Microsoft-Netzwerkserver: Prüfungsstufe des Server-SPN-Zielnamens

Durch diese Richtlinieneinstellung wird die Stufe der Prüfung gesteuert, die von einem Computer mit freigegebenen Ordnern oder Druckern (dem Server) für den Dienstprinzipalnamen (SPN) ausgeführt wird, der vom Clientcomputer beim Einrichten einer Sitzung mit dem SMB-Protokoll (Server Message Block) bereitgestellt wird.

Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Datei- und Druckfreigabe und andere Netzwerkvorgänge, beispielsweise die Remoteverwaltung von Windows. Das SMB-Protokoll unterstützt die Prüfung des Dienstprinzipalnamens des SMB-Servers in dem Authentifizierungs-BLOB, das von einem SMB-Client bereitgestellt wird, um SMB-Server vor einer Angriffsklasse, so genannten SMB-Relayangriffen, zu schützen. Diese Einstellung betrifft sowohl SMB1 als auch SMB2.

Durch die Sicherheitseinstellung wird die Stufe der Prüfung festgelegt, die von einem SMB-Server für den Dienstprinzipalnamen (SPN) ausgeführt wird, der vom SMB-Client beim Einrichten einer Sitzung mit einem SMB-Server bereitgestellt wird.

Optionen:

  • Aus – Der SPN ist nicht erforderlich, oder der SPN eines SMB-Clients wird vom SMB-Server nicht überprüft.
  • Bei Bereitstellung durch den Client akzeptieren – Der vom SMB-Client bereitgestellte SPN wird vom Server akzeptiert und überprüft, und eine Sitzung kann eingerichtet werden, sofern sie der SPN-Liste des SMB-Servers für den Server entspricht. Liegt für den SPN KEINE Übereineinstimmung vor, wird die Sitzungsanforderung für den SMB-Client verweigert.
  • Gefordert von Client – Vom SMB-Client MUSS bei der Sitzungseinrichtung ein SPN gesendet werden, und der angegebene SPN MUSS mit dem SMB-Server übereinstimmen, der aufgefordert wird, eine Verbindung herzustellen. Wird vom Client kein SPN angegeben, oder liegt für den angegebenen SPN keine Übereinstimmung vor, wird die Sitzung verweigert.

Standard: Aus

Alle Windows-Betriebssysteme unterstützen sowohl clientseitige SMB-Komponenten als auch serverseitige SMB-Komponenten. Diese Einstellung betrifft das Verhalten des SMB-Servers, und die Implementierung muss sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckfunktionen zu verhindern. Zusätzliche Informationen über die Implementierung und Verwendung der Einstellung zum Schutz von SMB-Servern finden Sie auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=144505*1).

Regsitry Key: HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
Registry Value: SmbServerNameHardeningLevel
Secedit: n/a

*1
Diese Resource ist bei Microsoft nicht mehr verfügbar.