(Original 29.05.2024): Microsoft hat eine Änderung in der Windows 11 24H2 vorgenommen, die sich auf ein NAS mit SMB oder auch einen Router mit USB-Speicher auswirken kann. Denn standardmäßig ist für alle Verbindungen eine SMB-Signierung erforderlich. Und in der Windows 11 Pro ist der Gast-Fallback deaktiviert.
Dadurch kann es zu Fehlermeldungen wie beispielsweise 0xc000a000, -1073700864, STATUS_INVALID_SIGNATURE, Die kryptografische Signatur ist ungültig. Diese Fehlermeldungen können erscheinen, wenn eine Signierung nicht möglich ist.
Bei einem Gastzugang kann möglicherweise die Fehlermeldung Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation den nicht authentifizierten Gastzugriff blockieren. Oder 0x80070035, 0x800704f8, Der Netzwerkpfad wurde nicht gefunden. Um solche Fehlermeldungen zu verhindern, können auf dem NAS verschiedene Korrekturen vorgenommen werden. Microsoft beschreibt diese etwas genauer.
Windows 11 bietet aber trotzdem über die Gruppenrichtlinien Einstellungen an, wenn zum Beispiel die SMB-Signierung nicht mehr möglich ist. Diese Einstellungen sind zwar unsicher, aber man erhält trotzdem Zugriff auf das NAS.
- Win + R gpedit.msc eingeben und starten, oder nach Gruppenrichtlinien suchen.
- Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
- Hier Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) auf Deaktiviert.
- Eine weitere Variante ist:
- Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> LanMan Arbeitsstation
- Unsichere Gastanmeldungen aktivieren auf „Aktiviert“ setzen.
Update 23.08.2024 Microsoft erklärt die SMB-Sicherheitshärtung in Windows Server 2025 und Windows 11 24H2
Heute hat Microsoft das Thema noch einmal hochgeholt und das Thema SMB-Sicherheitshärtung ganz detailliert erklärt. Es ist recht interessant, für diejenigen, die sich damit beschäftigen. In dem Beitrag geht es um (kurz zusammengefasst:
- SMB-Signierung standardmäßig erforderlich (Für alle ausgehenden und eingehenden SMB-Verbindungen unter Windows 11 24H2 und für alle ausgehenden Verbindungen unter Windows Server 2025 ist jetzt standardmäßig eine Signierung erforderlich.)
- SMB NTLM-Blockierung (Der SMB-Client unterstützt jetzt die Blockierung der NTLM-Authentifizierung für ausgehende Remoteverbindungen. Dies ändert das bisherige Verhalten)
- SMB-Authentifizierungsratenbegrenzer (Der SMB-Serverdienst verringert jetzt standardmäßig die Anzahl der fehlgeschlagenen Authentifizierungsversuche.)
- Unsichere SMB-Gastauthentifizierung ist jetzt in Windows Pro-Editionen standardmäßig deaktiviert (Windows 11 Pro erlaubt standardmäßig keine SMB-Client-Gastverbindungen oder Gast-Fallbacks auf einen SMB-Server mehr.)
- SMB-Dialekt-Management (Sie können nun die verwendeten Protokollversionen SMB 2 und 3 vorschreiben.)
- SMB-Client-Verschlüsselungsmandat wird jetzt unterstützt (Der SMB-Client unterstützt jetzt die erforderliche Verschlüsselung aller ausgehenden SMB-Verbindungen.)
- Remote Mailslots sind veraltet und standardmäßig deaktiviert
- SMB over QUIC in allen Editionen von Windows Server
- SMB over QUIC-Client-Zugriffskontrolle (Mit der SMB over QUIC-Client-Zugriffskontrolle können Sie einschränken, welche Clients auf SMB over QUIC-Server zugreifen können.)
- Alternative SMB-Ports (Sie können den SMB-Client verwenden, um eine Verbindung zu anderen TCP-, QUIC- und RDMA-Ports als den IANA/IETF-Standardports 445, 5445 und 443 herzustellen.)
- Änderungen am Standardport der SMB-Firewall (Die integrierten Firewall-Regeln enthalten nicht mehr die SMB-NetBIOS-Ports.)
- Verbesserungen bei der SMB-Überwachung (SMB unterstützt jetzt die Überprüfung der Verwendung von SMB über QUIC, fehlende Drittanbieterunterstützung für Verschlüsselung und fehlende Drittanbieterunterstützung für Signaturen.)
Hier der gesamte Beitrag inklusive Erklärungen, Videos und mehr.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
This thing has been broken since Windows 10 the idiots saw a problem now, after 5+ years.
Schreibst du je was positives ohne justiziable Beleidigungen? Oder geht das in North Dakota nicht?
Hat er bestimmt verstanden wenn er Englisch schreibt.
Jeder Browser kann heute von sich ohne die Hilfe einer website übersetzen.
