Freigeben über

Übersicht über die Signierung von Servernachrichtenblocks

  • Artikel

In diesem Artikel werden die Server message Block (SMB) 2.x- und 3.x-Signierung und die Angabe, ob SMB-Signierung erforderlich ist, beschrieben.

Einführung

SMB-Signatur (auch als Sicherheitssignaturen bezeichnet) ist ein Sicherheitsmechanismus im SMB-Protokoll. SMB-Signatur bedeutet, dass jede SMB-Nachricht eine Signatur enthält, die mithilfe des Sitzungsschlüssels generiert wird. Der Client fügt einen Hash der gesamten Nachricht in das Signaturfeld des SMB-Headers ein.

SMB-Signierung erschien zuerst in Microsoft Windows 2000, Microsoft Windows NT 4.0 und Microsoft Windows 98. Signaturalgorithmen haben sich im Laufe der Zeit weiterentwickelt. Die SMB 2.02-Signatur wurde durch die Einführung des Hash-basierten Nachrichtenauthentifizierungscodes (HMAC) SHA-256 verbessert und ersetzte die alte MD5-Methode aus den späten 1990er Jahren, die in SMB1 verwendet wurde. SMB 3.0 hat AES-CMAC-Algorithmen hinzugefügt. In Windows Server 2022 und Windows 11 haben wir die AES-128-GMAC-Signierbeschleunigung hinzugefügt. Wenn Sie die beste Kombination aus Leistung und Schutz benötigen, sollten Sie ein Upgrade auf die neuesten Windows-Versionen in Betracht ziehen.

So schützt die SMB-Signatur die Verbindung

Wenn jemand eine Nachricht während der Übertragung ändert, stimmt der Hash nicht überein, und SMB weiß, dass jemand die Daten manipuliert hat. Die Signatur bestätigt auch die Identitäten des Absenders und Empfängers. Dadurch werden Relayangriffe verhindert. Im Idealfall verwenden Sie Kerberos anstelle von NTLMv2, damit der Sitzungsschlüssel stark startet. Stellen Sie keine Verbindung mit Freigaben her, indem Sie IP-Adressen verwenden und keine CNAME-Einträge verwenden, oder Verwenden Sie NTLM anstelle von Kerberos. Verwenden Sie stattdessen Kerberos. Weitere Informationen finden Sie unter Verwenden von Computernamenaliasen anstelle von DNS-CNAME-Einträgen .

Richtlinienstandorte für SMB-Signaturen

Die Richtlinien für die SMB-Signierung finden Sie unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen.

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
    Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Registry-Wert: RequireSecuritySignature
    Datentyp: REG_DWORD
    Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)
    Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Registrierungswert: EnableSecuritySignature
    Datentyp: REG_DWORD
    Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
    Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Registry-Wert: RequireSecuritySignature
    Datentyp: REG_DWORD
    Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)
    Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Registrierungswert: EnableSecuritySignature
    Datentyp: REG_DWORD
    Daten: 0 (deaktivieren), 1 (aktivieren)

Hinweis In diesen Richtlinien gibt "immer" an, dass die SMB-Signatur erforderlich ist, und "wenn der Server zustimmt" oder "wenn der Client zustimmt" angibt, dass die SMB-Signatur aktiviert ist.

Verständnis von „RequireSecuritySignature“ und „EnableSecuritySignature“

Die EnableSecuritySignature-Registrierungseinstellung für SMB2+-Client und SMB2+-Server wird ignoriert. Daher bringt diese Einstellung nichts, es sei denn, Sie verwenden SMB1. SMB 2.02 und spätere Signaturen werden nur dadurch gesteuert, ob sie erforderlich sind oder nicht. Diese Einstellung wird verwendet, wenn entweder der Server oder der Client eine SMB-Signierung erfordert. Nur wenn beide Signierer auf 0 festgelegt sind, tritt die Signatur nicht auf.

- Server – RequireSecuritySignature=1 Server – RequireSecuritySignature=0
Client – RequireSecuritySignature=1 Signed Signed
Client – RequireSecuritySignature=0 Signed Nicht signiert

Verweis

SMB-Signierung vertrauensvoll konfigurieren

So schützen Sie Benutzer vor Abfangangriffen über SMB Client Defense

SMB 2- und SMB 3-Sicherheit in Windows 10: die Anatomie von Signieren und kryptografischen Schlüsseln

SMBv1 ist in Windows 10, Version 1709, Windows Server, Version 1709 und höher, nicht standardmäßig installiert.

Netdom-Computername