Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignatur auszuhandeln.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln.

Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server beim Einrichten der Sitzung auf, die SMB-Paketsignatur auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignatur ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Signatur nie aus.

Standardeinstellung: Aktiviert

Hinweise
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist.

Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, eine SMB-Signatur vorzunehmen.
Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Diese Einstellung gilt nur für SMB 1.0-Verbindungen.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=787136.

Regsitry Key: HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
Registry Value: EnableSecuritySignature
Secedit: n/a