Aber ich glaube die Sprache ist hier nicht der limitierende Faktor
Wenn er kein Deutsch kann, hat er in einem deutschsprachigen Forum offensichtlich nichts verloren.
Says who? You?
Sollen wir auch noch den Arier-Ausweis bei dir vorzeigen, bevor man hier posten darf?
Also ich finde, dass in einem deutschen Forum die deutsche Sprache Pflicht sein sollte. Englischsprachige Foren über Windows, Technik usw. gibt es wie Sand am Meer und dort ist es zumeist zwingend geboten, die englische Sprache zu verwenden. Umgekehrt würde ich mir auch nicht anmaßen, in einem ausländischen Forum einfach so die deutsche Sprache zu verwenden. Sich anzupassen, ist eine Frage der sozialen Intelligenz.
gepostet mit der Deskmodder.de-App für Android
As I said this has been an issue since the Windows 10 release just discovered now.
Even if you implement SMBv2, you will still get occasional messages that you cannot access the shared folder and then you just keep trying until it works. This affects both Windows 10 and Windows 11. Linux and Mac OS have no issues. Instead of fixing real issues idiots from Microsoft are wasting everyone’s time with UI, they don’t know how to properly create and emojis they call these days features. There is no QA at Microsoft so any issues are discovered by consumers…
Microsoft’s QA died the day when Satya Nadella became the CEO. After realizing his mistake he said that engineers should test the software instead. *faceplam*
Regarding the issue with SMB on Windows 10 and 11, yes, it is broken. But it is also broken on iOS. Linux, Android and macOS work fine and are able to connect to the SMB share on my Windows 10 Pro machine. But all other Windows machines and our iPads are currently unable to connect to the share. The actual reason is unknown for me, yet. One day it works, and then I have to reboot for whatever reason, and then it stops working. No software changes (e.g., updates etc.) during that time. It also happens with freshly set up machines. Everything else works perfectly fine. It’s just SMB which is broken.
So, as a workaround I use SSH instead until it gets fixed.
Wo er Recht hat, hat er Recht. Solche Dinge hätten schon vor Jahren per Default aktiviert sein müssen und wessen NAS-Schrott das nicht hinbekommt, hätte dann eben nachrüsten/umstellen müssen.
Es hat Tradition, dass die Microsoft-Security-Deppen, auch eine zutreffende Analyse, siehe Berichterstattung der letzten Jahren, was die so „draufhaben“, solche Dinge „vergessen“.
Diese einstellung sollte man unterlassen. Lieber das nas aktuallisieren und / oder einstellung anpassen.
Da es sich hier um eine globale einstellung handelt ist man dann überall angreifbar und nicht nur zuhause
@moinmoin, ich danke dir. Das war die Lösung, bis Microsoft das Problem fixt. 👍👍👍
Es ist nicht an Microsoft hier irgendetwas zu fixen.
2 Möglichkeiten:
– Der NAS Hersteller hat SMB Signing gar nicht implementiert.
– Der NAS Hersteller hat SMB Signing implementiert aber der NAS Kunde hat es nicht aktiviert.
Ich denke auch, dass es hier besser wäre erstmal auf das NAS zu verweisen.
Jedes halbwegs aktuelle NAS kann SMB Signing und man muss es im Zweifel nur aktivieren.
gepostet mit der Deskmodder.de-App für Android
Sehe ich auch so, ich erinnere mich an Zeiten die noch gar nicht solange her sind als SMBv1 abgeschaltet wurde und diverse NAS (auch neuere) nicht mehr funktionieren diese nur SMBv1 unterstützen weil die Hersteller keine Lust hatten SMBv2 zu implementieren, weil „geht doch auch so“ und SMBv2 gibt es schon seit Ewigkeiten (Vista)
SMB Signing gibt es eigentlich sogar schon afaik seit SMBv1 aber selbst die aktuelle Form die hier von Windows gefordert wird (seit SMBv3) gibt es seit Windows 8.0!
Oder die Hersteller waren zu faul, die Auswahl von SMBv1/v2 in die GUI zu packen.
War bei meinem NAS so.
Da musste ich per SSH drauf und dann die smb.sh manuell ändern, damit es SMBv2 akzeptiert.
Tipps helfen leider nicht. Habe zwei WD Nas. Einmal WD My Cloud EX2 Ultra und einmal My Cloud Mirror gen 2! Laufwerke sind komplett eingebunden in Explorer. Alle Laufwerke werden zwar angezeigt. Aber so als ob die Nas Geräte ausgeschaltet sind. Somit ist ein Zugriff auf die Laufwerke nicht möglich. In Netzwerk werden die beiden Nas Geräte auch nicht mehr gefunden. Kann also nicht mal neu verbinden. Die neuste
Firmware 5.28.105 ist jeweils drauf. Ob die WD Nas Geräte SMB-Signierung kann, weiß ich nicht.
