Digital Sign Communications
Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei-und Druckerfreigabe und weitere Netzwerkaktivitäten, wie etwa die Remote-Windows-Verwaltung. Um zu verhindern, dass man über ein Man-in-the-Middle-Angriff, die SMB-Pakete bei der Übertragung ändern kann, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Dabei wird jeder Nachricht eine Signatur hinzugefügt, die auf Basis des Sitzungsschlüssels (AES verschlüsselt) generiert wurde.
Zeitgleich wenn möglich, kann auch der SMB-Dialect festgesetzt werden. Somit wird im ganzen Unternehmen nur noch SMBv3 in der Version 3.1.1 eingesetzt.
SMB-Serverpaketsignierung
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Diese Richtlinienoption steuert, ob der Server, der SMB bereitstellt, eine Paketsignierung erfordert. Sie bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor eine weitere Kommunikation mit einem SMB-Client zulässig ist.
Standardmäßig ist diese Einstellung für Domänencontroller aktiviert, jedoch für andere Mitgliedsserver innerhalb der Domäne deaktiviert.
Microsoft-Netzwerk (Server): Kommunikation digital signieren (*wenn Client zustimmt)
Diese Richtlinienoption legt fest, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern. Wenn diese Einstellung aktiviert ist, handelt der SMB-Server die SMB-Paketsignierung gemäß der Anforderung des Clients aus. Wenn die SMB-Paketsignierung auf dem Client aktiviert ist, wird sie vom Server ausgehandelt.
Standardmäßig ist diese Richtlinie nur auf Domänencontrollern aktiviert.
SMB-Client-Paketsignierung
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Durch aktivieren dieser Richtlinie wird sichergestellt, dass für den SMB-Client immer eine SMB-Paketsignatur erforderlich ist. Wenn der Server die SMB-Paketsignierung mit dem Client nicht unterstützt, kommuniziert der Client nicht mit dem Server.
Standardmäßig ist diese Richtlinie deaktiviert, d. h. SMB ist standardmäßig zulässig, ohne dass eine Paketsignierung erforderlich ist. Es ist immer noch möglich, dass Paketsignierung ausgehandelt wird, es ist nur nicht erforderlich, um zu funktionieren.
Microsoft-Netzwerk (Client): Kommunikation digital signieren (*wenn der Server zustimmt)
Diese Richtlinie ist standardmäßig aktiviert und legt fest, ob der SMB-Client versucht, die SMB-Paketsignatur mit dem Server auszuhandeln. Wenn dies stattdessen deaktiviert ist, versucht der Client überhaupt nicht, die SMB-Paketsignatur auszuhandeln.
*wird in einer GPO nicht mehr gebraucht, betrifft nur SMBv1
SMB-Signierung Dialect 3.1.1 per GPO
Hier eine Richtlinie die zeigen soll, wie der SMB-Signierung Dialect 3.1.1 bestimmt wird.
SMB-Signierung Matrix
| if agrees | Server SMB wenn zustimmt - aktiviert | Server SMB wenn zustimmt - deaktiviert |
|---|---|---|
| Client SMB wenn zustimmt - aktiviert | Signierung erfolgt | Signierung erfolgt |
| Client SMB wenn zustimmt - deaktiviert | Signierung erfolgt | keine Signierung |
| always | Server SMB wenn zustimmt - aktiviert | Server SMB immer - aktiviert | Server SMB immer - deaktiviert |
|---|---|---|---|
| Client SMB wenn zustimmt - aktiviert | Signierung erfolgt | Signierung erfolgt | Signierung erfolgt |
| Client SMB immer - aktiviert | Signierung erfolgt | Signierung erfolgt | keine Signierung |
| Client SMB immer - deaktiviert | Signierung erfolgt | keine Signierung | keine Signierung |
SMB-Signierung Registry-Keys
Server:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
“EnableSecuritySignature”=dword:00000001
“RequireSecuritySignature”=dword:00000000
Client:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
“EnableSecuritySignature”=dword:00000001
“RequireSecuritySignature”=dword:00000000
Info:
Wer den Wert an einem Client für den Eintrag “RequireSecuritySignature”=dword:00000001” setzt, kann massive Einschränkungen hinsichtlich der Transferraten zu einer NAS bekommen. Eine Drosselung von 80-90% sind möglich. Falls jemand mal das Problem habe sollte, dann setzt den Wert auf = 0.
https://www.der-windows-papst.de/2020/07/18/ldap-channel-binding-digital-sign-secure-channel-data-digital-sign-communications/