Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob die SMB-Clientkomponente eine Paketsignatur erfordert.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von "Man-in-the-Middle"-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignatur ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird.

Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkclient nur dann mit einem Microsoft-Netzwerkserver, wenn dieser der SMB-Paketsignatur zustimmt. Wenn diese Richtlinie deaktiviert ist, wird die SMB-Paketsignatur zwischen dem Client und dem Server ausgehandelt.

Standardeinstellung: Deaktiviert

Wichtig:
Damit diese Richtlinie auf Computern unter Windows 2000 wirksam wird, muss auch die clientseitige Paketsignatur aktiviert werden. Stellen Sie zum Aktivieren der clientseitigen SMB-Paketsignatur die Richtlinie "Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)" ein.

Computer, auf denen diese Richtlinie eingestellt ist, können nicht mit Computern kommunizieren, auf denen die serverseitige Paketsignatur nicht aktiviert ist. Standardmäßig ist die serverseitige Paketsignatur nur auf Domänencontrollern unter Windows 2000 und höher aktiviert.

Die serverseitige Paketsignatur kann auf Computern unter Windows 2000 und höher durch Einstellen von "Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)" aktiviert werden.

Auf Computern unter Windows NT 4.0 Service Pack 3 und höher kann die serverseitige Paketsignatur durch Einstellen des folgenden Registrierungswerts auf 1 aktiviert werden:

  • HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature

Auf Computern unter Windows 95 oder Windows 98 kann die serverseitige Paketsignatur nicht aktiviert werden.

Hinweise:
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Um die SMB-Paketsignatur nutzen zu können, muss die Paketsignatur für die an der Kommunikation beteiligte clientseitige SMB-Komponente und serverseitige SMB-Komponente aktiviert oder erforderlich sein. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert wird.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert wird.

Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Client keine Sitzung mit dem Server einrichten, wenn die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert. Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.

Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.

Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.

Registrierung:
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\

Wert:
RequireSecuritySignature

Unterstützt auf:
Mindestens Windows XP SP2, Windows Server 2003