Delen via

Overzicht van Server Message Block-ondertekening

  • Artikel

In dit artikel wordt SMB (Server Message Block) 2.x en 3.x-ondertekening beschreven en hoe u kunt bepalen of SMB-ondertekening is vereist.

Inleiding

SMB-ondertekening (ook wel beveiligingshandtekeningen genoemd) is een beveiligingsmechanisme in het SMB-protocol. SMB-ondertekening betekent dat elk SMB-bericht een handtekening bevat die wordt gegenereerd met behulp van de sessiesleutel. De client plaatst een hash van het hele bericht in het handtekeningveld van de SMB-header.

SMB-ondertekening verscheen eerst in Microsoft Windows 2000, Microsoft Windows NT 4.0 en Microsoft Windows 98. Ondertekeningsalgoritmen zijn in de loop van de tijd ontwikkeld. SMB 2.02-ondertekening is verbeterd door de introductie van HMAC SHA-256 (hash-based message authentication code) SHA-256, waarbij de oude MD5-methode uit de late jaren 1990 werd vervangen die in SMB1 werd gebruikt. SMB 3.0 heeft AES-CMAC-algoritmen toegevoegd. In Windows Server 2022 en Windows 11 hebben we AES-128-GMAC-ondertekeningsversnelling toegevoegd. Als u de beste combinatie van prestaties en beveiliging wilt, kunt u overwegen om een upgrade uit te voeren naar de nieuwste Windows-versies.

Hoe SMB-ondertekening de verbinding beveiligt

Als iemand tijdens de verzending een bericht wijzigt, komt de hash niet overeen en weet SMB dat iemand met de gegevens heeft geknoeid. De handtekening bevestigt ook de identiteiten van de afzender en ontvanger. Dit voorkomt relayaanvallen. In het ideale voorbeeld gebruikt u Kerberos in plaats van NTLMv2, zodat uw sessiesleutel sterk begint. Maak geen verbinding met shares met behulp van IP-adressen en gebruik geen CNAME-records, of u gebruikt NTLM in plaats van Kerberos. Gebruik in plaats daarvan Kerberos. Zie Computernaamaliassen gebruiken in plaats van DNS CNAME-records voor meer informatie.

Beleidslocaties voor SMB-ondertekening

Het beleid voor SMB-ondertekening bevindt zich in beveiligingsinstellingen voor computerconfiguratie>windows-instellingen>voor beveiligingsinstellingen>voor lokaal beleid.>

  • Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd)
    Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Registerwaarde: RequireSecuritySignature
    Gegevenstype: REG_DWORD
    Gegevens: 0 (uitschakelen), 1 (inschakelen)
  • Microsoft-netwerkclient: communicatie digitaal ondertekenen (indien de server akkoord gaat)
    Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Registerwaarde: EnableSecuritySignature
    Gegevenstype: REG_DWORD
    Gegevens: 0 (uitschakelen), 1 (inschakelen)
  • Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd)
    Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Registerwaarde: RequireSecuritySignature
    Gegevenstype: REG_DWORD
    Gegevens: 0 (uitschakelen), 1 (inschakelen)
  • Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client akkoord gaat)
    Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Registerwaarde: EnableSecuritySignature
    Gegevenstype: REG_DWORD
    Gegevens: 0 (uitschakelen), 1 (inschakelen)

Opmerking In deze beleidsregels geeft 'altijd' aan dat SMB-ondertekening is vereist en 'als de server akkoord gaat' of 'als de client akkoord gaat' geeft aan dat SMB-ondertekening is ingeschakeld.

Informatie over 'RequireSecuritySignature' en 'EnableSecuritySignature'

De registerinstelling EnableSecuritySignature voor de SMB2+-client en de SMB2+-server wordt genegeerd. Daarom doet deze instelling niets tenzij u SMB1 gebruikt. SMB 2.02 en hoger ondertekenen wordt alleen bepaald door vereist of niet. Deze instelling wordt gebruikt wanneer voor de server of client SMB-ondertekening is vereist. Alleen als beide zijn ingesteld op 0 , wordt de ondertekening niet uitgevoerd.

- Server : RequireSecuritySignature=1 Server : RequireSecuritySignature=0
Client : RequireSecuritySignature=1 Ondertekend Ondertekend
Client : RequireSecuritySignature=0 Ondertekend Niet ondertekend

Verwijzing

SMB-ondertekening configureren met vertrouwen

Gebruikers beschermen tegen onderscheppingsaanvallen via SMB Client Defense

SMB 2- en SMB 3-beveiliging in Windows 10: de anatomie van ondertekening en cryptografische sleutels

SMBv1 is niet standaard geïnstalleerd in Windows 10 versie 1709, Windows Server versie 1709 en latere versies

Netdom computernaam