Microsoft hat dies kürzlich als verpflichtend angekündigtSMB-Paketsignierungfür den Zugriff auf freigegebene Netzwerkordner wird in Windows 11 24H2 standardmäßig aktiviert. Dies kann zu Problemen beim Zugriff auf freigegebene Ordner auf NAS-Geräten (Network Attached Storage) führen, bei denen die SMB-Signatur nicht unterstützt oder standardmäßig deaktiviert ist.
SMB-Signierungist eine der Sicherheitsfunktionen des SMB/CIFS-Dateifreigabeprotokolls. Wenn diese Option aktiviert ist, wird dem Header jeder SMB-Nachricht eine digitale Signatur hinzugefügt. Mit dieser Signatur kann sichergestellt werden, dass der Inhalt der Nachricht nicht verändert wurde, und eine Authentifizierung durch Überprüfung der Identität von Server und Client erfolgt. Dies trägt dazu bei, SMB-Man-in-the-Middle- und NTLM-Relay-Angriffe zu verhindern. Bisher war die SMB-Signatur nur für den Zugriff auf SYSVOL- und NETLOGON-Freigaben auf AD-Domänencontrollern erforderlich.
Mehr lesen:So stellen Sie Daten von einem NAS mit der NAS-Wiederherstellungssoftware wieder her
Für alle ausgehenden SMB-Verbindungen ab Windows 11 24H2 ist eine SMB-Signierung erforderlich (Der Zugriff auf ein NAS eines Drittanbieters mit SMB in Windows 11 24H2 schlägt möglicherweise fehl). Wenn der SMB-Server diesen Modus nicht unterstützt, lehnt der Windows-Client die Verbindung ab. Andere unterstützte Versionen von Windows werden diese Änderung später erhalten.
Wichtig!Die Implementierung der obligatorischen SMB-Signatur führt zu zusätzlicher RAM- und CPU-Auslastung sowohl auf dem Client als auch auf dem Server. Es reduziert auch die Geschwindigkeit der Dateiübertragungen über das Netzwerk.
Wenn das Remote-Gerät die SMB-Signatur nicht unterstützt, treten beim Zugriff auf einen freigegebenen Ordner auf diesem Gerät Fehler auf:
0xc000a000-1073700864STATUS_INVALID_SIGNATUREThe cryptographic signature is invalid
Die standardmäßigen SMB-Servereinstellungen von Windows (und Samba) gehen davon aus, dass die SMB-Paketsignierung nur verwendet wird, wenn dies von einer der Parteien angefordert wird. Verwenden Sie PowerShell, um die aktuellen SMB-Signatureinstellungen auf einem Windows-Client aufzulisten:
Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
- RequireSecuritySignature = False – die obligatorische Verwendung der SMB-Signatur ist nicht aktiviert.
- EnableSecuritySignature = True – der Client verwendet SMB-Signaturen nur, wenn dies vom Server verlangt wird.
Um die obligatorische SMB-Signierung zu deaktivieren (oder zu aktivieren), verwenden Sie den Befehl
Set-SmbClientConfiguration -RequireSecuritySignature $false
Starten Sie den Computer neu, nachdem Sie die Einstellungen geändert haben.
Auf die gleiche Weise können Sie die SMB-Signierung auf der Serverseite (Host mit freigegebenen Ordnern) aktivieren oder deaktivieren:
Get-SmbServerConfiguration | fl *sign*Set-SmbServerConfiguration -RequireSecuritySignature $true(oder$false)
Der Optionswert „EnableSecuritySignature“ wird ignoriert, wenn das alte SMB1-Protokoll deaktiviert ist (dies ist das Standardverhalten in Windows).
Diese SMB-Client- und Serveroptionen können über die Registrierung aktiviert werden. Mit dem nächsten Befehlssatz wird die obligatorische Verwendung der SMB-Signatur sowohl für den Client als auch für den Server deaktiviert:reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
Mit dem GPO-Editor kann auch der SMB-Signaturmodus für einen Windows-Client konfiguriert werden. Die folgenden Optionen sind im lokalen Gruppenrichtlinien-Editor verfügbar (gpedit.msc) unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
- Microsoft-Netzwerk-Client: Kommunikation digital signieren (immer)
- Microsoft-Netzwerk-Client: Kommunikation digital signieren (sofern der Server zustimmt)
Einige NAS-Modelle und Firmware-Versionen unterstützen den SMB-Signaturmodus, er ist jedoch nicht standardmäßig aktiviert (z. B. in Synology, ASUStor, QNAP und einigen anderen Geräten). Zum Beispiel inSynology DSM 7+, diese Option finden Sie imBedienfeld->Dateidienste->KMU->Erweiterte Einstellungen. Finden Sie die OptionAktivieren Sie die Serversignatur. Das Signieren ist standardmäßig deaktiviert. Um die SMB-Signatur auf Anfrage des Clients zu aktivieren, wählen Sie ausKunde definiertaus dem Dropdown-Menü.
Wenn Sie also nach dem Upgrade auf Windows 11 24H2 Probleme beim Zugriff auf NAS-Freigaben haben, müssen Sie Folgendes tun:
- Aktivieren Sie die SMB-Signatur auf dem NAS-Gerät (empfohlener Weg)
- Deaktivieren Sie die obligatorische SMB-Signatur auf dem Windows-Client (weniger sichere Option)
