Tags: Verschlüsselung, Netzwerk, Dateisystem
Ab der Insider Preview Build 25381 verlangt Windows 11 standardmäßig bei allen Verbindungen zu anderen Geräten eine SMB-Signierung. Microsoft will mit dieser Voreinstellung das Sicherheitsniveau von SMB erhöhen. Vorerst betrifft dieser Default nur die Enterprise Edition, aber andere Editionen und Windows Server sollen demnächst folgen.
Bei der SMB-Signierung fügt der Client einen Hash der gesamten Nachricht in das Signaturfeld des SMB-Headers ein. Wird die Nachricht unterwegs geändert, dann stimmt der Hash beim Empfänger nicht mehr mit den übertragenen Daten überein. Außerdem bestätigt das SMB-Protokoll den Sender sowie den Empfänger und unterbindet so Relay-Angriffe.
Signierung bisher nur für ausgewählte Verbindungen
Bislang forderten Windows 10 und 11 eine SMB- Signatur nur für eine Verbindung zu SYSVOL- und NETLOGON-Freigaben an. Außerdem benötigen Domänen-Controller eine SMB-Signatur, wenn ein Client eine Verbindung zu ihnen herstellt.
Rein technisch ändert sich mit Entscheidung von Microsoft nichts, es handelt sich bloß um eine neue Voreinstellung für die SMB-Signierung. Der Hersteller hat länger mit dieser Maßnahme gezögert, weil sie zu Kompatibilitätsproblemen mit älteren Systemen führen kann. Admins sollten sich daher auf die bevorstehende Änderung vorbereiten.
Verbindungen mit Geräten ohne SMB-Signierung
Beim Versuch, eine Verbindung zu einer Remote-Freigabe auf einem SMB-Server eines Drittanbieters herzustellen, der keine SMB-Signatur zulässt, erscheint künftig eine der folgenden Fehlermeldungen:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- The cryptographic signature is invalid
Um dieses Problem zu lösen, empfiehlt Microsoft, den SMB-Server so zu konfigurieren, dass er SMB-Signaturen unterstützt.
Mit folgenden PowerShell-Befehlen lassen sich die aktuellen Client- und Server-Einstellungen für SMB-Signierung abfragen:
Get-SmbClientConfiguration | Format-List requiresecuritysignature
Get-SmbServerConfiguration | Format-List requiresecuritysignature
SMB-Signierung abschalten
Falls ein unverzichtbares Legacy-System die SMB-Signierung nicht zulässt, dann kann man sie für ausgehende Client-Verbindungen deaktivieren. Dazu führt man diesen Befehl in einer PowerShell mit Admin-Rechten aus:
Set-SmbClientConfiguration -RequireSecuritySignature $false
Und um die SMB-Signaturanforderung auf dem Server zu deaktivieren, gibt es den folgenden PowerShell-Befehl:
Set-SmbServerConfiguration -RequireSecuritySignature $false
In verwalteten Umgebungen kann man das Feature über Gruppenrichtlinien steuern. Die Einstellungen dafür finden sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen.
Probleme mit dem Gastzugang
Der Schlüssel für die SMB-Signatur wird aus dem Passwort des Benutzers abgeleitet. Da für ein Login als Gast kein Kennwort erforderlich ist, ist es in diesem Fall auch nicht möglich, eine SMB-Signierung durchzuführen. Die Verbindung wird daher abgewiesen.
Allerdings hat Microsoft bereits seit Windows 2000 das integrierte Gastkonto in der Voreinstellung nicht mehr aktiviert und auch ein Login als Gast standardmäßig nicht mehr zugelassen. Mittlerweile hat das Gastkonto auch keine Möglichkeit mehr, eine Remote-Verbindung zu Windows-Rechnern herzustellen.
Seit Windows 10 und SMB2+ wurde zudem der SMB2+-Gastzugriff sowie ein in der Vergangenheit möglicher, unsicherer Gast-Fallback deaktiviert. Für Administratoren, in deren Unternehmen der Gastzugang unbedingt benötigt wird, skizziert Microsoft in einem Blog-Beitrag eine Reihe von Lösungen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links