Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) beschrieben.
Referenz
Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln.
Die Implementierung von digitalen Signaturen in Hochsicherheitsnetzwerken verhindert den Identitätswechsel von Client-Computern und Servern, der als „Sitzungsübernahme“ bekannt ist. Eine falsche Verwendung dieser Richtlinieneinstellung ist jedoch ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.
Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Clientgerät keine Sitzung mit dem Server einrichten, sofern die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert. Wenn die clientseitige SMB-Signatur erforderlich ist, kann das Clientgerät auch keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.
Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.
Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.
Es gibt drei weitere Richtlinieneinstellungen, die in Verbindung zu den Paketsignaturanforderungen für SMB-Kommunikationen stehen:
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
Konfigurieren sie die Sicherheitsrichtlinieneinstellungen wie folgt:
Deaktivieren Sie Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer).
Deaktivieren Sie Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
Aktivieren Sie Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
Aktivieren Sie Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt).
Alternativ können Sie alle diese Richtlinien aktivieren. Beachten Sie dabei jedoch, dass durch die Aktivierung womöglich die Leistung auf Clientgeräten beeinträchtigt wird und diese nicht mit älteren SMB-Anwendungen und Betriebssystemen kommunizieren können.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Aktiviert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Sitzungsübernahme erfolgt mit Tools, mit denen Angreifer, die auf dasselbe Netzwerk Zugriff haben wie das Clientgerät oder der Server, eine gerade stattfindende Sitzung unterbrechen, beenden oder übernehmen können. Angreifer können nicht signierte SMB-Pakete abfangen und verändern und anschließend den Datenverkehr modifizieren und weiterleiten, sodass der Server möglicherweise unzulässige Aktionen ausführt. Außerdem besteht die Gefahr, dass der Angreifer sich nach erfolgreicher Authentifizierung als Server oder Client ausgibt und sich so uneingeschränkten Zugriff auf Daten verschafft.
SMB ist ein Protokoll zur Freigabe von Ressourcen, das von vielen Windows-Betriebssystemen unterstützt wird. SMB bildet die Basis von NetBIOS und vielen anderen Protokollen. SMB-Signaturen authentifizieren Benutzer und die Server, auf denen Daten gehostet werden. Wenn auf einer Seite der Authentifizierungsvorgang fehlschlägt, werden keine Daten übertragen.
Gegenmaßnahme
Konfigurieren Sie die Einstellungen wie folgt:
Deaktivieren Sie Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer).
Deaktivieren Sie Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
Aktivieren Sie Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt).
Aktivieren Sie Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt).
In hochsicheren Umgebungen empfehlen wir, alle diese Einstellungen zu aktivieren. Diese Konfiguration kann jedoch die Leistung auf Clientgeräten beeinträchtigen und die Kommunikation mit älteren SMB-Anwendungen und Betriebssystemen verhindern.
Hinweis
Eine alternative Gegenmaßnahme zum Schutz des gesamten Netzwerkverkehrs besteht darin, digitale Signaturen mit IPsec zu implementieren. Es gibt hardwarebasierte Beschleuniger für die IPsec-Verschlüsselung und -Signatur, mit denen die Leistungseinbußen der CPUs der Server verringert werden. Für SMB-Signaturen sind keine derartigen Beschleuniger erhältlich.
Mögliche Auswirkung
Das SMB-Datei- und Druckfreigabeprotokoll unterstützt die gegenseitige Authentifizierung. Dieser Ansatz verhindert Sitzungsübernahmen und, durch die Unterstützung der Nachrichtenauthentifizierung, Man-in-the-Middle-Angriffe. SMB-Signaturen bieten diese Authentifizierung: Sie platzieren eine digitale Signatur in jeden SMB, die von Client und Server überprüft wird.
Die Implementierung von SMB kann die Leistung beeinträchtigen, da jedes Paket signiert und überprüft werden muss. Wenn diese Einstellungen auf einem Server aktiviert sind, der mehrere Rollen ausfüllt (z. B. ein Server eines kleines Unternehmens, der als Domänencontroller, Dateiserver, Druckerserver und Anwendungsserver dient), kann sich die Leistung erheblich verschlechtern. Und wenn Sie die Einstellung so konfigurieren, dass Computer alle nicht signierten SMB-Kommunikationen ignorieren, können keine Verbindungen zu älteren Anwendungen und Betriebssystemen hergestellt werden. Wenn Sie allerdings SMB-Signaturen komplett deaktivieren, sind Ihre Computer anfällig für Sitzungsübernahmen.