Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Serverkomponente erforderlich ist.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignatur ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Client zugelassen wird.

Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver erst mit einem Microsoft-Netzwerkclient, wenn dieser der SMB-Paketsignierung zustimmt. Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignatur zwischen dem Client und Server ausgehandelt.

Standardeinstellung:

  • Deaktiviert für Mitgliedsserver
  • Aktiviert für Domänencontroller

Hinweise
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist.

Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client ebenso wenig eine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert.
Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt.
Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden.

Wichtig
Damit diese Richtlinie auf Computern unter Windows 2000 wirksam wird, muss auch die serverseitige Paketsignatur aktiviert werden. Legen Sie zum Aktivieren der serverseitigen SMB-Paketsignatur die folgende Richtlinie fest:
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Server zustimmt).

Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Windows 2000-Server auf 1 festgelegt werden:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=787136.

Regsitry Key: HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
Registry Value: RequireSecuritySignature
Secedit: n/a