SMB-Sicherheitshärtung

Die neuesten SMB-Features (Server Message Block), die in Windows 11 24H2 und Windows Server 2025 eingeführt wurden, sind darauf ausgelegt, die Sicherheit Ihrer Daten, Benutzer und Organisation zu verbessern. Die meisten dieser Features sind standardmäßig automatisch aktiviert. Diese SMB-Funktionen zielen darauf ab, eine sicherere Computerumgebung zu schaffen, indem sie das Risiko von Cyberangriffen und Datenverletzungen in Ihrer Umgebung verringern.

Benutzer können die folgenden Versionen herunterladen, um eine Vorschau auf die Sicherheitsfunktionen zu erhalten, bevor unser Hauptbetriebssystem (OS) veröffentlicht wird:

• Windows 11, Version 24H2 oder höher

• Windows Server 2025 oder höher

SMB-Sicherheitsfeatures

Das Verständnis von SMB-Sicherheitsfeatures kann Benutzern helfen, ihre vertraulichen Daten zu schützen und nicht autorisierten Zugriff auf freigegebene Ressourcen zu verhindern. Der nächste Abschnitt bietet einen kurzen Überblick über diese Funktionen.

SMB-Signatur

Ab Windows 11 24H2 und Windows Server 2025 müssen nun alle ausgehenden und eingehenden SMB-Verbindungen standardmäßig signiert werden. Bisher war die SMB-Signatur nur für Verbindungen mit Freigaben namens SYSVOL und NETLOGON und für Clients von AD-Domänencontrollern erforderlich.

Die SMB-Signatur verhindert Datenmanipulations- und Relayangriffe, die Anmeldeinformationen stehlen. Durch die obligatorische Signierung müssen Administratoren und Benutzer keine Experten in der SMB-Netzwerkprotokollsicherheit sein, um dieses wichtige Sicherheitsfeature zu aktivieren. Das Aktivieren der SMB-Signatur bewirkt, dass Clients und Server nur signierte Pakete akzeptieren und alle nicht signierten Pakete ablehnen. Pakete von Gastbenutzern werden abgelehnt, was bedeutet, dass das Feature, mit dem Benutzer eine Verbindung mit einem Server herstellen können, ohne Anmeldeinformationen (Gast-Fallback) bereitzustellen, deaktiviert ist. Diese Sicherheitsmaßnahme trägt dazu bei, unbefugten Zugriff und Datenschutzverletzungen zu verhindern, indem Benutzer sich vor dem Zugriff auf einen Server authentifizieren müssen, wodurch sichergestellt wird, dass nur autorisierte Benutzer auf den Server und seine Ressourcen zugreifen können.

Weitere Informationen finden Sie unter Steuern des SMB-Signaturverhaltens.

Alternative SMB-Ports

Der SMB-Client kann verwendet werden, um Verbindungen mit alternativen Ports für TCP, QUIC und RDMA herzustellen. Diese Ports können sich von den Standardports unterscheiden, die von der Internet Assigned Numbers Authority (IANA) und der Internet Engineering Task Force (IETF) zugewiesen wurden, die jeweils 445, 443 und 5445 für TCP, QUIC und RDMA sind.

In Windows Server ist es möglich, eine SMB-über QUIC-Verbindung auf einem zulässigen Firewallport zu hosten, aber nicht unbedingt den Standardport 443. Es ist jedoch wichtig zu beachten, dass eine Verbindung zu alternativen Ports nur dann möglich ist, wenn der SMB-Server so konfiguriert ist, dass er auf diesen speziellen Port antwortet. Darüber hinaus ist es möglich, die Bereitstellung so zu konfigurieren, dass die Verwendung alternativer Ports nicht zulässig ist oder die Verwendung auf bestimmte Server eingeschränkt wird.

Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.

Verbesserungen bei der SMB-Überwachung

SMB bietet jetzt die Möglichkeit, die Verwendung von SMB über QUIC zu überwachen und die Verschlüsselung und Signatur von Drittanbietern zu unterstützen. Diese Features können sowohl auf SMB-Server- als auch auf Clientebene verwendet werden. Wenn Sie Windows- oder Windows Server-Geräte verwenden, ist es jetzt einfacher zu bestimmen, ob sie SMB über QUIC verwenden. Sie können auch einfacher überprüfen, ob Software von Drittanbietern die Signierung und Verschlüsselung unterstützt, bevor Sie sie obligatorisch machen.

