[English]Microsoft wird das sogenannte SMB-Signing (durch Sicherheitssignaturen) in Windows 11 und später auch in Windows 10 einführen. Das soll Systeme in Unternehmensumgebungen gegen NTLM-Relay-Angriffe schützen. Die betreffende Funktion wird ab sofort in Windows 11 (Enterprise Edition) für Windows Insider im Canary Channel ausgerollt. Später soll diese Funktion auch auf ältere Windows-Versionen (Windows 11 21H2 und Windows 10 zurück portiert werden).
Zum 2. Juni 2023 hat Microsoft die Windows 11 Insider Preview Build 25381 veröffentlicht (siehe den Beitrag Announcing Windows 11 Insider Preview Build 25381). In der Liste der Änderungen findet sich die folgend Passage:
SMB signing requirement changes
Beginning with Windows 11 Insider Preview Build 25381 Enterprise editions, SMB signing is now required by default for all connections. This changes legacy behavior, where Windows 10 and 11 required SMB signing by default only when connecting to shares named SYSVOL and NETLOGON and where Active Directory domain controllers required SMB signing when any client connected to them. This is part of a campaign to improve the security of Windows and Windows Server for the modern landscape.
Beginnend mit der Windows 11 Insider Preview Build 25381 (Enterprise-Edition) ist die SMB-Signierung nun standardmäßig für alle (Netzwerk-)Verbindungen erforderlich. Dies ändert das frühere Verhalten, bei dem Windows 10 und 11 die SMB-Signierung standardmäßig nur bei Verbindungen zu Freigaben mit den Namen SYSVOL und NETLOGON verlangten und bei denen Active Directory-Domänencontroller die SMB-Signierung verlangten, wenn ein Client eine Verbindung zu ihnen herstellte.
Falls es Probleme gibt
Windows und Windows Server unterstützen in allen Versionen die SMB-Signierung für Netzwerkverbindungen. Es kann jedoch sein, dass ein Drittanbieter diese Funktion deaktiviert oder nicht unterstützt. Wenn Nutzer versuchen, eine Verbindung zu einer Remotefreigabe auf einem SMB-Server eines Drittanbieters herzustellen, der die SMB-Signierung nicht zulässt, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- The cryptographic signature is invalid.
Um dieses Problem zu beheben, sind die SMB-Server des Drittanbieters so zu konfigurieren, dass er SMB-Signierung unterstützt wird, schreibt Microsoft. Microsoft rät davon ab, die SMB-Signierung in Windows zu deaktivieren oder SMB1 zu verwenden, um dieses Verhalten zu umgehen (SMB1 unterstützt die Signierung, erzwingt sie aber nicht).
Diese Änderung ist Bestandteil Microsofts, die Sicherheit von Systemen und Netzwerkverbindungen zu erhöhen. denn ein SMB-Gerät, das die Signierung nicht unterstützt, ermöglicht Abhör- und Weiterleitungsangriffe von böswilligen Akteuren.
Ned Pyle hat den Techcommunity-Beitrag SMB signing required by default in Windows Insider zu diesem Thema veröffentlicht. Das Erzwingen des SMB-Signing erfolgt zuerst für die Windows 11 Enterprise-Edition in der Insider Preview, soll später aber für Windows 11 und Windows 10 eingeführt werden. Damit geht die SMBv1-Unterstützung in Windows langsam zu Ende (das Protokoll wurde ja in Windows 11 schon länger nicht mehr aktiviert). Probleme könnte es bei Scannern und NAS-Laufwerken geben, die nur SMBv1 für den Netzwerkzugriff auf Freigaben unterstützen.
Microsoft schreibt, dass die SMB-Signierung die Leistung von SMB-Kopiervorgängen verringern kann. Dies lässt sich durch mehr physische CPU-Kerne oder virtuelle CPUs sowie durch neuere, schnellere CPUs abmildern. Die aktuellen SMB-Signierungseinstellungen lassen sich in einer administrativen Shell mit folgenden PowerShell-Befehlen anzeigen:
Get-SmbServerConfiguration | fl requiresecuritysignature
Get-SmbClientConfiguration | fl requiresecuritysignature
Um die SMB-Signierung in Clientverbindungen (ausgehend zu anderen Geräten) zu deaktivieren, lässt sich folgender PowerShell-Befehl in einer administrativen PowerShell-Umgebung verwenden.
