe auf dem angegebenen Server.
Sie können mithilfe von „Gruppenrichtlinie“ die UNC-Härtungsfunktion auf eine große Anzahl von Computern anwenden, wenn Sie zu deren Implementierung bereit sind. Weitere Informationen zum Konfigurieren der UNC-Härtung über „Gruppenrichtlinie“ finden Sie im Sicherheitsbulletin MS15-011.
Bedarfsgesteuertes Zuordnen von Laufwerken mit vorgeschriebener Signierung oder Verschlüsselung
Zusätzlich zur UNC-Härtung können Sie Signierung oder Verschlüsselung beim Zuordnen von Netzlaufwerken verwenden.
Ab Windows Version 1709 und höher können Sie verschlüsselte oder signierte zugeordnete Laufwerke nach Bedarf mithilfe von Windows PowerShell oder der Eingabeaufforderung erstellen. Sie können mithilfe des Befehls NET USE
oder des PowerShell-Befehls New-SmbMapping
Laufwerke zuordnen, indem Sie die Parameter RequireIntegrity (Signierung) oder RequirePrivacy (Verschlüsselung) angeben.
Die Befehle können von Administratoren verwendet oder in Skripts einbezogen werden, um die Zuordnung von Laufwerken zu automatisieren, die Verschlüsselungs- oder Integritätsprüfungen erfordern.
Die Parameter ändern nicht die Funktionsweise der Signierung oder Verschlüsselung oder aber die Anforderungen an Dialekte. Wenn Sie ein Laufwerk zuzuordnen versuchen und der Server Ihre Anforderung für Signierung oder Verschlüsselung nicht erfüllt, schlägt die Laufwerkszuordnung fehl, statt eine unsichere Verbindung herzustellen.
Informationen zur Syntax und zu den Parametern für den Befehl New-SmbMapping
finden Sie im Referenzartikel New-SmbMapping.
Über SMB hinaus
Beenden Sie die Verwendung von NTLM, und erhöhen Sie Ihre Kerberos-Sicherheit. Sie können zuerst die Überwachung für die NTLM-Verwendung aktivieren und dann die Protokolle überprüfen, um zu ermitteln, wo NTLM verwendet wird.
Weil NTLM eine ältere MD4/MD5-Kryptografie-Hashfunktion verwendet, können Sie sich durch dessen Entfernen vor häufigen Angriffen wie Pass-the-Hash-, Brute-Force- oder Rainbow-Hash-Tabellen schützen. Im Gegensatz zu neueren Protokollen wie Kerberos kann NTLM auch nicht die Serveridentität überprüfen. Dadurch wird es anfällig für NTLM-Relayangriffe. Viele dieser häufigen Angriffe lassen sich mit Kerberos auf einfache Weise abschwächen.
Informationen zum Überwachen von NTLM im Rahmen Ihrer Bemühungen, mit dem Übergang zu Kerberos zu beginnen, finden Sie im Artikel zur Bewertung der NTLM-Nutzung. Informationen zum Erkennen unsicherer Protokolle mithilfe von Azure Sentinel finden Sie im Blogartikel Azure Sentinel Insecure Protocols Workbook Implementation Guide (Implementierungsleitfaden zur Arbeitsmappe für unsichere Protokolle in Azure Sentinel).
Parallel zum Entfernen von NTLM sollten Sie erwägen, weitere Schutzebenen für Offline- und Ticketübergabe-Angriffe hinzuzufügen. Verwenden Sie die folgenden Elemente als Leitfaden beim Verbessern der Kerberos-Sicherheit.
- Bereitstellen von Windows Hello for Business oder Smartcards – Durch die zweistufige Authentifizierung mit Windows Hello for Business wird eine ganz neue Schutzebene hinzugefügt. Informieren Sie sich über Windows Hello for Business.
- Erzwingen von langen Kennwörtern und Ausdrücken – Wir empfehlen, längere Kennwörter aus 15 Zeichen oder mehr zu verwenden, um Ihren Widerstand gegen Brute-Force-Angriffe zu verringern. Sie sollten auch häufige Wörter oder Begriffe vermeiden, damit Ihr Kennwort noch stärker wird.
- Bereitstellen von Microsoft Entra-Kennwortschutz für Active Directory Domain Services – Verwenden Sie Microsoft Entra ID-Kennwortschutz, um bekannte schwache Kennwörter und Bedingungen zu blockieren, die für Ihre Organisation spezifisch sind. Um mehr zu erfahren, lesen Sie Microsoft Entra-Kennwortschutz für Active Directory Domain Services lokal einrichten.
- Verwenden von gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA) – gMSA-fähige Dienste mit ihrer Konstruktion aus 127 zufälligen Zeichen machen Brute-Force- und Wörterbuchangriffe zum Knacken von Kennwörtern unglaublich zeitaufwendig. Informationen zu gMSAs finden Sie im Artikel Übersicht über gruppenverwaltete Dienstkonten.
- Kerberos Armoring, bekannt als Flexible Authentication Secure Tunneling (FAST) – FAST verhindert Kerberoasting, weil die Vorauthentifizierungsdaten des Benutzers geschützt werden und nicht mehr Offline-Brute-Force- oder Wörterbuchangriffen ausgesetzt sind. Es verhindert auch Downgrade-Angriffe aus gespooften Schlüsselverteilungscentern (Key Distribution Centers, KDCs). Weitere Informationen dazu finden Sie unter Kerberos Armoring.
- Verwenden von Windows Defender Credential Guard – Credential Guard erschwert die lokale Kompromittierung von Tickets, indem verhindert wird, dass Ticketgewährungen und zwischengespeicherte Diensttickets gestohlen werden. Weitere Informationen finden Sie im Artikel Funktionsweise von Windows Defender Credential Guard.
- Erwägen der Anforderung von SCRIL: Smartcard für die interaktive Anmeldung erforderlich – Bei der Bereitstellung von SCRIL ändert AD das Kennwort des Benutzers in einen zufälligen 128-Bit-Satz, den Benutzer für die interaktive Anmeldung nicht mehr verwenden können. SCRIL eignet sich normalerweise nur für Umgebungen mit spezifischen Sicherheitsanforderungen. Weitere Informationen zu kennwortlosen Strategien finden Sie unter Konfigurieren von Benutzerkonten zum Aufheben der Kennwortauthentifizierung.
Nächste Schritte
Nachdem Sie etwas über einige der Sicherheitskontrollen und Schutzmaßnahmen zum Verhindern von SMB-Abfangvorgängen erfahren haben, verstehen Sie jetzt, dass nicht alle Abfangangriffe mit einem einzigen Schritt verhindert werden können. Das Ziel besteht darin, eine durchdachte, ganzheitliche und priorisierte Kombination von Risikominderungen zu schaffen, die sich über mehrere Technologien durch mehrstufige Abwehrmaßnahmen erstrecken.
Weitere Informationen zu diesen Konzepten finden Sie in den nachstehend aufgeführten Artikeln.