{"id":282097,"date":"2023-06-03T08:34:46","date_gmt":"2023-06-03T06:34:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282097"},"modified":"2023-06-03T08:53:48","modified_gmt":"2023-06-03T06:53:48","slug":"windows-smb-signing-wird-fr-alle-versionen-erzwungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/03\/windows-smb-signing-wird-fr-alle-versionen-erzwungen\/","title":{"rendered":"Windows: SMB-Signing wird (bald) f&uuml;r alle Versionen erzwungen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/06\/03\/windows-smb-signing-required-soon-1st-for-windows-11-insider-preview\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft wird das sogenannte SMB-Signing (durch Sicherheitssignaturen) in Windows 11 und sp\u00e4ter auch in Windows 10 einf\u00fchren. Das soll Systeme in Unternehmensumgebungen gegen NTLM-Relay-Angriffe sch\u00fctzen. Die betreffende Funktion wird ab sofort in Windows 11 (Enterprise Edition) f\u00fcr Windows Insider im Canary Channel ausgerollt. Sp\u00e4ter soll diese Funktion auch auf \u00e4ltere Windows-Versionen (Windows 11 21H2 und Windows 10 zur\u00fcck portiert werden).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/42661082de264f26b43fa575201a12d1\" alt=\"\" width=\"1\" height=\"1\" \/>Zum 2. Juni 2023 hat Microsoft die Windows 11 Insider Preview Build 25381 ver\u00f6ffentlicht (siehe den Beitrag <a href=\"https:\/\/blogs.windows.com\/windows-insider\/2023\/06\/02\/announcing-windows-11-insider-preview-build-25381\/\" target=\"_blank\" rel=\"noopener\">Announcing Windows 11 Insider Preview Build 25381<\/a>). In der Liste der \u00c4nderungen findet sich die folgend Passage:<\/p>\n<blockquote><p><strong>SMB signing requirement changes<\/strong><\/p>\n<p>Beginning with Windows 11 Insider Preview Build 25381 Enterprise editions, SMB signing is now required by default for all connections. This changes legacy behavior, where Windows 10 and 11 required SMB signing by default only when connecting to shares named <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/itops-talk-blog\/how-to-defend-users-from-interception-attacks-via-smb-client\/ba-p\/1494995\" target=\"_blank\" rel=\"noopener\">SYSVOL and NETLOGON<\/a> and where Active Directory <a href=\"https:\/\/learn.microsoft.com\/windows\/security\/threat-protection\/security-policy-settings\/microsoft-network-client-digitally-sign-communications-always\" target=\"_blank\" rel=\"noopener\">domain controllers<\/a> required SMB signing when any client connected to them. This is part of a campaign to improve the security of Windows and Windows Server for the modern landscape.<\/p><\/blockquote>\n<p>Beginnend mit der Windows 11 Insider Preview Build 25381 (Enterprise-Edition) ist die SMB-Signierung nun standardm\u00e4\u00dfig f\u00fcr alle (Netzwerk-)Verbindungen erforderlich. Dies \u00e4ndert das fr\u00fchere Verhalten, bei dem Windows 10 und 11 die SMB-Signierung standardm\u00e4\u00dfig nur bei Verbindungen zu Freigaben mit den Namen SYSVOL und NETLOGON verlangten und bei denen Active Directory-Dom\u00e4nencontroller die SMB-Signierung verlangten, wenn ein Client eine Verbindung zu ihnen herstellte.<\/p>\n<h2>Falls es Probleme gibt<\/h2>\n<p>Windows und Windows Server unterst\u00fctzen in allen Versionen die SMB-Signierung f\u00fcr Netzwerkverbindungen. Es kann jedoch sein, dass ein Drittanbieter diese Funktion deaktiviert oder nicht unterst\u00fctzt. Wenn Nutzer versuchen, eine Verbindung zu einer Remotefreigabe auf einem SMB-Server eines Drittanbieters herzustellen, der die SMB-Signierung nicht zul\u00e4sst, wird m\u00f6glicherweise eine der folgenden Fehlermeldungen angezeigt:<\/p>\n<ul>\n<li>0xc000a000<\/li>\n<li>-1073700864<\/li>\n<li>STATUS_INVALID_SIGNATURE<\/li>\n<li>The cryptographic signature is invalid.