Weitere Informationen finden Sie unter:

• SMB-über-QUIC-Clientüberwachung

• Überwachen der SMB-Signatur und -Verschlüsselung

Begrenzung der SMB-Authentifizierungsrate

Der SMB-Serverdienst beschränkt jetzt die Anzahl der fehlgeschlagenen Authentifizierungsversuche. Dies gilt für die SMB-Dateifreigabe sowohl auf Windows Server als auch auf dem Windows-Client. Brute Force-Angriffe versuchen, Benutzernamen und Kennwörter zu erraten und können den SMB-Server mit Dutzenden bis Tausenden von Versuchen pro Sekunde bombardieren. Der Grenzwert für die SMB-Authentifizierungsrate ist jetzt standardmäßig aktiviert, wobei eine 2-Sekunden-Verzögerung zwischen jedem fehlgeschlagenen NTLM- oder lokalen KDC Kerberos-basierten Authentifizierungsversuch besteht. Als Ergebnis würde ein Angriff, der 300 Schätzraten pro Sekunde für 5 Minuten (90.000 Versuche) sendet, jetzt 50 Stunden dauern. Das macht es sehr viel unwahrscheinlicher, dass ein Angreifer mit dieser Methode weitermacht.

Weitere Informationen finden Sie unter:

• SMB-Authentifizierungsratenbegrenzer für Windows konfigurieren

• Demovideo zum SMB-Authentifizierungsratenbegrenzer

SMB-Client-Verschlüsselungsmandat jetzt unterstützt

Der SMB-Client kann jetzt die Verschlüsselung für alle ausgehenden SMB-Verbindungen festlegen. Diese Maßnahme stellt die höchste Ebene der Netzwerksicherheit sicher und bringt SMB-Signierung auf die gleiche Ebene der Verwaltung. Nach der Aktivierung stellt der SMB-Client nur eine Verbindung mit einem SMB-Server bereit, der SMB 3.0 oder höher und SMB-Verschlüsselung unterstützt. Es ist möglich, dass ein SMB-Server eines Drittanbieters zwar SMB 3.0, aber keine SMB-Verschlüsselung unterstützt. Im Gegensatz zur SMB-Signatur ist die Verschlüsselung standardmäßig nicht obligatorisch.

Weitere Informationen finden Sie unter Konfigurieren des SMB-Clients so, dass eine Verschlüsselung in Windows erforderlich ist.

SMB-Dialektverwaltung

Es ist jetzt möglich, die Verwendung von SMB 2- und 3-Protokollversionen zu erzwingen. Zuvor unterstützten der SMB-Server und -Client nur die automatische Aushandlung des Dialekts mit der höchsten Übereinstimmung von SMB 2.0.2 bis 3.1.1. Mit diesem neuen Feature können Sie absichtlich verhindern, dass ältere Protokollversionen oder Geräte eine Verbindung herstellen. Sie können zum Beispiel festlegen, dass Verbindungen nur SMB 3.1.1, den sichersten Dialekt des Protokolls, verwenden. Die Mindest- und Höchstwerte können unabhängig vom SMB-Client und Server festgelegt werden, und Sie können bei Bedarf nur ein Minimum festlegen.

Weitere Informationen finden Sie unter:

• Verwalten von SMB-Dialekten unter Windows und Windows Server 2025

• Demovideo zur SMB-Dialektsteuerung

SMB Firewall-Standardportänderungen

Die SMB NetBIOS-Ports sind nicht mehr in den integrierten Firewallregeln enthalten. Diese Ports waren nur für die SMB1-Verwendung erforderlich, die jetzt standardmäßig veraltet und entfernt wurde. Diese Änderung richtet SMB-Firewallregeln an das Standardverhalten der Windows Server-Dateiserverrolle aus. Administratoren können die Regeln neu konfigurieren, um ältere Ports wiederherzustellen.

Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.

SMB unsichere Gastauthentifizierung

Standardmäßig lässt Windows 11 Pro keine SMB-Client-Gastverbindungen mehr oder Gast-Fallback zu einem SMB-Server zu. Dies bringt Windows 11 Pro in Einklang mit dem Verhalten von Windows 10- und Windows 11 Enterprise-, Education- und Pro for Workstation-Editionen. Für Gastanmeldungen sind keine Kennwörter erforderlich und es werden keine standardmäßigen Sicherheitsfunktionen wie Signieren und Verschlüsseln unterstützt.

Wenn ein Client Gastanmeldungen verwenden kann, besteht das Risiko von Angreifern in der Mitte von Angriffsszenarien oder böswilligen Serverszenarien. Zum Beispiel ein Phishing-Angriff, der einen Benutzer dazu verleitet, eine Datei auf einer Remote-Freigabe zu öffnen, oder ein gefälschter Server, der einen Client davon überzeugt, dass er legitim ist. Der Angreifer muss die Anmeldeinformationen des Benutzers nicht kennen, und ein schwaches Kennwort wird ignoriert. Nur Remote-Geräte von Drittanbietern benötigen standardmäßig einen Gastzugriff.

