Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Windows-Admins aufgepasst: SMB-Dateitransfer nur noch mit Signatur

Windows erzwingt künftig die SMB-Signatur – eine kleine, aber potenziell weitreichende Security-Maßnahme. Administratoren sollten ihre Systeme jetzt überprüfen.

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen

(Bild: Heise Medien)

Lesezeit: 2 Min.
iX Magazin
Von
  • Benjamin Pfister

Microsoft hat für seine Windows 11 Insider Preview Build 25381, sowie für die kommenden Monate für alle Windows 10, 11 und Server Versionen angekündigt, die Signatur des Server Message Block (SMB) Protokolls zu erzwingen. Zuvor war diese Sicherheitsmaßnahme nur optional. Jedoch möchten die Redmonder vor dem produktiven Einsatz zunächst die Ergebnisse der Preview abwarten. Dies reiht sich nahtlos in die SMB-Absicherungsmaßnahmen zur Systemhärtung ein: Erst 2022 hatte Microsoft die standardmäßige Deaktivierung von SMBv1 angekündigt und im Nachgang umgesetzt.

Was ist das SMB Signing?

Ein wichtiger Schritt, denn die kryptografische Signatur ermöglicht es, Manipulationen – zum Beispiel durch Man-in-the-Middle Angriffe – zu erkennen. Zuvor gab es nach Aussagen des Microsoft SMB-Experten Ned Pyle bloß die Voreinstellung, dass SMB-Signing nur für SYSVOL- und NETLOGON-Freigaben zwingend sowie bei Verbindungen zu Active Directory Domain Controllern – falls diese es anfordern – zum Einsatz kam.

Der Client fĂĽgt zur SMB Signatur einen Hash der gesamten Nachricht in das Signatur-Feld des SMB-Headers ein. Die Signatur baut auf dem Session Key und der entsprechenden Cipher Suite auf. Falls es eine Manipulation auf dem Transportweg gibt, stimmt der Hash nicht mehr ĂĽberein und das SMB-Protokoll erkennt, dass das Paket manipuliert wurde.

In SMB 2.02 wurde die Signatur mit HMAC SHA-256 (SMB1 = MD5) und in SMB 3.0 durch AES-CMAC verbessert. Windows Server 2022 und Windows 11 bieten nach Darstellung von Microsoft eine Signaturbeschleunigung durch AES-128-GMAC.

Im Blog-Beitrag in der Tech-Community beschreibt Microsoft weitere Empfehlungen sowie PowerShell-Befehle, um die aktuellen Einstellungen zu prĂĽfen. Ferner erhalten Administratoren hier Hinweise, wie man das Signing auf Client- und Serverseite fĂĽr den Notfall deaktivieren kann.

Nachdem Microsoft die Daumenschrauben zur Protokollhärtung der On-Premises-Umgebungen nun anzieht, bleibt abzuwarten, wann der Konzern den Schritt zur zwingenden SMB-Verschlüsselung mit SMB 3.0 wagt. Mit SMB-over-QUIC stünde seit Windows Server 2022 noch eine weitere verschlüsselte Alternative im Hause Microsoft bereit.

(fo)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten