Microsoft-Netzwerkserver: Die Überprüfungsstufe des Server-SPN-Zielnamens

Durch diese Richtlinieneinstellung wird die Stufe der Überprüfung gesteuert, die von einem Computer mit freigegebenen Ordnern oder Druckern (der Server) bezüglich des Dienstprinzipalnamens (SPN) ausgeführt wird, der vom Clientcomputer beim Einrichten einer Sitzung mit dem SMB (Server Message Block)-Protokoll bereitgestellt wird.

Das SMB (Server Message Block)-Protokoll bildet die Grundlage für Datei- und Druckfreigabe und andere Netzwerkvorgänge, beispielsweise Windows-Remoteverwaltung. Das SMB-Protokoll bietet Unterstützung bei der Überprüfung des Dienstprinzipalnamens des SMB-Servers in dem Authentifizierungsblob, der von einem SMB-Client bereitgestellt wird, um eine Klasse vor Angriffen gegen SMB-Server zu schützen (so genannten SMB-Relayangriffen). Diese Einstellung betrifft sowohl SMB1 als auch SMB2.

Durch die Sicherheitseinstellung wird die Stufe der Überprüfung festgelegt, die von einem SMB-Server bezüglich des Dienstprinzipalnamens (SPN) ausgeführt wird, der vom SMB-Client beim Einrichten einer Sitzung für einen SMB-Server bereitgestellt wird.

Optionen:

  • Aus - Der SPN ist nicht erforderlich, oder er wird vom SMB-Server nicht über einen SMB-Client überprüft.

Bei Bereitstellung durch den Client akzeptieren - Der vom SMB-Client bereitgestellte SPN wird akzeptiert und überprüft, und eine Sitzung kann eingerichtet werden, sofern Sie der SPN-Liste des SMB-Servers für den Server entspricht. Liegt für den SPN keine Übereineinstimmung vor, wird die Sitzungsanforderung für den SMB-Client verweigert.

Gefordert von Client - Vom SMB-Client muss bei der Sitzungseinrichtung ein SPN gesendet werden, und der angegebene SPN muss mit dem SMB-Server übereinstimmen, der für das Herstellen einer Verbindung angefordert wird. Wird vom Client kein SPN angegeben oder liegt für den angegebenen SPN keine Übereinstimmung vor, wird die Einrichtung der Sitzung verweigert.

Standard: Aus

Alle Windows-Betriebssysteme bieten sowohl für clientseitige SMB-Komponenten als auch für serverseitige SMB-Komponenten Unterstützung. Diese Einstellung betrifft das Verhalten des SMB-Servers, und die Implementierung muss sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckfunktionen zu verhindern. Zusätzliche Informationen zur Implementierung und Verwendung der Einstellung für die Sicherung der SMB-Server finden Sie auf der Microsoft-Website unter (http://go.microsoft.com/fwlink/?LinkId=144505).

Registrierung:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\

Wert:
SmbServerNameHardeningLevel

Unterstützt auf:
Mindestens Windows 7, Windows Server 2008 R2