Steuerung des SMB-Signierverhaltens

Funktionsweise der SMB-Signierung

Die SMB-Signierung (Server Message Block) ist ein Sicherheitsfeature, das den Sitzungsschlüssel und die Verschlüsselungssuite verwendet, um einer Nachricht, die über eine Verbindung verläuft, eine Signatur hinzuzufügen. Diese Signatur enthält einen Hash der gesamten Nachricht im SMB-Header. Wenn jemand die Nachricht während der Übertragung manipuliert, stimmen die Daten in der manipulierten Nachricht nicht mit dem Hash in der Signatur überein. Der Hash enthält auch die Identitäten des ursprünglichen Absenders und des vorgesehenen Empfängers. Unstimmigkeiten bei den Signaturen warnen die Benutzer vor möglichem Betrug und helfen ihnen, ihre Installationen vor Relay- und Spoofing-Angriffen zu schützen.

SMB-Signierungsanforderungen können sowohl die ausgehende Signierung umfassen, das Datenverkehr vom SMB-Client abdeckt, als auch die eingehende Signierung, die Datenverkehr an den Server abdeckt. Windows und Windows Server können nur ausgehende Signierung, nur eingehende Signierung, beides oder keines von beiden erfordern. Zum Beispiel:

• Windows 11, Version 24H2 Enterprise, Pro und Education erfordert sowohl ausgehende als auch eingehende SMB-Signierung.

• Windows Server 2025 erfordert nur ausgehende SMB-Signaturen.

• Windows 11, Version 24H2 Home Edition erfordert keine ausgehende oder eingehende SMB-Signatur.

SMB-Signaturverhalten

Obwohl alle Versionen von Windows und Windows Server die SMB-Signatur unterstützen, kann sich ein Drittanbieter dafür entscheiden, sie zu deaktivieren oder keine Unterstützung dafür zu bieten. Wenn Sie versuchen, eine Verbindung mit einer Remotefreigabe auf einem SMB-Server eines Drittanbieters herzustellen, der keine SMB-Signatur zulässt, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:

0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE                                      
The cryptographic signature is invalid.

Um dieses Problem zu beheben, passen Sie die Einstellungen auf dem SMB-Server des Drittanbieters an, um die SMB-Signatur zuzulassen (zu aktivieren).

Wenn Sie versuchen, eine Verbindung mit Geräten von Drittanbietern herzustellen, die Gastkonten verwenden, um den Zugriff zu vereinfachen, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.

Error code: 0x80070035
The network path was not found.

System error 3227320323 has occurred.

Das Deaktivieren der SMB-Signatur ist möglicherweise erforderlich, wenn Sie die Gastnutzung für Ihren Drittanbieter nicht deaktivieren können. Dies bedeutet jedoch, dass Sie den Gastzugriff verwenden und verhindern, dass Ihr Client sich bei einem vertrauenswürdigen Gerät anmeldet.

Achtung

Es wird nicht empfohlen, die SMB-Signatur als Problemumgehung für Server von Drittanbietern zu deaktivieren. Außerdem wird nicht empfohlen, sich mit Gastkonten anzumelden.

Voraussetzungen

Um das SMB-Signierverhalten zu steuern und seine Funktionen zu maximieren, muss Ihr System eines der folgenden beiden Betriebssysteme ausführen:

• Windows 11, Version 24H2 oder höher
• Windows Server 2025 oder höher

Sie sollten auch diese Empfehlungen befolgen, um sicherzustellen, dass Ihre SMB-Signaturen wirksam sind, um Ihre Daten zu schützen:

• Verwenden Sie Kerberos anstelle von NTLMv2.
• Stellen Sie keine Verbindung mit Freigaben mithilfe von IP-Adressen her.
• Verwenden Sie keine CNAME-DNS-Einträge. Weisen Sie stattdessen alternative Computernamen mit NETDOM.EXE zu.

Deaktivieren der SMB-Signierung

Die SMB-Signatur ist standardmäßig für die neuesten Insider Preview-Builds von Windows 11 und Windows Server 2025 erforderlich. Alle Windows-Umgebungen unterstützen die SMB-Signierung. Wenn Ihre Umgebung jedoch Server von Drittanbietern verwendet und der Drittanbieterserver die SMB-Signierung nicht unterstützt, können Sie keine Verbindung mit der Remotefreigabe herstellen.