Weitere Informationen finden Sie unter Aktivieren unsicherer Gastanmeldungen in SMB2 und SMB3.

SMB-NTLM-Blockierung

Der SMB-Client kann jetzt die NTLM-Authentifizierung für ausgehende Fernverbindungen verhindern. Dadurch wird das vorherige Verhalten geändert, bei dem die ausgehandelte Authentifizierung immer verwendet wird, die von Kerberos auf NTLM herabgestuft werden kann. Durch die Blockierung der NTLM-Authentifizierung schützt dies Clientgeräte vor dem Senden von NTLM-Anforderungen an schädliche Server, wodurch Brute Force-, Cracking-, Relay- und Pass-the-Hash-Angriffe abgemildert werden.

Die NTLM-Blockierung ist erforderlich, um die Authentifizierung einer Organisation bei Kerberos zu erzwingen, was sicherer ist, da sie Identitäten mit seinem Ticketsystem und einer überlegenen Kryptografie überprüft. Administratoren können Ausnahmen angeben, die die NTLM-Authentifizierung über SMB für bestimmte Server zulassen.

Weitere Informationen finden Sie unter:

• NTLM-Verbindungen auf SMB sperren

• Demovideo zum Blockieren von SMB NTLM

SMB über QUIC-Clientzugriffskontrolle

Mit SMB über QUIC-Client-Zugriffssteuerung können Sie einschränken, welche Clients über QUIC-Server auf SMB zugreifen können. Das vorherige Verhalten erlaubt Verbindungsversuche von jedem Client, dem die Zertifikatausstellungskette des QUIC-Servers als vertrauenswürdig eingestuft wurde. Bei der Client-Zugriffskontrolle werden für Geräte, die eine Verbindung zum Dateiserver herstellen wollen, eine Zulassungs- und eine Blockliste erstellt.

Ein Client muss jetzt über ein eigenes Zertifikat verfügen und auf einer Zulassungsliste sein, um die QUIC-Verbindung herzustellen, bevor eine SMB-Verbindung auftreten kann. Die Client-Zugriffskontrolle bietet Organisationen zusätzlichen Schutz, ohne die während der SMB-Verbindung verwendete Authentifizierung zu ändern, und die Benutzererfahrung bleibt unberührt. Darüber hinaus können Sie den SMB über QUIC-Client vollständig deaktivieren oder nur Verbindungen zu bestimmten Servern zulassen.

Weitere Informationen finden Sie unter:

• Konfigurieren der SMB-über-QUIC-Client-Zugriffssteuerung unter Windows Server 2022 Azure Edition und Windows Server 2025

• Demovideo zur SMB-Client-Zugriffskontrolle konfigurieren

SMB über QUIC in Windows Server

SMB über QUIC ist jetzt in allen Editionen von Windows Server 2025 verfügbar, während es nur in der Azure Edition von Windows Server 2022 vorhanden war. SMB über QUIC ist eine Alternative zum veralteten TCP-Protokoll und ist für die Verwendung in nicht vertrauenswürdigen Netzwerken wie dem Internet vorgesehen. TLS 1.3 und Zertifikate werden verwendet, um sicherzustellen, dass der gesamte SMB-Datenverkehr verschlüsselt ist, sodass er über Edgefirewalls von mobilen und Remotebenutzern verwendet werden kann, ohne dass ein VPN erforderlich ist. QUIC stellt außerdem sicher, dass, wenn NTLM erforderlich ist, eine Benutzerabfrageantwort (Kennwortdaten) nicht im Netzwerk verfügbar gemacht wird, wie es bei TCP ist.

Weitere Informationen finden Sie unter:

• SMB über QUIC

• SMB über QUIC-Demovideo

Ablehnung von SMB-Remote-Mailslots

Remote-Mailslots sind standardmäßig nicht mehr für die Verwendung des SMB- und DC-Locator-Protokolls mit Active Directory (AD) aktiviert, da sie veraltet ist. Das Remote Mailslot-Protokoll, das ursprünglich in MS DOS eingeführt wurde, gilt nun als veraltet und unzuverlässig. Es ist auch gefährlich, da es keine Authentifizierungs- oder Autorisierungsmechanismen gibt.

Weitere Informationen finden Sie unter:

• Veraltete Features für den Windows-Client

• Features, die ab Windows Server 2025 entfernt oder nicht mehr entwickelt wurden

Siehe auch

• SMB-Sicherheitsfunktionen