Quelle: blogs.microsoft.com (Englisch)
Microsoft sagt, dass die SMB-Signierung (auch bekannt als Sicherheitssignaturen) standardmäßig für alle Verbindungen erforderlich sein wird, um NTLM-Relay-Angriffe abzuwehren, beginnend mit dem heutigen Windows-Build (Enterprise Edition), das an Insider im Canary Channel verteilt wird.
Bei solchen Angriffen zwingen Bedrohungsakteure Netzwerkgeräte (einschließlich Domänencontroller) dazu, sich bei bösartigen Servern unter der Kontrolle der Angreifer zu authentifizieren, um sich als diese auszugeben und ihre Rechte zu erhöhen, um die vollständige Kontrolle über die Windows-Domäne zu erlangen.
"Dies ändert das bisherige Verhalten, bei dem Windows 10 und 11 die SMB-Signierung standardmäßig nur bei Verbindungen zu Freigaben mit den Namen SYSVOL und NETLOGON verlangten und bei dem Active Directory-Domänencontroller die SMB-Signierung verlangten, wenn sich ein beliebiger Client mit ihnen verband", so Microsoft.
Die SMB-Signierung hilft dabei, böswillige Authentifizierungsanfragen zu blockieren, indem sie die Identität des Absenders und des Empfängers über Signaturen und Hashes bestätigt, die am Ende jeder Nachricht eingebettet sind.
SMB-Server und Remote-Freigaben, bei denen die SMB-Signierung deaktiviert ist, lösen Verbindungsfehler mit verschiedenen Meldungen aus, darunter "Die kryptografische Signatur ist ungültig", "STATUS_INVALID_SIGNATURE", "0xc000a000" oder "-1073700864".
Dieser Sicherheitsmechanismus ist bereits seit einiger Zeit verfügbar, beginnend mit Windows 98 und 2000, und wurde in Windows 11 und Windows Server 2022 aktualisiert, um die Leistung und den Schutz zu verbessern, indem die Datenverschlüsselung erheblich beschleunigt wurde.
Verbesserte Sicherheit kann mit Leistungseinbußen einhergehen
Während die Abwehr von NTLM-Relay-Angriffen für jedes Sicherheitsteam ganz oben auf der Liste stehen sollte, könnten Windows-Administratoren mit diesem Ansatz nicht einverstanden sein, da er zu einer geringeren SMB-Kopiergeschwindigkeit führen könnte.
"Die SMB-Signierung kann die Leistung von SMB-Kopiervorgängen verringern. Sie können dies durch mehr physische CPU-Kerne oder virtuelle CPUs sowie durch neuere, schnellere CPUs abmildern", warnte Microsoft.
Administratoren haben jedoch die Möglichkeit, die SMB-Signierungsanforderung in Server- und Client-Verbindungen zu deaktivieren, indem sie die folgenden Befehle von einem erhöhten Windows PowerShell-Terminal aus ausführen:
Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false (Sicherheitssignatur erforderlich $false)
Während nach dem Ausführen dieser Befehle kein Systemneustart erforderlich ist, werden bereits geöffnete SMB-Verbindungen weiterhin signiert, bis sie geschlossen werden.
"Erwarten Sie, dass diese Standardänderung für die Signierung im Laufe der nächsten Monate für Pro, Education und andere Windows-Editionen sowie für Windows Server eingeführt wird. Je nachdem, wie die Dinge in Insiders laufen, wird sie dann in den Hauptversionen erscheinen", sagte Ned Pyle, leitender Programm-Manager bei Microsoft.