Microsoft-Netzwerk (Server): SPN-Zielnamenüberprüfungsstufe für Server
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Microsoft-Netzwerkserver: SPN-Zielnamenüberprüfungsstufe für Server beschrieben.
Referenzen
Durch diese Richtlinieneinstellung wird die Stufe der Überprüfung gesteuert, die ein Server mit freigegebenen Ordnern oder Druckern bezüglich des Dienstprinzipalnamens (Server Principal Name, SPN) ausführt, der vom Clientgerät beim Einrichten einer Sitzung mit dem SMB-Protokoll (Server Message Block) bereitgestellt wird. Die Stufe der Überprüfung kann vor einer Klasse von Angriffen auf SMB-Dienste (als SMB-Relay-Angriffe bezeichnet) schützen. Diese Einstellung wirkt sich auf SMB1 und SMB2 aus.
Server, die SMB verwenden, gewähren Clientgeräten im Netzwerk Zugriff auf ihre Dateisysteme und andere Ressourcen, wie z. B. Drucker. Die meisten Server, die SMB verwenden, überprüfen den Benutzerzugriff auf Ressourcen durch NT-Domänenauthentifizierung (NTLMv1 und NTLMv2) und das Kerberos-Protokoll.
Mögliche Werte
Für die Überprüfungsstufe sind folgende Optionen verfügbar:
Aus
Der SPN von einem SMB-Client ist nicht erforderlich oder wird vom SMB-Server überprüft.
Bei Bereitstellung durch Client akzeptieren
Der SMB-Server akzeptiert und überprüft den vom SMB-Client bereitgestellten SPN, und es kann eine Sitzung eingerichtet werden, sofern sie der SNP-Liste des SMB-Servers entspricht. Liegt für den SPN keine Übereinstimmung vor, wird die Sitzungsanforderung für diesen SMB-Client verweigert.
Gefordert von Client
Der SMB-Client muss bei der Sitzungseinrichtung einen SPN senden, und der bereitgestellte SPN muss mit dem SMB-Server übereinstimmen, der zum Herstellen einer Verbindung angefordert wird. Wenn vom Clientgerät kein SPN bereitgestellt wird oder für den bereitgestellten SPN keine Übereinstimmung vorliegt, wird die Sitzung verweigert.
Die Standardeinstellung ist „Aus“.
Bewährte Methoden
Diese Einstellung Gilt für das Verhalten des SMB-Servers, und die Implementierung muss sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckfunktionen zu verhindern.
Hinweis
Alle Windows-Betriebssysteme unterstützen eine clientseitige SMB-Komponente und eine serverseitige SMB-Komponente.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Aus |
Standardrichtlinie für Domänencontroller |
Aus |
Standardeinstellungen für eigenständige Server |
Aus |
Effektive Standardeinstellungen für Domänencontroller |
Überprüfung der Überprüfungsstufe nicht implementiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Überprüfung der Überprüfungsstufe nicht implementiert |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Überprüfung der Überprüfungsstufe nicht implementiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Keine.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Durch diese Richtlinieneinstellung wird die Stufe der Überprüfung gesteuert, die ein Server mit freigegebenen Ordnern oder Druckern bezüglich des Dienstprinzipalnamens (SPN) ausführt, der vom Clientgerät beim Einrichten einer Sitzung mit dem SMB-Protokoll bereitgestellt wird. Die Stufe der Überprüfung kann vor einer Klasse von Angriffen auf SMB-Server (bezeichnet als SMB-Relay-Angriffe) schützen. Diese Einstellung wirkt sich auf SMB1 und SMB2 aus.
Gegenmaßnahme
Gegenmaßnahmen, die für Ihre Umgebung geeignet sind, finden Sie unter Mögliche Werte weiter oben.
Mögliche Auswirkung
Alle Windows-Betriebssysteme unterstützen eine clientseitige SMB-Komponente und eine serverseitige SMB-Komponente. Diese Einstellung wirkt sich auf das Verhalten des SMB-Servers aus, und die Implementierung muss sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckfunktionen zu verhindern.
Da das SMB-Protokoll weit verbreitet ist, wird durch Festlegen der Optionen auf Bei Bereitstellung durch Client akzeptieren oder Gefordert von Client bei einigen Clients verhindert, dass sie sich erfolgreich bei Servern in Ihrer Umgebung authentifizieren.