SMB Signing and Dialect

SMB-Signierung Dialect 3.1.1

Digital Sign Communications

Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei-und Druckerfreigabe und weitere Netzwerkaktivitäten, wie etwa die Remote-Windows-Verwaltung. Um zu verhindern, dass man über ein Man-in-the-Middle-Angriff, die SMB-Pakete bei der Übertragung ändern kann, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Dabei wird jeder Nachricht eine Signatur hinzugefügt, die auf Basis des Sitzungsschlüssels (AES verschlüsselt) generiert wurde.

Zeitgleich wenn möglich, kann auch der SMB-Dialect festgesetzt werden. Somit wird im ganzen Unternehmen nur noch SMBv3 in der Version 3.1.1 eingesetzt.

SMB-Signierung Dialect 3.1.1

SMB-Serverpaketsignierung

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Diese Richtlinienoption steuert, ob der Server, der SMB bereitstellt, eine Paketsignierung erfordert. Sie bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor eine weitere Kommunikation mit einem SMB-Client zulässig ist.

Standardmäßig ist diese Einstellung für Domänencontroller aktiviert, jedoch für andere Mitgliedsserver innerhalb der Domäne deaktiviert.

Microsoft-Netzwerk (Server): Kommunikation digital signieren (*wenn Client zustimmt)
Diese Richtlinienoption legt fest, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern. Wenn diese Einstellung aktiviert ist, handelt der SMB-Server die SMB-Paketsignierung gemäß der Anforderung des Clients aus. Wenn die SMB-Paketsignierung auf dem Client aktiviert ist, wird sie vom Server ausgehandelt.

Standardmäßig ist diese Richtlinie nur auf Domänencontrollern aktiviert.

SMB-Client-Paketsignierung

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Durch aktivieren dieser Richtlinie wird sichergestellt, dass für den SMB-Client immer eine SMB-Paketsignatur erforderlich ist. Wenn der Server die SMB-Paketsignierung mit dem Client nicht unterstützt, kommuniziert der Client nicht mit dem Server.

Standardmäßig ist diese Richtlinie deaktiviert, d. h. SMB ist standardmäßig zulässig, ohne dass eine Paketsignierung erforderlich ist. Es ist immer noch möglich, dass Paketsignierung ausgehandelt wird, es ist nur nicht erforderlich, um zu funktionieren.

Microsoft-Netzwerk (Client): Kommunikation digital signieren (*wenn der Server zustimmt)
Diese Richtlinie ist standardmäßig aktiviert und legt fest, ob der SMB-Client versucht, die SMB-Paketsignatur mit dem Server auszuhandeln. Wenn dies stattdessen deaktiviert ist, versucht der Client überhaupt nicht, die SMB-Paketsignatur auszuhandeln.

*wird in einer GPO nicht mehr gebraucht, betrifft nur SMBv1

SMB-Signierung Dialect 3.1.1 per GPO

Hier eine Richtlinie die zeigen soll, wie der SMB-Signierung Dialect 3.1.1 bestimmt wird.

Download

SMB-Signierung Matrix

if agreesServer SMB wenn zustimmt - aktiviertServer SMB wenn zustimmt - deaktiviert
Client SMB wenn zustimmt - aktiviertSignierung erfolgtSignierung erfolgt
Client SMB wenn zustimmt - deaktiviertSignierung erfolgtkeine Signierung
alwaysServer SMB wenn zustimmt - aktiviertServer SMB immer - aktiviertServer SMB immer - deaktiviert
Client SMB wenn zustimmt - aktiviertSignierung erfolgtSignierung erfolgtSignierung erfolgt
Client SMB immer - aktiviertSignierung erfolgtSignierung erfolgtkeine Signierung
Client SMB immer - deaktiviertSignierung erfolgtkeine Signierungkeine Signierung

SMB-Signierung Registry-Keys

Server:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
“EnableSecuritySignature”=dword:00000001
“RequireSecuritySignature”=dword:00000000

Client:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
“EnableSecuritySignature”=dword:00000001
“RequireSecuritySignature”=dword:00000000

LDAP Channel Binding, Digital Sign Secure Channel Data & Digital Sign Communications