Konfigurieren des SMB-Clients für die Verschlüsselung in Windows

Ab Windows 11, Version 24H2 und Windows Server 2025 unterstützt der SMB-Client die Verschlüsselung aller ausgehenden SMB-Verbindungen. Administratoren können festlegen, dass alle Zielserver die Verschlüsselung mit SMB 3.0 oder höher unterstützen. Lesen Sie diesen Artikel, um zu erfahren, wie Sie den SMB-Client so konfigurieren, dass eine Verschlüsselung für alle ausgehenden Verbindungen erforderlich ist.

Die Verschlüsselung aller ausgehenden SMB-Clientverbindungen erfordert die höchste Netzwerksicherheitsstufe und legt für die SMB-Signatur eine Verwaltungsparität fest, was sowohl client- als auch serverspezifische Anforderungen ermöglicht. Wenn diese Option aktiviert ist, stellt der SMB-Client keine Verbindung mit einem SMB-Server her, der SMB 3.0 oder höher oder die SMB-Verschlüsselung nicht unterstützt. Beispielsweise kann ein SMB-Server eines Drittanbieters eine SMB 3.0-Verschlüsselung unterstützen, aber keine SMB-Verschlüsselung.

SMB-Verschlüsselung schützt SMB-Daten umfassend vor Abfrageangriffen und Snooping. Der SMB-Client kann eine Verschlüsselung pro zugeordnetem Laufwerk (durch UNC-Härtung) oder pro festgelegtem Computer erfordern, wie in diesem Artikel beschrieben ist. SMB-Server können auch eine SMB-Verschlüsselung pro Freigabe oder für einen gesamten Dateiserver erfordern. Weitere Informationen zur SMB-Verschlüsselung für SMB-Server und zur UNC-Härtung finden Sie unter SMB-Verschlüsselung.

Voraussetzungen

Bevor Sie den SMB-Client so konfigurieren können, dass er eine Verschlüsselung erfordert ist, benötigen Sie Folgendes:

• Einen SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird.
  • Windows 11, Version 24H2 oder höher.
  • Windows Server 2025 oder höher.
• Administratorrechte für den Computer.
• Wenn Sie Gruppenrichtlinien für eine Domäne verwenden, benötigen Sie Berechtigungen, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu erstellen oder zu bearbeiten und es mit der entsprechenden Organisationseinheit (OU) zu verknüpfen.

Konfigurieren des SMB-Verschlüsselungsauftrags mithilfe von Gruppenrichtlinien

Sie können den SMB-Client so konfigurieren, dass eine Verschlüsselung immer erforderlich ist, unabhängig von den Server-, Freigabe-, UNC-Härtungs- oder zugeordneten Laufwerkanforderungen. Ein Administrator kann einen Windows-Computer global dazu zwingen, für alle Verbindungen die SMB-Verschlüsselung (und daher SMB 3.x) zu verwenden, indem er es ablehnt, eine Verbindung herzustellen, wenn der SMB-Server keine der beiden Optionen unterstütz.

Tipp

Bei der SMB-Verschlüsselung fällt für die Leistung und Kompatibilität ein Mehraufwand an. Die Features der SMB-Signierung sind leistungsfähiger und bieten einen höheren Manipulationsschutz, jedoch keinen Schutz vor Snooping. Durch den Verzicht auf Verschlüsselung und Signatur kann zwar eine bessere Leistung erreicht werden, der Schutz geht jedoch nicht über die Verbindungsautorisierung und den Schutz vor der Authentifizierung hinaus. Die SMB-Verschlüsselung ersetzt die SMB-Signatur und bietet das gleiche Maß an Manipulationsschutz. Wenn Ihr SMB-Client die Signierung erfordert, wird diese durch die SMB-Verschlüsselung deaktiviert.

Sie können den SMB-Client so konfigurieren, dass eine Verschlüsselung für ausgehende Verbindungen mithilfe von Gruppenrichtlinien oder PowerShell erforderlich ist.

Gruppenrichtlinie

Hier erfahren Sie, wie Sie den SMB-Client so konfigurieren, dass eine Verschlüsselung für alle ausgehenden Verbindungen mithilfe von Gruppenrichtlinien erforderlich ist.

So konfigurieren Sie den SMB-Client, damit er eine Verschlüsselung für alle SMB-Server (d. h. für ausgehende Verbindungen) erfordert:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Bearbeiten oder erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Sie verwenden möchten.
3. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > Netzwerk >Lanman-Arbeitsstation aus.
4. Klicken Sie für die Einstellung mit der rechten Maustaste auf Verschlüsselung erfordern und wählen Sie Bearbeiten aus.
5. Wählen Sie Aktivieren und dann OK aus.

Wenn Sie für die Richtlinie „deaktiviert“ oder „nicht konfiguriert“ festlegen, wird die Verschlüsselungsanforderung gelöscht.

Wichtig

Gehen Sie vorsichtig vor, wenn Sie die SMB-Verschlüsselung in der gesamten Organisation bereitstellen. Ältere SMB-Server wie Windows Server 2008 R2 unterstützen SMB 3.0 nicht. Ältere SMB-Server von Drittanbietern unterstützen in einigen Fällen möglicherweise SMB 3.0, jedoch nicht die Verschlüsselung.

PowerShell

Hier erfahren Sie, wie Sie den SMB-Client so konfigurieren, dass eine Verschlüsselung für alle ausgehenden Verbindungen mithilfe des PowerShell-Cmdlets Set-SmbClientConfiguration erforderlich ist.

Legen Sie aus einer PowerShell-Eingabeaufforderung mit erhöhten Rechten den folgenden PowerShell-Parameter fest:

Set-SmbClientConfiguration -RequireEncryption $true

Führen Sie den folgenden Befehl aus, um die gültige Einstellung auf einem Computer anzuzeigen:

Get-SmbClientConfiguration | Format-List -Property RequireEncryption

Zugehöriger Inhalt

• SMB-Sicherheitsfunktionen