Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Serverkomponente erforderlich ist.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Paket die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignatur ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Client zugelassen wird.

Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver nur dann mit einem Microsoft-Netzwerkclient, wenn dieser Client der SMB-Paketsignatur zustimmt. Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignatur zwischen dem Client und Server ausgehandelt.

Standardeinstellung:

  • Deaktiviert für Mitgliedsserver
  • Aktiviert für Domänencontroller

Hinweise:
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Um die SMB-Paketsignatur nutzen zu können, muss die Paketsignatur für die an der Kommunikation beteiligte clientseitige SMB-Komponente und serverseitige SMB-Komponente aktiviert oder erforderlich sein. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) - Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert wird.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) - Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert wird.

Wenn die serverseitige SMB-Signatur erforderlich ist, kann ein Client keine Sitzung mit dem Server einrichten, wenn die clientseitige SMB-Signatur nicht aktiviert ist. Die clientseitige SMB-Signatur ist standardmäßig auf Arbeitsstationen, Servern und Domänencontrollern aktiviert.

Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client keine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.

Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.

Die Verwendung der SMB-Paketsignatur kann zu einer Leistungsverschlechterung um bis zu 15 Prozent bei Dateidiensttransaktionen führen.

Wichtig:
Damit diese Richtlinie auf Computern unter Windows 2000 wirksam wird, muss auch die serverseitige Paketsignatur aktiviert werden. Stellen Sie zum Aktivieren der serverseitigen SMB-Paketsignatur die folgende Richtlinie ein:

  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Windows 2000-Server auf 1 eingestellt werden:

  • HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Computer, auf denen diese Richtlinie eingestellt ist, kommunizieren nicht mit Computern, auf denen die clientseitige Paketsignatur nicht aktiviert ist. Die clientseitige Paketsignatur kann auf Computern unter Windows 2000 und höher durch Einstellen der folgenden Richtlinie aktiviert werden.

Registrierung:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\

Wert:
RequireSecuritySignature

Unterstützt auf:
Mindestens Windows XP SP2, Windows Server 2003