Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)
Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignatur auszuhandeln.
Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln.
Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server beim Einrichten der Sitzung auf, die SMB-Paketsignatur auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignatur ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Signatur nie aus.
Standardeinstellung: Aktiviert
Hinweise
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist.
- Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
- Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist.
Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, eine SMB-Signatur vorzunehmen.
Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Diese Einstellung gilt nur für SMB 1.0-Verbindungen.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=787136.
Regsitry Key: HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
Registry Value: EnableSecuritySignature
Secedit: n/a