SMB-Protokoll, Microsoft Es dient der Datei- und Druckerfreigabe in einem netzwerkbasierten Netzwerk. unterwegs SMB Um Man-in-the-Middle-Angriffe (MITM) zu erkennen, die den Datenverkehr manipulieren könnten, SMB Wir können die Signatur über Gruppenrichtlinien konfigurieren.
Inhaltsverzeichnis
SMB-Signierung, WindowsVerfügbar für alle unterstützten Versionen von . Microsoft Darüber hinaus hängt es von Faktoren wie der SMB-Version, der Dateigröße und der verwendeten Hardware ab. SMB Unterzeichnung des Pakets SMBEs ist wichtig zu beachten, dass dadurch die Leistung von verringert werden kann, was zu erwarten ist, da wir jedes Paket signieren, das das Netzwerk passiert, und dies zusätzlichen Overhead verursacht.
dass SMB verschlüsselt keinen Datenverkehr, nur Client und Server SMB um festzustellen, ob der Datenverkehr geändert wurde oder nicht. SMB Beachten Sie, dass wir die Signatur konfigurieren.
SMB-Signierung entsprechend unserer Umgebung konfiguriert GPO Wir können dies tun, indem wir ein neues verwenden GPO Es wird empfohlen, eine zu erstellen.
Für diesen Prozess müssen wir folgen GPO Der Schritt ist wie folgt;
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.SMB-Signierung muss zur Konfiguration verwendet werden 4 Es gibt eine Richtlinie, diese Richtlinien Zur Erläuterung können wir eine Definition wie folgt erstellen.
Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)
Diese Richtlinie steuert, ob der SMB-bereitstellende Server eine Paketsignierung erfordert, und bestimmt, ob eine SMB-Paketsignierung vereinbart werden muss, bevor die weitere Kommunikation mit dem SMB-Client zulässig ist.
Standardmäßig ist diese Einstellung für Domänencontroller aktiviert, für andere Mitgliedsserver in der Domäne jedoch deaktiviert.
Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern der Kunde zustimmt)
Diese Richtlinie bestimmt, ob der SMB-Server die SMB-Paketsignierung mit anfragenden Clients aushandelt. Wenn diese Einstellung aktiviert ist, handelt der SMB-Server die SMB-Paketsignierung basierend auf der Anfrage des Clients aus. Wenn die SMB-Paketsignierung auf dem Client aktiviert ist, wird sie vom Server ausgehandelt. Standardmäßig ist diese Richtlinie nur auf Domänencontrollern aktiv.
Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)
Durch die Aktivierung dieser Richtlinie wird sichergestellt, dass der SMB-Client immer eine SMB-Paketsignierung erfordert. Wenn der Server der Unterstützung der SMB-Paketsignierung mit dem Client nicht zustimmt, kommuniziert der Client nicht mit dem Server. Standardmäßig ist diese Richtlinie deaktiviert, was bedeutet, dass SMB standardmäßig zugelassen ist, ohne dass eine Paketsignierung erforderlich ist. Es ist immer noch möglich, über die Paketsignierung zu verhandeln, es muss aber nicht funktionieren.
Microsoft-Netzwerk-Client: Kommunikation digital signieren (sofern der Server zustimmt)
Diese Richtlinie ist standardmäßig aktiviert und bestimmt, ob der SMB-Client versucht, die SMB-Paketsignierung mit dem Server auszuhandeln. Wenn dies stattdessen auf „Deaktiviert“ gesetzt ist, versucht der Client überhaupt nicht, die SMB-Paketsignierung auszuhandeln.
Hinweis: Microsoft empfiehlt nicht mehr, die Optionen „ist Server-Agress und wenn Client-Agress“ zu verwenden.
Sie können es entsprechend diesen Optionen konfigurieren und das erstellte GPO mit der OU verknüpfen.
