Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) beschrieben.

Referenz

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln.

Die Implementierung von digitalen Signaturen in Hochsicherheitsnetzwerken verhindert den Identitätswechsel von Client-Computern und Servern, der als „Sitzungsübernahme“ bekannt ist. Eine falsche Verwendung dieser Richtlinieneinstellung ist jedoch ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.

Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Client keine Sitzung mit dem Server einrichten, wenn die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert. Wenn die clientseitige SMB-Signatur erforderlich ist, kann das Clientgerät auch keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.

Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.

Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.

Es gibt drei weitere Richtlinieneinstellungen, die in Verbindung zu den Paketsignaturanforderungen für SMB-Kommunikationen stehen:

Mögliche Werte

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Bewährte Methoden

  1. Konfigurieren sie die Sicherheitsrichtlinieneinstellungen wie folgt:

  2. Alternativ können Sie alle diese Richtlinien aktivieren. Beachten Sie dabei jedoch, dass durch die Aktivierung womöglich die Leistung auf Clientgeräten beeinträchtigt wird und diese nicht mit älteren SMB-Anwendungen und Betriebssystemen kommunizieren können.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Nicht definiert

Standardeinstellungen für eigenständige Server

Aktiviert

Effektive Standardeinstellungen für DC

Aktiviert

Effektive Standardeinstellungen für Mitgliedsserver

Aktiviert

Effektive Standardeinstellungen für Clientcomputer

Aktiviert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Die Sitzungsübernahme erfolgt mit Tools, mit denen Angreifer, die auf dasselbe Netzwerk Zugriff haben wie der Client bzw. Server, eine gerade stattfindende Sitzung unterbrechen, beenden oder übernehmen können. Angreifer können nicht signierte SMB-Pakete abfangen und verändern und anschließend den Datenverkehr modifizieren und weiterleiten, sodass der Server möglicherweise unzulässige Aktionen ausführt. Außerdem besteht die Gefahr, dass sich der Angreifer nach erfolgreicher Authentifizierung als Server oder Clientgerät ausgibt und sich so uneingeschränkten Zugriff auf Daten verschafft.

SMB ist ein Protokoll zur Freigabe von Ressourcen, das von vielen Windows-Betriebssystemen unterstützt wird. SMB bildet die Basis von NetBIOS und vielen anderen Protokollen. SMB-Signaturen authentifizieren Benutzer und die Server, auf denen Daten gehostet werden. Wenn auf einer Seite der Authentifizierungsvorgang fehlschlägt, werden keine Daten übertragen.

Gegenmaßnahme

Konfigurieren Sie die Einstellungen wie folgt:

In hochsicheren Umgebungen empfehlen wir, alle diese Einstellungen zu aktivieren. Diese Konfiguration kann jedoch die Leistung auf Clientgeräten beeinträchtigen und die Kommunikation mit älteren SMB-Anwendungen und Betriebssystemen verhindern.

Hinweis  

Eine alternative Gegenmaßnahme zum Schutz des gesamten Netzwerkverkehrs besteht darin, digitale Signaturen mit IPsec zu implementieren. Es gibt hardwarebasierte Beschleuniger für die IPsec-Verschlüsselung und -Signatur, mit denen die Leistungseinbußen der CPUs der Server verringert werden. Für SMB-Signaturen sind keine derartigen Beschleuniger erhältlich.

 

Mögliche Auswirkung

Implementierungen des SMB-Datei- und Druckfreigabeprotokolls unterstützen die gegenseitige Authentifizierung. Dieser Ansatz verhindert Sitzungsübernahmen und, durch die Unterstützung der Nachrichtenauthentifizierung, Man-in-the-Middle-Angriffe. SMB-Signaturen bieten diese Authentifizierung: Sie platzieren eine digitale Signatur in jeden SMB, die von Client und Server überprüft wird.

Die Implementierung von SMB kann die Leistung beeinträchtigen, da jedes Paket signiert und überprüft werden muss. Wenn diese Einstellungen auf einem Server aktiviert sind, der mehrere Rollen ausfüllt (z. B. ein Server eines kleines Unternehmens, der als Domänencontroller, Dateiserver, Druckerserver und Anwendungsserver dient), kann sich die Leistung erheblich verschlechtern. Und wenn Sie die Einstellung so konfigurieren, dass Geräte alle nicht signierten SMB-Kommunikationen ignorieren, können keine Verbindungen zu älteren Anwendungen und Betriebssystemen hergestellt werden. Wenn Sie allerdings SMB-Signaturen komplett deaktivieren, sind Ihre Geräte anfällig für Sitzungsübernahmen.

Verwandte Themen

Sicherheitsoptionen