Set-SmbClientConfiguration -RequireSecuritySignature $false
Um die Anforderung für die SMB-Signierung auf dem Server zu deaktivieren (unter Windows 11 Insider Preview Build 25381 und höher mit Geräten der Enterprise-Edition), führen Sie den folgenden PowerShell-Befehl als Administrator mit Administratorrechten aus:
Set-SmbServerConfiguration -RequireSecuritySignature $false
Es ist kein Neustart erforderlich, aber bestehende SMB-Verbindungen werden weiterhin signiert, bis sie geschlossen werden. (via)
„Um dieses Problem zu beheben,….“
So ein Quatsch.
Wenn jemand zuhause in seinem Netzwerk welches nur Kontrolliert Geräte ein und ausgehen lässt,
sollte der Benutzer diese Funktion einfach Deaktivieren, sofern ein Netzwerkgerät die Funktion nicht unterstüzt.
Microsoft macht es sich einfach wenn sie sagen, die Funktion einfach Aktivieren oder ggf. ein neues Gerät Kaufen.
Angenommen jemand verwendet dann doch noch ein sehr altes NAS, welches die Option nicht zulässt.
Dann Deaktiviert man die Funktion und gut ist.
Was erwartest du von Microsoft? Die erwarten einfach dass jeder es toll findet was sie rausbringen und das auch zwingend einsetzt. Wenn die Hardware nicht passt hat man neue zu kaufen. Sieht man doch auch bei der Hardware die für Windows 11 gefordert wird. Elektroschrott interessiert die in Redmond nicht.
Früher wurde Software so entwickelt, das die auf vorhandener Hardware läuft, denn Hardware war teuer.
Heute wird Software einfach so drauf los entwickelt und wenn es auf 2 Jahre alter Hardware nicht läuft, werden eben die Systemanforderungen heraufgesetzt.
Nimm z.B. Office: Das aktuelle Office benötigt viel Platz auf der Platte, ein Office 95 dagegen benötigt rel wenig Platz auf der Platte. Was kann denn ein aktuelles Office so viel mehr als ein Office 95? 85% der Funktionalität ist doch identisch.
Weshalb dann braucht ein aktuelles Office so viel mehr Speicherplatz auf der Platte? Weil die heutigen Softwareentwickler noch nie etwas von Datensparsamkeit gehört haben!
Was SMBv1 angeht: Wird das tatsächlich noch von irgendjemandem genutzt?
Selbst mein sehr altes NAS unterstützt schon SMBv2. SMBv2 ist nicht nur sicherer, sondern auch spürbar schneller als SMBv1. Alleine deswegen lohnt es schon, auf SMBv2 umzustellen.
> Was SMBv1 angeht: Wird das tatsächlich noch von irgendjemandem genutzt?
Sicherlich von mehr Leuten, als notwendig. Einfach weil die Geräte damit so vor X Jahren eingerichtet wurden und auch in Anleitungen und Hilfen im Netz findet man als Lösungen (NAS wird nicht gefunden / angezeigt) SMB1 unter Windows zu aktivieren.
Die reine Anzahl an Geräten, die wirklich nur SMB1 können (sehr altes / billiges NAS oder auch ein Router mit NAS Funktionen) dürfte halbwegs überschaubar sein.
… es sei denn es beschäftigt sich jemand zum Beispiel Hobby-mäßig noch mit alten Betriebssystemen… (auf alter Hardware)
Ich habe deswegen auf meinem Win 10 „Heimserver“ SMB V1 wieder aktiviert.
