{"id":302711,"date":"2024-09-05T01:00:19","date_gmt":"2024-09-04T23:00:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=302711"},"modified":"2024-09-20T18:36:49","modified_gmt":"2024-09-20T16:36:49","slug":"windows-11-server-2024-smb-security-hardening","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/05\/windows-11-server-2024-smb-security-hardening\/","title":{"rendered":"Windows 11\/Server 2024 SMB Security-Hardening"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat im Vorgriff auf die kommenden Releases von Windows 11 24H2 und Windows Server 2025 Ende August 2024 einen Techcommunity-Beitrag zum Thema \"SMB Security-Hardening\" ver\u00f6ffentlicht. Das Ganze ist Teil der Microsoft Secure Future Initiative (SFI), und die Betriebssysteme sollen bereits vom Start an \u00fcber geh\u00e4rtete SMB-Einstellungen verf\u00fcgen, um sich vor Cyberangriffen besser zu sch\u00fctzen.<\/p>\n

<\/p>\n

SMB in Windows<\/h2>\n

\"\"Das K\u00fcrzel SMB steht f\u00fcr Server Message Block<\/a>, ein Netzwerkprotokoll (auch unter dem Begriff Common Internet File System, <\/em>CIFS, bekannt) f\u00fcr Datei-, Druck- und andere Serverdienste in Rechnernetzwerken. Es ist ein zentraler Teil der Netzdienste der Windows-Produktfamilie und erlaubt den Zugriff auf Dateien und Verzeichnisse, die sich auf einem anderen Computer befinden.<\/p>\n

Das Protokoll ist in den Varianten SMBv1, SMBv2 und SMBv3 in Windows<\/em>-Client- und -Serverumgebungen aktiviert. Microsoft ist seit Jahren dabei, das \u00e4ltere SMBv1 aus Sicherheitsgr\u00fcnden abzuschalten und nur noch SMBv2 und SMBv3 zuzulassen. Ich hatte im Blog-Beitrag Windows 11 Home: SMB1 wird deaktiviert und k\u00fcnftig entfernt<\/a> dar\u00fcber berichtet. In einem Microsoft Support-Beitrag<\/a> beschreibt Microsoft wie sich SMBv1, SMBv2 und SMBv3 aktivieren und deaktivieren l\u00e4sst.<\/p>\n

Weiterhin hatte ich 2023 im Blog-Beitrag Windows: SMB-Signing wird (bald) f\u00fcr alle Versionen erzwungen<\/a> \u00fcber die Pl\u00e4ne Microsofts berichtet, das sogenannte SMB-Signing (durch Sicherheitssignaturen) in Windows 11 und sp\u00e4ter auch in Windows 10 einf\u00fchren. Das soll Systeme in Unternehmensumgebungen gegen NTLM-Relay-Angriffe sch\u00fctzen.<\/p>\n

SMB Security-Hardening<\/h2>\n

Bereits Ende August 2024 hat Ned Pyle in der Technet Community den Beitrag SMB security hardening in Windows Server 2025 & Windows 11<\/a> ver\u00f6ffentlicht (siehe auch der Hinweis von Thorsten E. in nachfolgendem Tweet).<\/p>\n

<\/a><\/p>\n

Im Beitrag spricht Pyle die \u00c4nderungen bei den kommenden Releases von Windows 11 24H2 und Windows Server 2025 in Bezug auf SMB an. Windows 11 24H2 und Windows Server 2025 sollen ein Dutzend neuer SMB-Funktionen enthalten, um Daten, Benutzer und damit die Unternehmen sicherer machen.<\/p>\n

SMB-Signierung standardm\u00e4\u00dfig erforderlich<\/h3>\n

Bei den kommenden Windows-Releases verlangt Microsoft\u00a0 standardm\u00e4\u00dfig die Signierung f\u00fcr alle ausgehenden und eingehenden SMB-Verbindungen von Windows 11 24H2 und f\u00fcr alle ausgehenden Verbindungen in Windows Server 2025. In fr\u00fcheren Windows-Versionen ist die SMB-Signierung standardm\u00e4\u00dfig nur bei Verbindungen zu Freigaben mit den Namen SYSVOL und NETLOGON erforderlich – und auch bei Konstellationen, wo Active Directory-Dom\u00e4nencontroller die SMB-Signierung f\u00fcr ihre Clients erfordern.<\/p>\n

