Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur mit Clients aushandelt, die die Signatur anfordern.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur aushandelt, wenn diese von einem SMB-Client angefordert wird.

Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignatur entsprechend der Anforderung des Clients aus. Wenn die Paketsignatur auf dem Client aktiviert wurde, wird die Paketsignatur folglich ausgehandelt. Wenn diese Richtlinieneinstellung deaktiviert ist, handelt der SMB-Client die SMB-Paketsignatur nie aus.

Standardeinstellung: Nur auf Domänencontrollern aktiviert

Wichtig:
Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Server unter Windows 2000 auf 1 eingestellt werden:

HKLM\System\CurrentControlSet\Services\lanmanserver\parameters!enableW9xsecuritysignature

Hinweise:
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Um die SMB-Paketsignatur nutzen zu können, muss die Paketsignatur für die an der Kommunikation beteiligte clientseitige SMB-Komponente und serverseitige SMB-Komponente aktiviert oder erforderlich sein. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert wird.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert wird.

Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Client keine Sitzung mit dem Server einrichten, wenn die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert.

Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.

Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.

Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.

Registrierung:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\

Wert:
EnableSecuritySignature

Unterstützt auf:
Mindestens Windows XP SP2, Windows Server 2003