Ich sage nur Produktionsmaschinen. An diesen hängt häufig sogar noch ein Windows XP Rechner, den man nicht tauschen kann/darf, weil er vom Hersteller der Maschine kommt und ggfls. noch spezifische Hardware drin hat. Der kann dann nur SMB1 und muss trotzdem auf die Daten im Netzwerk zugreifen. Und Austausch nur mit Austausch der ganzen Maschine (was dann gerne auch mal so ne halbe Million oder noch mehr kostet).
Also so wenige sind das dann nicht, wie man meinen könnte.
„Früher wurde Software so entwickelt, das die auf vorhandener Hardware läuft, denn Hardware war teuer.
Heute wird Software einfach so drauf los entwickelt und wenn es auf 2 Jahre alter Hardware nicht läuft, werden eben die Systemanforderungen heraufgesetzt.“
Das ist schon mindestens 20 Jahre auf PCs so, wenn nicht sogar 30 Jahre. Abseits der PC-Plattform, Commodore, Atari, da hatte man kaum eine andere Wahl, so zu programmieren, dass die bestehende Hardware damit zurecht kam, weil diese Rechner nur schwer erweiterbar waren.
Ich habe tatsächlich bei Kunden einige Drucker vorgefunden, die bei Scan to Folder nur SMBv1 konnten.
Neuen Drucker kaufen/leasen wenn es vom Hersteller kein Firmware Update mehr gibt?
Ja.
Moin,
Ich bin in der Kyo Welt aktiv.
Es gibt FW die SMB 2/3 ermöglichen bis ins Modelljahr 2012.
Und das ist NICHT einfach so änderbar / implementierbar in die alten Modelle.
Das gleiche ist mit TLS 1.2.
Modelle die älter sind als Mitte 2013 haben es nicht.
Und bekommen es auch nicht.
Das ist aus Naturschutz sicht sch***.
Ja.
Aber wer zahlt die Entwicklung sonst?
Für die Systeme die aktiv Geld bringen die Firma. Und sonst?
Und teilweise ist es auch Techn. nicht so realisierbar.
Nicht vergessen, die „PCs“ in diesen IOT Teilen sind extrem spezifisch und schwer allgemein anpassbar.
Wir reden nicht von einem normalen Windows oder Linux !
Und, man kann über lokal gehostete „Forwarder“ vieles realisieren.
zB Mails die mit SSL3 noch eingehen.
Dieser Forwarder kann dann entsprechend auf der Ausgangsseite vieles haben.
Das kostet vor allem zweierlei:
Wissen
Und Zeit sich darum zu kümmern.
Und das ist für viele etwas was nicht in die Möglichkeiten im Kopf kommt.
Schau Dir das Windows 365 Konzept an. Du sollst in Zukunft im Grunde gar nichts mehr selbst deaktivieren/aktivieren/kontrollieren können.
Daher sollte man das auch nicht nutzen. Allein der Eigentümer der Hardware bestimmt darüber was für Software darauf läuft und mit welchen Einstellungen, nicht Microsoft. Und wenn sie das nicht verstehen ist Microsoft eben keine wählbare Möglichkeit mehr.
Mir hat mal ein namhafter Hersteller von PC Hardware auf meine Frage, wo ich Windows XP Treiber für das brandneue und mit Vista ausgelieferte Gerät finde, geantwortet: „Windows XP hat auf dem Notebook nichts zu suchen“. Dieser Hersteller war dann tatsächlich der Begründer meiner „dort kaufe ich keine Hardware“-Liste. Du bestimmst schon lange nicht mehr, was für Software auf der Hardware läuft, die Du kaufst. Thema Mobiltelefon, Tablet, Fernseher, etc.
Solange das keine Thin-Clients mit virtuellem PC in der Cloud sind, geht es noch.
Ok, also kennst Du das Windows 365 Konzept nicht.
Das ist nicht nur zu Hause so.
Auch in Unternehmensnetzen ist es manchmal kontraproduktiv, allzu viel Sicherheitsgedöns einzusetzen. Auch wenn der Softwarelieferant Microsoft das anders sieht.
