Jump to content

SMB Signierung aktivieren - Folgen?


Recommended Posts

Guten Morgen zusammen,

 

folgende Ausgangslage:

 

  • Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw)
  • Exchange 2016
  • Windows 10 Pro
  • verteilt über vers. Standorte

 

Ich musste mit erschrecken feststellen, dass die SMB Signierung nicht aktiviert ist. Das Problem würde ich unter anderem gerne beheben, jedoch bin ich am überlegen, was das für Auswirkungen auf den Betrieb haben könnte. Die aktuelle Konfiguration ist wie folgt.

 

Default Domain Policy:

image.thumb.png.741ce5cfff09b5c1ee5c6669d76a97f1.png

 

Default Domain Controller Policy:

image.thumb.png.0b624e5152579136ca5a945de09f1dbd.png

 

Meine Frage wäre nun, aktiviere ich die Signierung über die o.g. Policys oder baue ich mir für die stufenweise Aktivierung Richtlinien und verlinke diese auf Systeme der einzelnen Standorte. Ich denke aber, ich müsste den Schalter "komplett" umlegen, da bei der stufenweisen Anpassung die DDCP nicht berücksichtigt werden kann.

 

Vielleicht könntet Ihr mir den Tip geben, auf was ich die Richtlinien in den jeweiligen GPOs setzen müsste. 

Link to comment
vor 10 Minuten schrieb roccomarcy:

was das für Auswirkungen auf den Betrieb haben könnte.

Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;)

Link to comment
vor 1 Minute schrieb NorbertFe:

Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;)

Das ist erst mal funktional, und da stimme ich @NorbertFe zu. Allerdings, wie immer, wenn man Kryptographie einschaltet, die vorher ausgeschaltet war, wird es zu einem etwas höheren CPU-Verbrauch führen als vorher :-) 

Link to comment
Posted (edited)

Hi NorbertFe,

 

das sollte ich ausschließen können. Die Randsysteme (NAS, usw) sind soweit aktuell. Vor-Windows 10 Systeme haben wir auch nicht im Einsatz. Das heißt ich könnte die beiden Richtlinien anpassen - was wäre da die aktuelle Konfiguration?

 

Hi cj_berlin,

 

das Thema der "Performance" habe ich auch schon gelesen - allerdings würde ich erstmal behaupten, dass sich das nicht bemerkbar macht. Wir haben relativ potente Systeme.

Edited by roccomarcy
Link to comment

Moin, 

 

Bei solchen Performance-Fragen muss man auch schauen, ob es um sehr dicht gepackte Enterprise-Umgebungen geht - da können sich solche Effekte so summieren, dass man vielleicht Auswirkungen bemerkt - oder um eine "typische" mittelständische Umgebung, wo man normalerweise überdimensionierte Systeme hat (oder man hat altes Zeug, das ohnehin schon aus Löchern pfeift, aber dann kommt es auch nicht mehr darauf an). Es ist jedenfalls, wie du selbst schon sagst, unwahrscheinlich, dass das eine Einschränkung darstellt. Und wenn, dann wäre das kein Grund, auf die Sicherheit zu verzichten.

 

Gruß, Nils

Link to comment

Microsoft network client: Digitally sign communications (always) = enabled

Microsoft network client: Digitally sign communications (if server agrees) = enabled

Microsoft network server: Digitally sign communications (always) = enabled

Microsoft network server: Digitally sign communications (if client agrees) = enabeld

 

Und

 

Network security: LAN Manager authentication level = Send NTLMv2 response only refuse LM & NTLM

  • Like 1
  • Thanks 1
Link to comment

Hi Norbert,

 

die von dir genannte Konfiguration erfolgt in der DDP? Und die aktuellen Einstellungen aus der DDCP entferne ich bzw. setze ich auf "Nicht konfiguriert" zurück, oder wie wird damit umgegangen?

 

Könnte ich die Settings ggf. erstmal in einem kleinen Bereich testen, sodass ich die Einstellungen in eine sep. GPO packe und diese auf einen Teilbereich von Systemen (z.B. ein Standort) linke? 

Link to comment

Ja, wer oder was hindert dich? Natürlich kannst du das auch auf eine oder eine Gruppe von Maschinen anwenden. Macht halt nur meist nur Aufwand für die Erkenntnis, dass man es auch gleich komplett ausrollen konnte. In deinem Fall dürften sich ja sowieso schon alle Windows Maschinen per signed smb unterhalten. ;)

Link to comment

Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen.

 

Microsoft network client: Digitally sign communications (always) = enabled

Microsoft network client: Digitally sign communications (if server agrees) = enabled

Microsoft network server: Digitally sign communications (always) = enabled

Microsoft network server: Digitally sign communications (if client agrees) = enabeld

 

Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen).

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...