Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden beschrieben.
Referenz
Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Diese Richtlinieneinstellung gestattet oder verhindert, dass der SMB-Redirector Klartextkennwörter an einen nicht von Microsoft stammenden Serverdienst sendet, der keine Kennwortverschlüsselung bei der Authentifizierung unterstützt.
Mögliche Werte
Aktiviert
Der SMB-Redirector darf Klartextkennwörter an einen nicht von Microsoft stammenden Serverdienst senden, der keine Kennwortverschlüsselung bei der Authentifizierung unterstützt.
Deaktiviert
Der SMB-Redirector sendet nur verschlüsselte Kennwörter an einen nicht von Microsoft stammenden SMB-Serverdienst. Wenn diese Serverdienste keine Kennwortverschlüsselung unterstützen, schlägt die Authentifizierungsanforderung fehl.
Nicht definiert
Bewährte Methoden
- Wir empfehlen, Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden auf „Deaktiviert“ zu setzen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Server Klartextkennwörter über das Netzwerk an andere Computer übermitteln, die SMB-Dienste anbieten. Diese anderen Geräte verwenden möglicherweise keine der SMB-Sicherheitsmethoden, die bei Windows Server 2003 oder höher enthalten sind.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden.
Mögliche Auswirkung
Einige ältere Anwendungen können möglicherweise nicht über das SMB-Protokoll mit den Servern in Ihrem Unternehmen kommunizieren.