Manchmal möchte man einfach zwischen zwei Maschinen einen möglichst hohen Datendurchsatz, bei möglichst wenig CPU-Last haben. Wenn es nicht virtuell ist, dann hat man da z.B. ein 50cm Kabel als Direktverbindung zwischen, um die Maschinen rum einen abgeschlossenen und überwachten Schrank und darum einen massiv gesicherten Raum.
Da brauche ich kein SMB-Signing, wenn ich da SMB auf der Leitung mache. Da brauche und will ich gar nichts, was da die Leistung mindert und neue Fehlerquellen eröffnet.
Es ist bei lokaler Verarbeitung sogar ziemlich häufig von großem Nutzen, wirklich alles aus einzelnen Verbindungen rauszunehmen, das eine Fehlerquelle und (weil es zusätzliche Software oder Bibliotheken braucht) Einfallstore für unerwartete Gefahren darstellen kann. Nicht nur Verschlüsselung, auch Virenscanner, Treiber und Hardware.
Das absolute Minimun des absolut Erforderlichen ist gerne das Optimum.
Dummerweise hält dir dann plötzlich ein Betriebswirtschaftler (kein Witz) einen Vortrag über ein Thema, von dem er der einzige ist, der da keine Ahnung von hat und deklariert alles als Sicherheitsrisiko, was unverschlüsselt und ohne Virenscan abläuft. Das natürlich sofort verschwindet, wenn man die Verschlüsselung anschaltet und einen russischen (naja, jetzt vielleicht nicht mehr, also eher amerikanischen) Virenschutzblob installiert, der die dann wieder aufbricht. Dann ist alles gut. Hey, darf auch kosten, was es wolle. Würde man von Betriebswirtschaftlern nicht denken, aber Dinge massiv verteuern, ist deren liebste Beschäftigung.
Wenn jetzt also Microsoft überall alles erzwingt, dann sind viele Buchhalter sicher total glücklich.
Bei so einer Direktverbindung, Ok. Aber wenn erstmal per Email-Anhang jemand in deinem Netz ist, der da nicht drin sein soll, bist du um jede Schutzmaßnahme froh, die du selbst umgesetzt hast oder die für dich von MS oder anderem Hersteller/Dienstleister umgesetzt wurde. Da gibts dann ganz andere Stellen als die „Buchhaltung“, die diese Sicherheit dann von dir fordern.
Ein System zu nutzen, das man über E-Mail Anhänge übernehmen kann, ist das Hauptproblem.
Die Realität ist Woche für Woche, dass über verseuchte Mailanhänge System übernommen werden. Wenn man wöchentlich Sicherheits-News liest oder IT Seiten besucht, die sich mit IT-Vorfällen beschäftigen, dann ist das Alltag.
Welches System schlägst du vor, dass nicht per verseuchtem Anhang übernmommen werden kann? Wie sieht deine Lösung aus?
Naja, das Problem könnte man schon einmal etwas abmildern, indem man eben ohne Adminrechte auf seinem System arbeitet.
Aber Microsoft bekomm es leider bis heute nicht hin, das die Leute zwangsweise einen normalen Benutzeraccount anlegen müssen.
Standard ist immer noch, das die Leute mit dem bei Systeminstallation eingerichteten Account, der nun einmal Adminrechte hat, arbeiten.
Und damit haben automatisch auch alle Schädlinge, die man sich einfängt, automatisch Adminrechte.
Und dann kommt noch brain.exe ins Spiel:
Die beste Antischädlingssoftware auf dem Planeten, aber leider bei vielen Benutzern mit mangelhaften Signaturen ausgestattet.
Aber durch intensive Schulung der Nutzer kann man die Signaturen aktuell halten.
Über vieles was MS da so „umsetzt“ sind die wenigsten froh. Ok du natürlich das wissen jetzt alle im Forum. Und wer da fordert ist meist das BSI oder „Cyberversicherungen“ dass man am liebsten zehn Virenscanner einsetzt. Dass die auch nicht unbedingt das gelbe vom Ei sind dürfte klar sein. Dass aber Microsoft es ums Verrecken nicht hinbekommt dass eben scheinbare PDF-Dateien ausführbar sein dürfen und die Dateiendungen eben nicht standardmäßig angezeigt werden versteht auch keiner.
