SMB Signierung aktivieren - Folgen?

[roccomarcy 12]

Guten Morgen zusammen,

 

folgende Ausgangslage:

 

• Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw)
• Exchange 2016
• Windows 10 Pro
• verteilt über vers. Standorte

 

Ich musste mit erschrecken feststellen, dass die SMB Signierung nicht aktiviert ist. Das Problem würde ich unter anderem gerne beheben, jedoch bin ich am überlegen, was das für Auswirkungen auf den Betrieb haben könnte. Die aktuelle Konfiguration ist wie folgt.

 

Default Domain Policy:

 

Default Domain Controller Policy:

 

Meine Frage wäre nun, aktiviere ich die Signierung über die o.g. Policys oder baue ich mir für die stufenweise Aktivierung Richtlinien und verlinke diese auf Systeme der einzelnen Standorte. Ich denke aber, ich müsste den Schalter "komplett" umlegen, da bei der stufenweisen Anpassung die DDCP nicht berücksichtigt werden kann.

 

Vielleicht könntet Ihr mir den Tip geben, auf was ich die Richtlinien in den jeweiligen GPOs setzen müsste. 

[NorbertFe 1.839]

vor 10 Minuten schrieb roccomarcy:

was das für Auswirkungen auf den Betrieb haben könnte.

Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;)

[cj_berlin 1.171]

vor 1 Minute schrieb NorbertFe:

Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;)

Das ist erst mal funktional, und da stimme ich @NorbertFe zu. Allerdings, wie immer, wenn man Kryptographie einschaltet, die vorher ausgeschaltet war, wird es zu einem etwas höheren CPU-Verbrauch führen als vorher  

[roccomarcy 12]

Hi NorbertFe,

 

das sollte ich ausschließen können. Die Randsysteme (NAS, usw) sind soweit aktuell. Vor-Windows 10 Systeme haben wir auch nicht im Einsatz. Das heißt ich könnte die beiden Richtlinien anpassen - was wäre da die aktuelle Konfiguration?

 

Hi cj_berlin,

 

das Thema der "Performance" habe ich auch schon gelesen - allerdings würde ich erstmal behaupten, dass sich das nicht bemerkbar macht. Wir haben relativ potente Systeme.

bearbeitet 14. Mai von roccomarcy

[zahni 525]

Bei NAS-Systemen muss dies oft an anderer Stelle konfiguriert werden.

[NilsK 2.801]

Moin, 

 

Bei solchen Performance-Fragen muss man auch schauen, ob es um sehr dicht gepackte Enterprise-Umgebungen geht - da können sich solche Effekte so summieren, dass man vielleicht Auswirkungen bemerkt - oder um eine "typische" mittelständische Umgebung, wo man normalerweise überdimensionierte Systeme hat (oder man hat altes Zeug, das ohnehin schon aus Löchern pfeift, aber dann kommt es auch nicht mehr darauf an). Es ist jedenfalls, wie du selbst schon sagst, unwahrscheinlich, dass das eine Einschränkung darstellt. Und wenn, dann wäre das kein Grund, auf die Sicherheit zu verzichten.

 

Gruß, Nils

[roccomarcy 12]

Hi,

 

könntet Ihr mir noch eine Empfehlung geben, wie die Konfiguration der beiden Richtlinien am besten angepasst werden sollten? Also sozusagen die Zielkonfiguration.

[NorbertFe 1.839]

Microsoft network client: Digitally sign communications (always) = enabled

Microsoft network client: Digitally sign communications (if server agrees) = enabled

Microsoft network server: Digitally sign communications (always) = enabled

Microsoft network server: Digitally sign communications (if client agrees) = enabeld

 

Und

 

Network security: LAN Manager authentication level = Send NTLMv2 response only refuse LM & NTLM

[roccomarcy 12]

Hi Norbert,

 

die von dir genannte Konfiguration erfolgt in der DDP? Und die aktuellen Einstellungen aus der DDCP entferne ich bzw. setze ich auf "Nicht konfiguriert" zurück, oder wie wird damit umgegangen?

 

Könnte ich die Settings ggf. erstmal in einem kleinen Bereich testen, sodass ich die Einstellungen in eine sep. GPO packe und diese auf einen Teilbereich von Systemen (z.B. ein Standort) linke? 

[NorbertFe 1.839]

Sowohl als auch. Also jeweils in ddp und ddcp.

vor 41 Minuten schrieb roccomarcy:

Könnte ich

Könntest du?

[roccomarcy 12]

Ich würde es gerne vorab einmal testen in einer kleineren Umgebung, bevor ich das über alle Systeme ausrolle. Daher die Frage, wie ich das angehen könnte. Also ob ich einfach ein neues GPO-Objekt baue, die Einstellungen dort hinterlege und an eine bestimmte OU hänge.

[NorbertFe 1.839]

Ja, wer oder was hindert dich? Natürlich kannst du das auch auf eine oder eine Gruppe von Maschinen anwenden. Macht halt nur meist nur Aufwand für die Erkenntnis, dass man es auch gleich komplett ausrollen konnte. In deinem Fall dürften sich ja sowieso schon alle Windows Maschinen per signed smb unterhalten. ;)

[roccomarcy 12]

Du meinst, weil in der DDP die Konfiguration "wenn Client/Server" zustimmt auf aktiviert gesetzt ist? Gilt dann aktuell nur nicht für die DCs, oder? Dort ist es ja via DDCP deaktiviert.

[NorbertFe 1.839]

Richtig, deine DCs sind immer unsigniert (sowohl als Server als auch als Client). Insofern ist eben ein Test noch viel unnötiger ;) Oder willst du deine DCs noch mal einzeln bestücken.

[roccomarcy 12]

Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen.

 

Microsoft network client: Digitally sign communications (always) = enabled

Microsoft network client: Digitally sign communications (if server agrees) = enabled

Microsoft network server: Digitally sign communications (always) = enabled

Microsoft network server: Digitally sign communications (if client agrees) = enabeld

 

Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen).