Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignatur auszuhandeln.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln.

Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server beim Einrichten der Sitzung auf, die SMB-Paketsignatur auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignatur ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Signatur nie aus.

Standardeinstellung: Aktiviert

Hinweise:
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Um die SMB-Paketsignatur nutzen zu können, muss die Paketsignatur für die an der Kommunikation beteiligte clientseitige SMB-Komponente und serverseitige SMB-Komponente aktiviert oder erforderlich sein. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert wird.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert wird.

Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Client keine Sitzung mit dem Server einrichten, wenn die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert.

Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.

Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.

Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.

Registrierung:
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\

Wert:
EnableSecuritySignature

Unterstützt auf:
Mindestens Windows XP SP2, Windows Server 2003