SMB-Signierung ist laut Microsoft seit Jahrzehnten verf\u00fcgbar und verhindert Datenmanipulationen und Relay-Angriffe zum Diebstahl von Anmeldeinformationen. Indem Microsoft nun die Signierung standardm\u00e4\u00dfig vorschreibt, muss ein Administrator oder Benutzer sich aktiv gegen diese sicherere Konfiguration entscheiden – und diese Restriktion aufheben muss.<\/p>\n

SMB NTLM Blocking<\/h4>\n

Der SMB-Client unterst\u00fctzt jetzt die Blockierung der NTLM-Authentifizierung f\u00fcr ausgehende Remoteverbindungen. Dies \u00e4ndert das bisherige Verhalten, bei dem immer eine ausgehandelte Authentifizierung verwendet wurde, die von Kerberos zu NTLM herabgestuft werden konnte.<\/p>\n

Das Blockieren der NTLM-Authentifizierung verhindert, dass Clients nach Aufforderung NTLM-Anfragen an b\u00f6swillige Server senden. Das wirkt Brute-Force-, Cracking-, Relay- und Pass-the-Hash-Angriffen entgegen.<\/p>\n

Die Blockierung von NTLM ist auch erforderlich, um die Authentifizierung einer Organisation auf Kerberos umzustellen, das sicherer ist, weil es Identit\u00e4ten mit seinem Ticketsystem und besserer Kryptografie verifiziert. Administratoren k\u00f6nnen Ausnahmen festlegen, um die NTLM-Authentifizierung \u00fcber SMB bei bestimmten Servern zuzulassen.<\/p>\n

SMB-Authentifizierungsratenbegrenzer<\/h3>\n

Bei Brute-Force-Authentifizierungsangriffen wird der SMB-Server mit mehreren Benutzernamen- und Kennwortversuchen bombardiert, wobei die H\u00e4ufigkeit zwischen Dutzenden und Tausenden von Versuchen pro Sekunde liegen kann. Der SMB-Serverdienst drosselt nun im Rahmen der H\u00e4rtungsma\u00dfnahmen standardm\u00e4\u00dfig fehlgeschlagene Authentifizierungsversuche. Dies gilt f\u00fcr die SMB-Freigabe von Dateien sowohl unter Windows Server als auch unter Windows.<\/p>\n

Der SMB-Authentifizierungsratenbegrenzer ist standardm\u00e4\u00dfig mit einer Verz\u00f6gerung von 2 Sekunden zwischen jedem fehlgeschlagenen NTLM- oder Local KDC Kerberos-basierten Authentifizierungsversuch aktiviert. Ein Angriff, der beispielsweise 5 Minuten lang 300 Versuche pro Sekunde sendet – also 90.000 Versuche – w\u00fcrde nun 50 Stunden dauern, bis er abgeschlossen ist. Es ist viel wahrscheinlicher, dass ein Angreifer einfach aufgibt, als diese Methode weiter zu versuchen.<\/p>\n

Unsichere SMB-Gastauthentifizierung<\/h3>\n

Unsichere SMB-Gastauthentifizierung wird jetzt standardm\u00e4\u00dfig in Windows Pro-Editionen deaktiviert. Windows 11 Pro erlaubt standardm\u00e4\u00dfig keine SMB-Client-Gastverbindungen oder Gast-Fallback zu einem SMB-Server mehr. Dadurch funktioniert Windows 11 Pro wie Windows 10 und Windows 11 Enterprise, Education und Pro for Workstation seit Jahren.<\/p>\n

Gastanmeldungen erfordern keine Kennw\u00f6rter und unterst\u00fctzen keine Standardsicherheitsfunktionen wie Signierung und Verschl\u00fcsselung. Wenn Sie einem Client die Verwendung von Gastanmeldungen gestatten, ist der Benutzer anf\u00e4llig f\u00fcr Angreifer-in-the-Middle-Szenarien oder b\u00f6swillige Serverszenarien – z. B. ein Phishing-Angriff, der einen Benutzer dazu verleitet, eine Datei auf einer Remotefreigabe zu \u00f6ffnen, oder ein gef\u00e4lschter Server, der einem Client vorgaukelt, er sei legitim.<\/p>\n

Der Angreifer braucht die Anmeldedaten des Benutzers nicht zu kennen, und ein falsches Kennwort wird ignoriert. Nur Remote-Ger\u00e4te von Drittanbietern erfordern m\u00f6glicherweise standardm\u00e4\u00dfig einen Gastzugang. Die von Microsoft bereitgestellten Betriebssysteme haben den Gastzugang in Serverszenarien seit Windows 2000 nicht mehr aktiviert.<\/p>\n