Durch die SMB-Signierung wird auch der Gastzugriff auf Freigaben deaktiviert. In diesen Fällen müssen Sie die SMB-Signierung manuell deaktivieren, um den Zugriff für Gastkonten wiederherzustellen. Sie können die SMB-Signatur manuell über Gruppenrichtlinien, PowerShell und Windows Admin Center deaktivieren.

Hinweis

Wenn Sie die domänenbasierte Gruppenrichtlinie von Active Directory ändern müssen, verwenden Sie Gruppenrichtlinienverwaltung (gpmc.msc).

Gruppenrichtlinie

Führen Sie die folgenden Schritte aus, um die SMB-Signatur in der Gruppenrichtlinie zu deaktivieren:

1. Wählen Sie Start aus, geben Sie gpedit.msc ein, und drücken Sie dann die EINGABETASTE.

2. Navigieren Sie im Editor für lokale Gruppenrichtlinien zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen aus.

3. Öffnen Sie Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer), und wählen Sie Deaktiviert und dann OK aus.

PowerShell

1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus, um die SMB-Clientsignierung für ausgehende Verbindungen zu deaktivieren:

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

3. Führen Sie den folgenden Befehl aus, um die SMB-Serversignierung für eingehende Verbindungen zu deaktivieren:

   Set-SmbServerConfiguration -RequireSecuritySignature $false
   

Windows Admin Center

1. Öffnen Sie Windows Admin Center.

2. Wählen Sie den Namen des Servers aus, den Sie bearbeiten möchten.

3. Wählen Sie Einstellungen aus.

4. Wählen Sie Dateifreigaben (SMB-Server).

5. Wählen Sie unter SMB-Signatur die Option Nicht erforderlich aus.

6. Wählen Sie Speichern.

Das Deaktivieren des SMB-Clients für ausgehende Verbindungen kann nur über Gruppenrichtlinien und PowerShell erfolgen.

Aktivieren von SMB-Signaturen

Die SMB-Signatur stellt die Datenintegrität sicher, indem sichergestellt wird, dass die Daten während der Übertragung nicht manipuliert werden. Darüber hinaus stellt die SMB-Signatur die Authentifizierung bereit, indem die Identität des Servers und des Clients überprüft wird, wodurch Adversary-in-the-Middle-Angriffe verhindert werden.

Gruppenrichtlinie

Führen Sie die folgenden Schritte aus, um die SMB-Signatur in der Gruppenrichtlinie zu aktivieren:

1. Wählen Sie Start aus, geben Sie gpedit.msc ein, und drücken Sie dann die EINGABETASTE.

2. Navigieren Sie im Editor für lokale Gruppenrichtlinien zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen aus.

3. Öffnen Sie Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer), und wählen Sie Aktiviert und dann OK aus.

PowerShell

1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus, um die SMB-Clientsignatur für ausgehende Verbindungen zu aktivieren:

   Set-SmbClientConfiguration -RequireSecuritySignature $true
   

3. Führen Sie den folgenden Befehl aus, um die SMB-Serversignatur für eingehende Verbindungen zu aktivieren:

   Set-SmbServerConfiguration -RequireSecuritySignature $true
   

Windows Admin Center

1. Öffnen Sie Windows Admin Center.

2. Wählen Sie den Namen des Servers aus, den Sie bearbeiten möchten.

3. Wählen Sie Einstellungen aus.

4. Wählen Sie Dateifreigaben (SMB-Server).

5. Wählen Sie unter SMB-Signierung die Option Erforderlich aus.

6. Wählen Sie Speichern.

Das Aktivieren des SMB-Clients für ausgehende Verbindungen kann nur über Gruppenrichtlinien und PowerShell erfolgen.

Überprüfen des SMB-Signaturstatus

Um zu überprüfen, ob die SMB-Signatur auf Ihrem SMB-Client oder SMB-Server aktiviert oder deaktiviert ist, führen Sie den folgenden Befehl aus:

Get-SmbClientConfiguration | FL RequireSecuritySignature

Get-SmbServerConfiguration | FL RequireSecuritySignature

Wenn True zurückgegeben wird, ist die SMB-Signatur aktiviert, wenn False zurückgegeben wird, ist die SMB-Signatur deaktiviert.

Zugehöriger Inhalt

• Übersicht über die Dateifreigabe mithilfe des SMB 3-Protokolls in Windows Server

• SMB über QUIC

• SMB-Sicherheitsfunktionen

• Aktivieren von unsicheren Gastanmeldungen in SMB2 und SMB3