Die IT besteht aber nicht nur aus Frontend-Computing, ist sogar der oft kleinere Teil der Infrastruktur.
Abgesehen davon schützt nicht jede Schutzmaßnahme wirklich. Nicht selten schaffen die erst ein Risiko, das vorher nicht da war. Und das ist dann aus meiner Sicht (und das ist die Sicht der IT-Sicherheit, auch nach BSI) schnell fahrlässig oder grob fahrlässig. Wird aber trotzdem von fachfremden Koriphäen propagiert und reingedrückt.
Ein einfaches Beispiel:
Ich habe (nicht nur) einen netztechnisch komplett abgeschotteten Server, der sich fortlaufend Dateien über eine Direktverbindung aus einem share zieht und diese dann wegsortiert. Quasi das Notfallbackup der kritischen Daten. Das aber nur als billiges Beispiel, an dem Server kann jetzt ein auch eigenes Verarbeitungssegment dranhängen etcpp.
Was ich dann will, ist ganz einfach: Der Server soll nichts weiter können, als genau das, was seine Aufgabe ist. Das heißt u.a.:
1.) Kein Internet, keine weitere Netzverbindung -> keine Angriffsfläche
Dafür musst Du alle Schutzmaßnahmen deaktivieren, die MS einbaut, die wollen alle ins Netz. Etwaige Updates musst Du offline einspielen.
2) Nur die Software, die für die Aufgabe nötig ist.
Jede weitere Software ist eine zu viel, denn sie bringt eine Gefährdung ins System, die vor ihr nicht da war.
3) Nur die Hardware, die für die Aufgabe benötigt wird.
Jedes weitere Bauteil stellt ein zusätzliches Defektrisiko dar und gefährdet die Datenverfügbarkeit. Und über die Treiber kommt neue Angriffsfläche, die ohne diese nicht da ist.
Das kann man fortführen.
Aber die generelle Stoßrichtung sollte klar sein. Und lässt sich auch beim BSI (wenn das Dein Maßstab ist) nachlesen.
Es sollte immer auf das Minimum dessen abgestellt werden, was zur Aufgabenerfüllung erforderlich ist. Was das Gegenteil dessen ist, was Microsoft macht. Es stellt immer alles zur Verfügung, was erforderlich sein könnte. Und Du musst dann „abrüsten“, wenn das noch geht.
Erst, wenn Du auf das Minimum abgerüstet hast, bewertest Du die verbleibenden Gefahren. Und implementierst Gegenmaßnahmen.
Alles was Du nicht aus dem System rausnehmen kannst, aber nicht brauchst, musst Du natürlich auch betrachten. Und Gegenmaßnahmen für deren Gefährdungen implementieren, die eigentlich nicht da sein müssten.
Das kostet Zeit, Geld und Ressourcen. Ne ganze Menge.
Was die Buchhaltung da fordert, ist also oft die Verwendung von Ressourcen für Dinge, die aus fachlicher Sicht nicht da sein sollten. Ich bin im Rahmen einer Betriebsprüfung mal in eine treffliche Diskussion mit einem Pw{ups}-Mitarbeiter (BWLer) geraten, der mir (zertifiziert für IT-Sicherheit) die Welt der IT-Sicherheit mit Hilfe einer einzigen Abhakliste für Alles erklären wollte. Und natürlich waren da alle Platitüden bei, also einmal bitte alles auf allem installieren und dann kann das abgenommen werden.
Ganz zum Schluss gipfelte das darin, dass die Passwort-Policy auf kürzere, dafür ständig wechselnde Passwörter umgestellt werden sollten und dem war weder mit Mathematik, noch mit Papers aus der Sicherheitsforschung beizukommen. Die Firma stellte die Kommunikation zu dem Thema schlichtweg ein und die Abnahme trudelte dann an mir vorbei dennoch ein.