SMB-Dialekt-Management<\/h3>\n

Bisher unterst\u00fctzten SMB-Server und -Client nur die automatische Aushandlung des h\u00f6chsten \u00fcbereinstimmenden Dialekts von SMB 2.0.2 bis 3.1.1. Mit den neuen Betriebssystemreleases k\u00f6nnen Administratoren jetzt die verwendeten SMB 2- und 3-Protokollversionen festlegen. Das bedeutet, dass sich \u00e4ltere Protokollversionen oder Ger\u00e4te absichtlich von der Verbindung ausschlie\u00dfen k\u00f6nnen.<\/p>\n

Administratoren k\u00f6nnen zum Beispiel festlegen, dass Verbindungen nur SMB 3.1.1 (die sicherste Protokollversion), verwenden. Die Mindest- und H\u00f6chstwerte k\u00f6nnen sowohl auf dem SMB-Client als auch auf dem SMB-Server unabh\u00e4ngig voneinander festgelegt werden, und Administratoren k\u00f6nnen auf Wunsch auch nur einen Mindestwert festlegen.<\/p>\n

SMB-Client-Verschl\u00fcsselungsmandat jetzt unterst\u00fctzt<\/h3>\n

Der SMB-Client unterst\u00fctzt jetzt die Anforderung der Verschl\u00fcsselung aller ausgehenden SMB-Verbindungen. Die Verschl\u00fcsselung aller ausgehenden SMB-Client-Verbindungen erzwingt die h\u00f6chste Stufe der Netzwerksicherheit und bringt Management-Parit\u00e4t in die SMB-Signierung. Wenn diese Funktion aktiviert ist, kann der SMB-Client keine Verbindung zu einem SMB-Server herstellen, der SMB 3.0 oder h\u00f6her nicht unterst\u00fctzt oder der keine SMB-Verschl\u00fcsselung unterst\u00fctzt. Ein SMB-Server eines Drittanbieters k\u00f6nnte beispielsweise SMB 3.0, aber keine SMB-Verschl\u00fcsselung unterst\u00fctzen. Im Gegensatz zur SMB-Signierung ist die Verschl\u00fcsselung nicht standardm\u00e4\u00dfig erforderlich.<\/p>\n

Remote Mailslots veraltet und standardm\u00e4\u00dfig deaktiviert<\/h3>\n

Remote Mailslots sind veraltet und werden standardm\u00e4\u00dfig f\u00fcr SMB und f\u00fcr die Verwendung des DC-Locator-Protokolls mit Active Directory deaktiviert. Das Remote Mailslot-Protokoll ist ein veraltetes, einfaches und unzuverl\u00e4ssiges IPC-Verfahren, das erstmals in MS DOS eingef\u00fchrt wurde, schreibt Pyle. Es ist v\u00f6llig unsicher und verf\u00fcgt \u00fcber keine Authentifizierungs- oder Autorisierungsmechanismen.<\/p>\n

SMB \u00fcber QUIC in Windows Server alle Editionen<\/h3>\n

SMB \u00fcber QUIC ist nun in allen Windows Server 2025 Editionen (Datacenter, Standard, Azure Edition) enthalten, nicht nur in der Azure Edition wie in Windows Server 2022. SMB \u00fcber QUIC ist eine Alternative zum herk\u00f6mmlichen TCP-Protokoll und wurde f\u00fcr die Verwendung in nicht vertrauensw\u00fcrdigen Netzwerken wie dem Internet entwickelt. Es verwendet TLS 1.3 und Zertifikate, um sicherzustellen, dass der gesamte SMB-Verkehr verschl\u00fcsselt und \u00fcber Edge-Firewalls f\u00fcr mobile und Remote-Benutzer nutzbar ist, ohne dass ein VPN erforderlich ist.<\/p>\n

SMB \u00fcber QUIC Client-Zugriffskontrolle<\/h3>\n

Mit der SMB-over-QUIC-Client-Zugriffskontrolle k\u00f6nnen Sie einschr\u00e4nken, welche Clients auf SMB-over-QUIC-Server zugreifen k\u00f6nnen. Das Legacy-Verhalten erlaubt Verbindungsversuche von jedem Client, der der Zertifikatsausstellungskette des QUIC-Servers vertraut. Die Client-Zugriffskontrolle erstellt Erlaubnis- und Sperrlisten f\u00fcr Ger\u00e4te, die eine Verbindung zum Dateiserver herstellen wollen. Ein Client muss nun sein eigenes Zertifikat besitzen und auf einer Zulassungsliste stehen, um die QUIC-Verbindung abzuschlie\u00dfen, bevor eine SMB-Verbindung hergestellt werden kann.<\/p>\n