Folgende Einstellungen sind jeweils in Nas gesetzt. HTTPS-Weiterleitung ein, LLTD, SMB Protokoll auf SMB 2 und SMB3 gesetzt, NT-Lan-Manager auf nur NTLMv2 gesetzt. NFS-Dienst ein, SSH ein. Anmeldung an Nas erfolgt über Benutzername und Kennwort.
Hi,
I have presented this issue in windows server 2019 and server 2022 too.
Ich Muss Windof zum Glück nur nur beruflich ertragen im Kundeneinsatz. Nach 25 Jahren IT forensic. Habe ich sehr viel gesehen und müssen. Aber wie schon die Vorredner konstatieren seit. Windows,10,1803 ist der Hund 🐕 begraben Der Imdische Nutella oder wie er auch immer heißen mag hat nichts zu tun damit. Der Weggang von Donna Sancar, und formalem Joe SIM. Waren das Ende der Software QA. Es ist ein Garagen Projekt so könnte man mittlerweile meinen. Und wäre dieses System so verbreitet und leider Systemwichtig wäre MS schon längst weg
Wenn die NAS hersteller zu faul sind Richtlinie umzusetzen/ oder immer den neusten smb einzusetzten ist also MS schuld???
Ich hab zwar kein NAS aber einen Enigma Receiver und seit 24H2 auch keinen Zugriff mehr. Ich sehe die Box zwar aber wenn ich drauf zugreifen will kommen nur noch Fehlermeldungen.
Hallo. Könnt ihr bitte mal testen ob das Abhilfe schafft.
PowerShell als Administrator öffnen
• Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
• Set-SmbClientConfiguration -EnableSecuritySignature $false
• Set-SmbClientConfiguration -RequireSecuritySignature $false
Regedit.exe aufrufen
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
• neuen DWORD-Wert (32 Bit) setzen „AllowInsecureGuestAuth“ und den Wert auf „1“ setzen
Bei dem Device einen Reboot durchführen.
Gruß pate111
@ pate111
als Benutzer der 24H2 stand ich genau vor diesem Problem. Habe alle möglichen Einstellungen die mit dem Microsoftnetzwerk zusammen hängen überprüft und wenn nötig ausgeführt. Alles ohne Erfolg, bis jetzt!
Erst die von Pate111 bereitgestellten PowerShell Befehle haben geholfen. Hier das Ergebnis:
• Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
gibt die vorhandenen Einstellungen an; Ergebniss unterhalb in der Klammer ()
um zu ändern diesen Befehl ausführen (ohne True)
• Set-SmbClientConfiguration -EnableSecuritySignature $false (True)
Bestätigte Antwort
Möchten Sie diese Aktion wirklich ausführen?
Der Vorgang „?ød?ƒy“ auf dem Ziel „S?? Çl?ent C??ƒígµ??t?s?“ wird ausgeführt.
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist „J“):
mit: J und Enter ausgeführt
danach nochmal ausgeführt
• Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
Ergebniss
EnableSecuritySignature : False
RequireSecuritySignature : False
• Set-SmbClientConfiguration -RequireSecuritySignature $false (False)
hier keine Änderung durchgeführt
Zugriff auf Netzwerkressourcen sind nun vorhanden!
Bei meiner Fehlersuch bin ich auch auf die SMB-Signierung gestoßen. Wuste aber zu diesem Zeitpunkt nicht, dass dies im Zusammenhang mit der Freigabe der Netzwerkressourcen in Zusammenhang steht.
Ergo man nimmt die SMB-Signierung vor, wobei ich noch nicht weiß wie das geht oder man schaltet sie aus. Auf jeden Fall besteht Handlungsbedarf so oder so wer darauf angewiesen ist!
Man kann die neue Sicherheitsrichtlinie ganz einfach deaktivieren und das alte Verhalten einstellen. Dazu den Gruppenrichtlinieneditor aufrufen (Wintaste + R , dann gpedit.msc eingeben).
Im Pfad:
Computerconfiguration->Administrative Vorlagen->Netzwerk->LanMan Arbeitsstation auf “Unsichere Gastanmeldungen aktivieren” gehen und “Aktiviert” setzen.
Danach ggf. Rechnerneustart.
Anschließend ist der NAS Zugriff wieder genau so wie vor Windows 11 24H2.
Ist quasi 1:1 die Powershelllösung nur direkt über die Gruppenrichtlinien.
Hallo,
die Änderung per Gruppenrichtlinien-Editor gpedit.msc ist identisch mit
Regedit.exe aufrufen
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
• neuen DWORD-Wert (32 Bit) setzen “AllowInsecureGuestAuth” und den Wert auf “1” setzen
Die Änderungen per PowerShell sind trotzdem noch notwendig.
PowerShell als Administrator öffnen
• Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
• Set-SmbClientConfiguration -EnableSecuritySignature $false
• Set-SmbClientConfiguration -RequireSecuritySignature $false
kennt auch noch jemand die entsprechenden Registry Einträge?