Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Betrifft:

  • Windows 11
  • Windows 10
  • Windows Server

Beschreibt bewährte Methoden, Standort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für den Microsoft-Netzwerkserver: Digitales Signieren der Kommunikationsrichtlinieneinstellung (immer) für SMBv3 und SMBv2.

Hinweis

In diesem Artikel werden die Protokolle Server Message Block (SMB) v2 und v3 behandelt. SMBv1 ist nicht sicher und in Windows veraltet. Ab Windows 10 Version 1709 und Windows Server, Version 1709, ist SMBv1 nicht standardmäßig installiert.

Wichtig

Microsoft empfiehlt nicht, die folgenden Gruppenrichtlinieneinstellungen zu verwenden:

  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

Verwenden Sie auch nicht die Registrierungseinstellungen EnableSecuritySignature .

Diese Optionen wirken sich nur auf das SMBv1-Verhalten aus. Sie können effektiv durch die Gruppenrichtlinieneinstellung Kommunikation digital signieren (immer) oder die Registrierungseinstellung RequireSecuritySignature ersetzt werden.

Verweis

Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen.

Die Implementierung digitaler Signaturen in Hochsicherheitsnetzwerken trägt dazu bei, den Identitätswechsel von Clientcomputern und Servern zu verhindern, was als "Sitzungs-Hijacking" bezeichnet wird. Ein Missbrauch dieser Richtlinieneinstellungen kann jedoch zu Einem Fehler beim Datenzugriff führen.

Ab SMBv2-Clients und -Servern kann das Signieren entweder erforderlich oder nicht erforderlich sein. Wenn diese Richtlinieneinstellung aktiviert ist, signieren SMBv2-Clients alle Pakete digital. Eine weitere Richtlinieneinstellung bestimmt, ob eine Signatur für die SMBv3- und SMBv2-Serverkommunikation erforderlich ist: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer).

Es erfolgt eine Aushandlung zwischen dem SMB-Client und dem SMB-Server, um zu entscheiden, ob die Signatur effektiv verwendet wird. Die folgende Tabelle enthält das effektive Verhalten für SMBv3 und SMBv2.

Client Server – Erforderlich Server : Nicht erforderlich
Client – Erforderlich Unterzeichnet Unterzeichnet
Client : Nicht erforderlich Signiert 1 Nicht signiert2

1 Standard für SMB-Datenverkehr
desDomänencontrollers 2 Standard für den gesamten anderen SMB-Datenverkehr

Die Leistung der SMB-Signatur wurde in SMBv2 verbessert. Weitere Informationen finden Sie unter Potenzielle Auswirkung.

Zulässige Werte

  • Aktiviert
  • Deaktiviert

Bewährte Methoden

Microsoft-Netzwerkserver aktivieren: Kommunikation digital signieren (immer).

Pfad

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Deaktiviert
Standarddomänencontroller-Richtlinie Aktiviert
Standardeinstellungen für eigenständige Server Deaktiviert
Dc Effektive Standardeinstellungen Aktiviert
Effektive Standardeinstellungen für Mitgliedsserver Deaktiviert
Effektive Standardeinstellungen für Clientcomputer Deaktiviert

Richtlinienverwaltung

In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderungen

Keine. Änderungen an dieser Richtlinie werden ohne Einen Geräteneustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinie verteilt werden.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Beim Session-Hijacking werden Tools verwendet, mit denen Angreifern, die Zugriff auf dasselbe Netzwerk wie das Clientgerät oder den Server haben, eine laufende Sitzung unterbrechen, beenden oder stehlen können. Angreifer können möglicherweise nicht signierte SMB-Pakete (Server Message Block) abfangen und ändern und dann den Datenverkehr ändern und weiterleiten, sodass der Server möglicherweise anstößige Aktionen ausführt. Alternativ könnte sich der Angreifer nach der legitimen Authentifizierung als Server- oder Clientgerät ausgibt und sich nicht autorisierten Zugriff auf Daten verschaffen.

SMB ist das Protokoll zur Ressourcenfreigabe, das von vielen Windows-Betriebssystemen unterstützt wird. Es ist die Grundlage vieler moderner Features wie Direkte Speicherplätze, Speicherreplikat und SMB Direct sowie vieler Legacyprotokolle und -tools. Wenn der Authentifizierungsprozess auf beiden Seiten fehlschlägt, findet keine Datenübertragung statt.

Gegenmaßnahme

Microsoft-Netzwerkserver aktivieren: Kommunikation digital signieren (immer).

Hinweis

Eine alternative Gegenmaßnahme, die den gesamten Netzwerkdatenverkehr schützen könnte, besteht darin, digitale Signaturen mit IPsec zu implementieren. Es gibt hardwarebasierte Zugriffstasten für die IPsec-Verschlüsselung und -Signatur, die verwendet werden können, um die Auswirkungen auf die Leistung auf die CPUs der Server zu minimieren. Für die SMB-Signatur sind keine zugriffstasten verfügbar.

Potenzieller Effekt

Speichergeschwindigkeiten wirken sich auf die Leistung aus. Ein schnelleres Laufwerk auf der Quelle und dem Ziel ermöglicht mehr Durchsatz, was zu einer höheren CPU-Auslastung beim Signieren führt. Wenn Sie ein 1-GB-Ethernet-Netzwerk oder eine langsamere Speichergeschwindigkeit mit einer modernen CPU verwenden, ist die Leistung eingeschränkt. Wenn Sie ein schnelleres Netzwerk (z. B. 10 GB) verwenden, kann die Leistung der Signatur größer sein.