SMB Signing and Dialect per GPO

SMB-Signierung Dialect 3.1.1

Digital Sign Communications

Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei-und Druckerfreigabe und weitere Netzwerkaktivitäten, wie etwa die Remote-Windows-Verwaltung. Um zu verhindern, dass man über ein Man-in-the-Middle-Angriff, die SMB-Pakete bei der Übertragung ändern kann, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen.

Zeitgleich wenn möglich, kann auch der SMB-Dialect festgesetzt werden. Somit wird im ganzen Unternehmen nur noch SMBv3 in der Version 3.1.1 eingesetzt.

SMB-Serverpaketsignierung

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Diese Richtlinienoption steuert, ob der Server, der SMB bereitstellt, eine Paketsignierung erfordert. Sie bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor eine weitere Kommunikation mit einem SMB-Client zulässig ist.

Standardmäßig ist diese Einstellung für Domänencontroller aktiviert, jedoch für andere Mitgliedsserver innerhalb der Domäne deaktiviert.

Microsoft-Netzwerk (Server): Kommunikation digital signieren (*wenn Client zustimmt)
Diese Richtlinienoption legt fest, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern. Wenn diese Einstellung aktiviert ist, handelt der SMB-Server die SMB-Paketsignierung gemäß der Anforderung des Clients aus. Wenn die SMB-Paketsignierung auf dem Client aktiviert ist, wird sie vom Server ausgehandelt.

Standardmäßig ist diese Richtlinie nur auf Domänencontrollern aktiviert.

SMB-Client-Paketsignierung

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Durch aktivieren dieser Richtlinie wird sichergestellt, dass für den SMB-Client immer eine SMB-Paketsignatur erforderlich ist. Wenn der Server die SMB-Paketsignierung mit dem Client nicht unterstützt, kommuniziert der Client nicht mit dem Server.

Standardmäßig ist diese Richtlinie deaktiviert, d. h. SMB ist standardmäßig zulässig, ohne dass eine Paketsignierung erforderlich ist. Es ist immer noch möglich, dass Paketsignierung ausgehandelt wird, es ist nur nicht erforderlich, um zu funktionieren.

Microsoft-Netzwerk (Client): Kommunikation digital signieren (*wenn der Server zustimmt)
Diese Richtlinie ist standardmäßig aktiviert und legt fest, ob der SMB-Client versucht, die SMB-Paketsignatur mit dem Server auszuhandeln. Wenn dies stattdessen deaktiviert ist, versucht der Client überhaupt nicht, die SMB-Paketsignatur auszuhandeln.

*wird in einer GPO nicht mehr gebraucht, betrifft nur SMBv1

Bestimmen des SMB-Dialekts per GPO

Hier eine Richtlinie die zeigen soll, wie der SMB-Dialect bestimmt wird.

Download

LDAP Channel Binding, Digital Sign Secure Channel Data & Digital Sign Communications