Freigeben über


Richtlinien-CSP – LanmanWorkstation

Logo von Windows Insider.

Wichtig

Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.

AuditInsecureGuestLogon

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditInsecureGuestLogon

Diese Richtlinie steuert, ob der SMB-Client das Überwachungsereignis aktiviert, wenn der Client als Gastkonto angemeldet ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, protokolliert der SMB-Client das Ereignis, wenn der Client als Gastkonto angemeldet ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, protokolliert der SMB-Client das Ereignis nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_AuditInsecureGuestLogon
Anzeigename Überwachen der unsicheren Gastanmeldung
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
Name des Registrierungswertes AuditInsecureGuestLogon
ADMX-Dateiname LanmanWorkstation.admx

AuditServerDoesNotSupportEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportEncryption

Diese Richtlinie steuert, ob der SMB-Client das Überwachungsereignis aktiviert, wenn der SMB-Server keine Verschlüsselung unterstützt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, protokolliert der SMB-Client das Ereignis, wenn der SMB-Server keine Verschlüsselung unterstützt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, protokolliert der SMB-Client das Ereignis nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_AuditServerDoesNotSupportEncryption
Anzeigename Überwachungsserver unterstützt keine Verschlüsselung
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
Name des Registrierungswertes AuditServerDoesNotSupportEncryption
ADMX-Dateiname LanmanWorkstation.admx

AuditServerDoesNotSupportSigning

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportSigning

Diese Richtlinie steuert, ob der SMB-Client das Überwachungsereignis aktiviert, wenn der SMB-Server das Signieren nicht unterstützt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, protokolliert der SMB-Client das Ereignis, wenn der SMB-Server das Signieren nicht unterstützt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, protokolliert der SMB-Client das Ereignis nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_AuditServerDoesNotSupportSigning
Anzeigename Der Überwachungsserver unterstützt keine Signierung.
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
Name des Registrierungswertes AuditServerDoesNotSupportSigning
ADMX-Dateiname LanmanWorkstation.admx

EnableInsecureGuestLogons

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableInsecureGuestLogons

Diese Richtlinieneinstellung bestimmt, ob der SMB-Client unsichere Gastanmeldungen bei einem SMB-Server zulässt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder diese Richtlinieneinstellung nicht konfigurieren, lässt der SMB-Client unsichere Gastanmeldungen zu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, lehnt der SMB-Client unsichere Gastanmeldungen ab.

Wenn Sie die Signatur aktivieren, lehnt der SMB-Client unsichere Gastanmeldungen ab.

Unsichere Gastanmeldungen werden von Dateiservern verwendet, um nicht authentifizierten Zugriff auf freigegebene Ordner zu ermöglichen. Unsichere Gastanmeldungen sind in einer Unternehmensumgebung zwar ungewöhnlich, werden jedoch häufig von NAS-Appliances (Network Attached Storage) von Consumern verwendet, die als Dateiserver fungieren. Windows-Dateiserver erfordern eine Authentifizierung und verwenden standardmäßig keine unsicheren Gastanmeldungen. Da unsichere Gastanmeldungen nicht authentifiziert sind, sind wichtige Sicherheitsfeatures wie SMB-Signatur und SMB-Verschlüsselung deaktiviert. Daher sind Clients, die unsichere Gastanmeldungen zulassen, anfällig für eine Vielzahl von Man-in-the-Middle-Angriffen, die zu Datenverlust, Datenbeschädigung und Schadsoftware führen können. Darüber hinaus sind alle Daten, die mithilfe einer unsicheren Gastanmeldung auf einen Dateiserver geschrieben werden, potenziell für alle Benutzer im Netzwerk zugänglich. Microsoft empfiehlt, unsichere Gastanmeldungen zu deaktivieren und Dateiserver so zu konfigurieren, dass authentifizierten Zugriff erforderlich ist."

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_EnableInsecureGuestLogons
Anzeigename Aktivieren unsicherer Gastanmeldungen
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
Name des Registrierungswertes AllowInsecureGuestAuth
ADMX-Dateiname LanmanWorkstation.admx

EnableMailslots

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableMailslots

Diese Richtlinie steuert, ob der SMB-Client Remotemaillots über MUP aktiviert oder deaktiviert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, funktionieren Remote-Mailslots nicht über MUP, sodass sie nicht über den SMB-Clientumleitungsor geleitet werden.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Remotemaillots über MUP zugelassen werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_EnableMailslots
Anzeigename Aktivieren von Remote-Mailslots
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\NetworkProvider
Name des Registrierungswertes EnableMailslots
ADMX-Dateiname LanmanWorkstation.admx

MaxSmb2Dialect

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MaxSmb2Dialect

Diese Richtlinie steuert die maximale Version des SMB-Protokolls.

Hinweis

Diese Gruppenrichtlinie verhindert die Verwendung von SMB 1 nicht, wenn diese Komponente noch installiert und aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 785

Zulässige Werte:

Wert Beschreibung
514 SMB 2.0.2.
528 SMB 2.1.0.
768 SMB 3.0.0.
770 SMB 3.0.2.
785 (Standard) SMB 3.1.1.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_MaxSmb2Dialect
Anzeigename Geben Sie die maximale Version von SMB an.
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
ADMX-Dateiname LanmanWorkstation.admx

MinSmb2Dialect

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MinSmb2Dialect

Diese Richtlinie steuert die Mindestversion des SMB-Protokolls.

Hinweis

Diese Gruppenrichtlinie verhindert die Verwendung von SMB 1 nicht, wenn diese Komponente noch installiert und aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 514

Zulässige Werte:

Wert Beschreibung
514 (Standard) SMB 2.0.2.
528 SMB 2.1.0.
768 SMB 3.0.0.
770 SMB 3.0.2.
785 SMB 3.1.1.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_MinSmb2Dialect
Anzeigename Mindestversion von SMB
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
ADMX-Dateiname LanmanWorkstation.admx

RequireEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100.3613] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/RequireEncryption

Diese Richtlinie steuert, ob der SMB-Client eine Verschlüsselung erfordert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, benötigt der SMB-Client den SMB-Server zur Unterstützung der Verschlüsselung und Verschlüsselung der Daten.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erfordert der SMB-Client keine Verschlüsselung. Die SMB-Verschlüsselung kann jedoch weiterhin erforderlich sein. siehe Hinweise weiter unten.

Hinweis

Diese Richtlinie wird mit den Verbindungseigenschaften pro Freigabe, pro Server und pro zugeordnetem Laufwerk kombiniert, über die möglicherweise eine SMB-Verschlüsselung erforderlich ist. Der SMB-Server muss die SMB-Verschlüsselung unterstützen und aktivieren. Wenn diese Richtlinie beispielsweise deaktiviert (oder nicht konfiguriert) ist, kann der SMB-Client weiterhin verschlüsselungsfähig sein, wenn für eine SMB-Serverfreigabe eine Verschlüsselung erforderlich ist.

Wichtig

Für die SMB-Verschlüsselung ist SMB 3.0 oder höher erforderlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Pol_RequireEncryption
Anzeigename Vorschreiben der Verschlüsselung
Pfad Computerkonfiguration
Pfad Netzwerk-Lanman-Arbeitsstation >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\LanmanWorkstation
Name des Registrierungswertes RequireEncryption
ADMX-Dateiname LanmanWorkstation.admx

Dienstanbieter für die Richtlinienkonfiguration