Das alles hat mit Deinem Posting eigentlich nur wie folgt zu tun:
Verallgemeinerung und Abhakdenken sind nicht hilfreich, wenn es um die Lösung konkreter Fälle geht. Hat sich zwar in unserer Gesellschaft so eingeschlichen, aber so richtig erfolgreich sind wir damit ja auch nicht.
Und grundsätzlich ist IT-Sicherheit nicht das, was Du darunter verstehst.
Denn niemand kann in der IT-Sicherheit froh darüber sein, dass irgendwer irdengwelchen „Schutz“ umgesetzt hat. Das ist in jedem Einzelfall oder einer Gruppe gleichartiger Fälle zu durchleuchten, zu bewerten und dann zu adressieren.
Wer dafür keine Zeit hat: ok. Wer das nicht kann: ok. Wer das nicht will: meinetwegen.
Dann soll er halt mitnehmen, was er kriegen kann.
Das ist aber keine Haltung, die man dann vor sich her tragen und als gutes Beispiel zum Abgucken präsentieren sollte.
„Ich habe (nicht nur) einen netztechnisch komplett abgeschotteten Server, der sich fortlaufend Dateien über eine Direktverbindung aus einem share zieht und diese dann wegsortiert.“
Nein, hast Du nicht. „share“ ist eindeutig definiert in seinem Sinn. Wenn ein Server aus einem Share etwas zieht, ist das egal, ob über eine Direktverbindung per nassem Bindfaden, einer weiteren Netzwerkkarte in einem eigenen Subnetz oder APIPA oder sonst etwas. Du bist netztechnisch nicht komplett abgekoppelt, denn Du greifst auf eine geteilte Ressource zu. Die ganz sicher in einem Netzwerk hängt. Durch den Zugriff auf die Dateien in dieser Ressource ist Deine Abschottung bereits dahin, ob Du das nun glauben magst oder nicht.
Und warum hast Du dann in Deinem Heimnetz keinen echten Server und zudem noch SMBv1 an? Du widersprichst Dir in einem Beitrag selbst…
Danke Günter!
Habs mal unter meinen Tips und Tricks abgespeichert, wenn es denn dann kommt, das man, ohne langes suchen, gleich reagieren kann.
Allen einen schönen Sonntag
SMB ist ein ziemlich alter Schinken. Und wir haben nunmal 2023. SMBv1 zu verwenden ist wirklich nicht mehr notwendig. Und sollte Microsoft SMB signing erzwingen, dann sollte das auch keinem weh tun, denn schließlich gibt es auch das schon lange genug, dass sich jeder Hardwarehersteller und Softwareprogrammierer darauf einstellen konnte. Zu guter Letzt gibt es ja auch noch reichlich andere Möglichkeiten, Dateien schnell und sicher übers Netzwerk zu schicken.
Lt. Microsoft unterstützt Windows seit NT 4 (also ewig lange her) SMB Signing.
Das ist nun wirklich ein uralter Hut.
Jede SMB-fähige Software und Hardware sollte das also inzwischen unterstützen.
Wenn nicht, dann hat der Hersteller geschlafen.
Du hast anscheinend noch nie im Produktionsumfeld gearbeitet. Da sind Rechner mit Windows XP eher die Regel als die Ausnahme. Und bei Kosten von mind. einer halben Millionen Euro bis mehrere Million Euro pro Maschine (der
PC gilt seitens Lieferant als Teil der Maschine und wird vom Hersteller i.d.R. nicht separat getauscht) wird das Teil verwendet bis es kaputt ist. Und die müssen trotzdem irgendwie an die Daten kommen, die auf dem Fileserver liegen.
Das ist dann zwar so isoliert, dass die halt nur mit dem Server sprechen können und auch kein Internet haben, trotzdem musst dann irgendwie SMBv1 ans Fliegen bekommen, die Kiste kann nichts neueres.