Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur mit anfordernden Clients aushandelt.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur aushandelt, wenn sie von einem SMB-Client angefordert wird.

Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignatur aus, wie vom Client angefordert. Folglich wird die Paketsignatur ausgehandelt, wenn sie auf dem Client aktiviert ist. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Paketsignatur nie aus.

Standardeinstellung: Aktiviert (nur auf Domänencontrollern)

Wichtig
Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln, muss der folgende Registrierungswert auf dem Server mit Windows 2000 auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Hinweise
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist.
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist.

Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, eine SMB-Signatur vorzunehmen.
Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Diese Einstellung gilt nur für SMB 1.0-Verbindungen.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=787136.

Regsitry Key: HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
Registry Value: EnableSecuritySignature
Secedit: n/a