Mal kurz informiert: Mit der Windows 11 25381 Insider in den Enterprise-Versionen hat Microsoft damit angefangen, die SMB-Signierung zu integrieren. Es wird also zum Standard gemacht. Die Insider dient nur als Test und wird dann später auch in die Windows 10 und Windows 11 integriert.
SMB (Server Message Block) ist ein wichtiger Teil der Netzdienste unter Windows, der den Zugriff auf Dateien und Ordner erlaubt. Durch die Signierung wird die Sicherheit unter Windows und Server verbessert.
„Durch die SMB-Signierung wird sichergestellt, dass jede Nachricht eine Signatur enthält, die mithilfe des Sitzungsschlüssels und der Verschlüsselungssuite generiert wird. Der Client fügt einen Hash der gesamten Nachricht in das Signaturfeld des SMB-Headers ein. Wenn später jemand die Nachricht selbst ändert, stimmt der Hash nicht überein und SMB weiß, dass jemand die Daten manipuliert hat. Es bestätigt Sender und Empfänger außerdem, dass sie die Person sind, für die sie sich ausgeben, und unterbindet so Relay-Angriffe. Idealerweise verwenden Sie Kerberos anstelle von NTLMv2, damit Ihr Sitzungsschlüssel stark startet. Stellen Sie keine Verbindung zu Freigaben mit IP-Adressen her und verwenden Sie keine CNAME-Einträge. Unterzeichnung ist eine wichtige Verteidigungstaktik.“
Die Signierung wird bis Windows NT unterstützt. Sollte es trotzdem zu Problemen kommen, hat Microsoft eine genaue Anleitung im Blogbeitrag geschrieben, wie man die Fehlermeldungen korrigieren kann.
Der Unterschied Verschlüsselung und Signierung sollte jedem klar sein. Jetzt die Frage: Ist das eine Krückenlösung?
Fall 1: Die gesamte Verbindung ist Verschlüsselt. Man kann nicht reinsehen und auch nicht manipulieren.
Fall 2: Die Verbindung ist nur signiert. Man kann reinsehen aber zumindest nicht manipulieren.
Warum Verschlüssele ich dann nicht direkt? In beiden Fällen muss ich dem Server absolut vertrauen, dass die Keys nicht kompromittiert sind und keine Schadsoftware vorhanden ist.
Ob ich jetzt gegen den Signatur-Pubkey oder den Verschlüsselungs-Pubkey den Server als korrekt authentifiziere liefert mir die gleiche Antwort: Der korrekte Absender.
Edit:
Lol hätte auch gleich nachschlagen können:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/reduced-performance-after-smb-encryption-signing
Schenkt euch den Schrott und Verschlüsselt direkt komplett alles statt sinnlosem Signieren.
SMB Verschlüsselung kann aber lange nicht jedes Gerät. Windows selbst klar, aber diverse NAS-Geräte, Multifunktionsdrucker und ähnliche scheitern da sicherlich.
Zudem braucht eine generelle SMB Verschlüsselung halt deutlich mehr Systemressourcen. Das will man ggfs. gar nicht, wenn es in einem rein internen Netz eher auf Performance ankommt.
SMB Signing wird forciert, da damit Angriffe im Sinne von „wir lenken dich auf ein böses Share um und greifen dann deinen Anmeldehash ab“ ins Leere laufen. Das ist also ausdrücklich sinnvoll.
Klar man kann sich immer auf alter Hardware beziehen. Mehr Resourcen merke ich bei AES-NI im NAS nichts von. Außerdem hat man **auch** mehr Last bei Signing was im Link meines Beitrages steht.
>reduced-performance-after-smb-encryption-signing
Das ist Grundlegend falsch. Man muss niemanden umleiten wenn man MITM macht und Daten bei der Übertragung sabotiert. Die Problematik mit dem Anmeldehash geht auf NTLMv2 vs Kerberos zurück und ist auch falsch von dir beschrieben.
Was wollte die Antwort jetzt sagen, was nicht schon im Link zu MS stand oder im Artikel?
Ich habe mich damit auseinandergesetzt, dass wenn ich eh Performance Einbußen habe es auch gleich richtig machen kann.
Ich verstehe es manchmal einfach nicht. Hauptsache irgendwas drunter gesetzt?
Gibt es doch längst. Nennt sich „SMB over QUIC“. Also mit TLS 1.3. Und auf TCP/443 statt TCP/445.
Leider nur in der Datacenter Azure Edition verfügbar.
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-over-quic
Ein krasser Fall von Angstindoktrinierung. Inzwischen überall und in alles. Es lebe die Paranoia! Wie anders könnte bald der Elite die unwissenden Burger kontrollieren?
Prima, Du hast die fiesen Machenschaften von Burger King durchschaut!
McDonalds FTW!
Was um Himmels willen rauchen sie?