Härtung des Dateitransfers: Microsoft sichert das SMB-Protokoll ab
Mit zwei Maßnahmen sichert Microsoft sowohl die SMB Client- als auch die Serverseite besser ab. Wir zeigen, worauf Administratoren achten müssen.
(Bild: Primakov/Shutterstock.com)
- Benjamin Pfister
In der hauseigenen Tech Community kündigt Microsoft sowohl für die SMB Client- als auch die Serverseite erweiterte Härtungsmaßnahmen an. Der SMB-Spezialist Ned Pyle gab diese Neuerungen ab der Windows 11 Preview 25951 bekannt.
Die erste betrifft die Steuerung von Dialekten in der SMB-Komponente. Nachdem Microsoft bereits vor einiger Zeit SMB in der Version 1 im Default deaktiviert hat, bestand das Standardverhalten darin, dass Client und Server immer die höchste kompatible Versionsnummer von 2.0.2 bis 3.1.1 aushandelten.
Gruppenrichtlinie Min/Max
Die Preview 25951 erlaubt es gemäß Angaben der Redmonder, eine minimale und eine maximale Versionsnummer per Gruppenrichtlinie (GPO) für den Server unter "Computer Configuration \ Administrative Templates \ Network \ Lanman Server \ Mandate the minimum version of SMB" oder "Mandate the maximum version of SMB" vorzunehmen. Für Clients findet sich die Einstellung unter "Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation\ Mandate the minimum version of SMB", beziehungsweise "Mandate the maximum version of SMB".
(Bild: Microsoft)
Wer sich lieber auf der Kommandozeile bewegt, kann die Einstellungen auch über die PowerShell vornehmen. Hier das entsprechende Cmdlet mit den entsprechenden Argumenten: Set-SmbClientConfiguration -Smb2DialectMax {SMB202 | SMB210 | SMB300 | SMB302 | SMB311 | None} -Smb2DialectMin {None | SMB202 | SMB210 | SMB300 | SMB302 | SMB311}
Somit können Administratoren nun feinere Einstellungen zur SMB-Versionshärtung vornehmen, also beispielsweise nur noch 3.1.1 auf Client- und Serverseite zulassen – falls Legacy-Applikationen nicht noch ältere Versionen nötig machen.
Vermeidung der NTLM-Authentifizierung
Zusätzlich kommt in der gleichen Preview für die SMB-Client-Komponente auch die Option zum Blockieren von NTLM für ausgehende Verbindungen. Zuvor war über SMB SPNEGO eine Aushandlung von NTLM, Kerberos und anderen Protokollen möglich. Bei NTLM bedeutete das gleichzeitig: "Alle Versionen von NTLM erlaubt". Also ist sowohl LM, NTLM, als auch NTLMv2 aktiviert. In der Preview besteht gemäß Microsoft die Option, NTLM nur für die SMB-Client-Komponente abzuschalten, ohne NTLM systemweit für alle Protokolle zu deaktivieren.
Auch diese neue Einstellung kann der Administrator per GPO oder PowerShell vornehmen. Die neue Gruppenrichtlinie findet sich unter "Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation \ Block NTLM (LM, NTLM, NTLMv2)". Über die PowerShell geht dies über Set-SMbClientConfiguration -BlockNTLM $true.
Um NTLM für spezifische Mappings zu deaktivieren, kann man NET USE heranziehen: "NET USE \\server\share /BLOCKNTLM". Alternativ dient das PowerShell-Pendant New-SmbMapping -RemotePath \\server\share -BlockNTLM $true.
Das Active Directory ist eins der größten Einfallstore in die Firmen-IT und Verteilzentrale für Ransomware. Wie man es absichert, zeigt das neue iX kompakt. Erhältlich ist es ab sofort als Heft oder PDF im heise Shop: https://heise.de/s/bOq1
Microsoft geht nach eigenen Angaben davon aus, dass das bei gejointen Active-Directory-Clients und der Nutzung von Domänen-Accounts keine Auswirkung hat, da diese immer Kerberos verwenden sollten. Zu einem späteren Zeitpunkt soll es noch eine Option geben, um NTLM per Whitelisting für dedizierte Ziele zu erlauben. Die Microsoft-Strategie sieht jedoch vor, aus Sicherheitsgründen NTLM komplett obsolet zu machen.
(fo)