<\/li>\n<\/ul>\n<p>Um dieses Problem zu beheben, sind die SMB-Server des Drittanbieters so zu konfigurieren, dass er SMB-Signierung unterst\u00fctzt wird, schreibt Microsoft. Microsoft r\u00e4t davon ab, die SMB-Signierung in Windows zu deaktivieren oder SMB1 zu verwenden, um dieses Verhalten zu umgehen (SMB1 unterst\u00fctzt die Signierung, erzwingt sie aber nicht).<\/p>\n<p>Diese \u00c4nderung ist Bestandteil Microsofts, die Sicherheit von Systemen und Netzwerkverbindungen zu erh\u00f6hen. denn ein SMB-Ger\u00e4t, das die Signierung nicht unterst\u00fctzt, erm\u00f6glicht Abh\u00f6r- und Weiterleitungsangriffe von b\u00f6swilligen Akteuren.<\/p>\n<p>Ned Pyle hat den Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/storage-at-microsoft\/smb-signing-required-by-default-in-windows-insider\/ba-p\/3831704\" target=\"_blank\" rel=\"noopener\">SMB signing required by default in Windows Insider<\/a> zu diesem Thema ver\u00f6ffentlicht. Das Erzwingen des SMB-Signing erfolgt zuerst f\u00fcr die Windows 11 Enterprise-Edition in der Insider Preview, soll sp\u00e4ter aber f\u00fcr Windows 11 und Windows 10 eingef\u00fchrt werden. Damit geht die SMBv1-Unterst\u00fctzung in Windows langsam zu Ende (das Protokoll wurde ja in Windows 11 schon l\u00e4nger nicht mehr aktiviert). Probleme k\u00f6nnte es bei Scannern und NAS-Laufwerken geben, die nur SMBv1 f\u00fcr den Netzwerkzugriff auf Freigaben unterst\u00fctzen.<\/p>\n<p>Microsoft schreibt, dass die SMB-Signierung die Leistung von SMB-Kopiervorg\u00e4ngen verringern kann. Dies l\u00e4sst sich durch mehr physische CPU-Kerne oder virtuelle CPUs sowie durch neuere, schnellere CPUs abmildern. Die aktuellen SMB-Signierungseinstellungen lassen sich in einer administrativen Shell mit folgenden PowerShell-Befehlen anzeigen:<\/p>\n<pre><code>Get-SmbServerConfiguration | fl requiresecuritysignature\r\nGet-SmbClientConfiguration | fl requiresecuritysignature<\/code><\/pre>\n<p>Um die SMB-Signierung in Clientverbindungen (ausgehend zu anderen Ger\u00e4ten) zu deaktivieren, l\u00e4sst sich folgender PowerShell-Befehl in einer administrativen PowerShell-Umgebung verwenden.<\/p>\n<pre><code>Set-SmbClientConfiguration -RequireSecuritySignature $false<\/code><\/pre>\n<p>Um die Anforderung f\u00fcr die SMB-Signierung auf dem Server zu deaktivieren (unter Windows 11 Insider Preview Build 25381 und h\u00f6her mit Ger\u00e4ten der Enterprise-Edition), f\u00fchren Sie den folgenden PowerShell-Befehl als Administrator mit Administratorrechten aus:<\/p>\n<pre>Set-SmbServerConfiguration -RequireSecuritySignature $false<\/pre>\n<p>Es ist kein Neustart erforderlich, aber bestehende SMB-Verbindungen werden weiterhin signiert, bis sie geschlossen werden. (<a href=\"https:\/\/www.neowin.net\/news\/microsoft-says-smb-signing-by-default-is-coming-to-more-editions-of-windows\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft wird das sogenannte SMB-Signing (durch Sicherheitssignaturen) in Windows 11 und sp\u00e4ter auch in Windows 10 einf\u00fchren. Das soll Systeme in Unternehmensumgebungen gegen NTLM-Relay-Angriffe sch\u00fctzen. Die betreffende Funktion wird ab sofort in Windows 11 (Enterprise Edition) f\u00fcr Windows Insider im &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/03\/windows-smb-signing-wird-fr-alle-versionen-erzwungen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,301,3694],"tags":[4307,4328,3288],"class_list":["post-282097","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-windows","category-windows-10","tag-netzwerk","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282097"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282097\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}