Die Client-Zugriffskontrolle bietet Unternehmen mehr Schutz, ohne die Authentifizierung zu \u00e4ndern, die beim Herstellen der SMB-Verbindung verwendet wird, und die Benutzerfreundlichkeit wird nicht ver\u00e4ndert. Administratoren k\u00f6nnen den SMB-\u00fcber-QUIC-Client auch vollst\u00e4ndig deaktivieren oder nur die Verbindung zu bestimmten Servern zulassen.<\/p>\n

Alternative SMB-Anschl\u00fcsse<\/h3>\n

Sie k\u00f6nnen den SMB-Client verwenden, um eine Verbindung zu alternativen TCP-, QUIC- und RDMA-Ports herzustellen, die nicht den IANA\/IETF-Standardwerten 445, 5445 und 443 entsprechen. Unter Windows Server k\u00f6nnen Administratoren damit eine SMB-\u00fcber-QUIC-Verbindung an einem anderen zul\u00e4ssigen Firewall-Port als 443 hosten.<\/p>\n

Sie k\u00f6nnen nur dann eine Verbindung zu alternativen Ports herstellen, wenn der SMB-Server so konfiguriert ist, dass er das Abh\u00f6ren an diesem Port unterst\u00fctzt. Sie k\u00f6nnen Ihre Bereitstellung auch so konfigurieren, dass die Konfiguration alternativer Ports blockiert wird, oder festlegen, dass Ports nur mit bestimmten Servern verbunden werden k\u00f6nnen.<\/p>\n

SMB-Firewall-Standardport\u00e4nderungen<\/h3>\n

Die eingebauten Firewall-Regeln enthalten nicht mehr die SMB NetBIOS-Ports. Die NetBIOS-Ports waren nur f\u00fcr die Verwendung von SMB1 erforderlich. Aber dieses Protokoll ist veraltet und wird standardm\u00e4\u00dfig in den neuen Betriebssystemversionen entfernt. Mit dieser \u00c4nderung werden die SMB-Firewallregeln st\u00e4rker an das Standardverhalten der Windows Server File Server-Rolle angepasst. Administratoren k\u00f6nnen die Regeln neu konfigurieren, um die alten Ports wiederherzustellen.<\/p>\n

Verbesserungen bei der SMB-\u00dcberpr\u00fcfung<\/h3>\n

SMB unterst\u00fctzt jetzt die \u00dcberpr\u00fcfung der Verwendung von SMB \u00fcber QUIC, die fehlende Unterst\u00fctzung von Drittanbietern f\u00fcr die Verschl\u00fcsselung und die fehlende Unterst\u00fctzung von Drittanbietern f\u00fcr die Signierung. Dies alles geschieht auf der Ebene des SMB-Servers und SMB-Clients. Damit ist es f\u00fcr Administratoren viel einfacher festzustellen, ob Windows- und Windows Server-Ger\u00e4te SMB-over-QUIC-Verbindungen herstellen. Es ist auch viel einfacher, festzustellen, ob Drittanbieter Signierung und Verschl\u00fcsselung unterst\u00fctzen, bevor Sie deren Verwendung vorschreiben. Der Techcommunity-Beitrag verweist auf weiterf\u00fchrende Beitr\u00e4ge und enth\u00e4lt YouTube-Videos, die die \u00c4nderungen erl\u00e4utern.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows: SMB-Signing wird (bald) f\u00fcr alle Versionen erzwungen<\/a>
\nWindows 11 Home: SMB1 wird deaktiviert und k\u00fcnftig entfernt<\/a>
\nMicrosoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a>
\nSamba 4.11 deaktiviert SMBv1 und unterst\u00fctzt SMBv2<\/a>
\nSMBv1-FAQ und Windows-Netzwerke<\/a>
\nMicrosoft l\u00e4sst NetBIOS-Namensaufl\u00f6sung und LLMNR zuk\u00fcnftig auslaufen<\/a>
\nWindows 11 24H2 kann Probleme mit SMB-NAS-Anbindung machen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat im Vorgriff auf die kommenden Releases von Windows 11 24H2 und Windows Server 2025 Ende August 2024 einen Techcommunity-Beitrag zum Thema \"SMB Security-Hardening\" ver\u00f6ffentlicht. Das Ganze ist Teil der Microsoft Secure Future Initiative (SFI), und die Betriebssysteme sollen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,2557],"tags":[4328,8257,8373],"class_list":["post-302711","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-server","tag-sicherheit","tag-windows-11","tag-windows-server-2025"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=302711"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302711\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=302711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=302711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=302711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}