SMB-Protokoll – Microsoft stellt Neuerungen in Aussicht

In Microsofts hauseigener Technologie-Community wurden verstärkte Sicherheitsmaßnahmen sowohl für den SMB-Client als auch den Server angekündigt. Ein wesentlicher Punkt dieser Neuerungen betrifft die Behandlung von Dialekten innerhalb der SMB-Komponente. Obwohl Microsoft die SMB-Version 1 bereits vor einiger Zeit standardmäßig deaktiviert hat, war es bisher üblich, dass sowohl Client als auch Server immer die höchstmögliche kompatible Versionsnummer zwischen 2.0.2 und 3.1.1 verwendeten.

Welche erweiterten Härtungsmaßnahmen bevorstehen, erfahren Sie in diesem Blogbeitrag.

Was ist das SMB-Protokoll?

Das Server-Message-Block-Protokoll, oft einfach als SMB-Protokoll bezeichnet, dient als Mittel zur Client-Server-Kommunikation, wodurch gemeinsamer Zugriff auf Dateien, Druckdienste, serielle Ports und weitere Netzwerkressourcen ermöglicht wird. Zusätzlich dazu bietet es die Fähigkeit, Transaktionsprotokolle für die Interprozesskommunikation zu übermitteln. Obwohl SMB im Laufe der Zeit primär zur Vernetzung von Windows-basierten Computern verwendet wurde, haben auch viele andere Betriebssysteme, einschließlich Linux und macOS, integrierte Client-Funktionen, um eine Verbindung zu SMB-basierten Netzwerkressourcen herzustellen. Seit der Einführung von Windows 95 hat Microsoft Windows das SMB-Protokoll in sein Betriebssystem integriert.

Wenn ein Client und ein Server verschiedene Versionen des SMB-Dialekts verwenden, ist es notwendig, dass beide Systeme vor dem Start einer Kommunikationssitzung eine Einigung über die zu verwendende Dialektversion erzielen. Dieser Prozess wird oft als “Aushandeln” der Dialektunterschiede bezeichnet.

SMB-Versionsnummer – nähere Vorgaben werden möglich

Laut den Angaben aus Redmond ermöglicht die Vorschauversion 25951 den Administratoren, sowohl eine minimale als auch eine maximale SMB-Versionsnummer über die Gruppenrichtlinie (GPO) festzulegen. Für Servereinstellungen können diese unter “Computer Configuration \ Administrative Templates \ Network \ Lanman Server” mit den Optionen “Mandate the minimum version of SMB” oder “Mandate the maximum version of SMB” vorgenommen werden. Für Client-Einstellungen befinden sich die Optionen unter “Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation” mit denselben Bezeichnungen. Für diejenigen, die eine Vorliebe für die Befehlszeile haben, besteht auch die Möglichkeit, diese Anpassungen über die PowerShell durchzuführen.

Dank dieser Neuerungen haben Netzwerkadministratoren jetzt die Flexibilität, präzisere Einstellungen für die SMB-Versionssicherheit vorzunehmen. So können sie beispielsweise entscheiden, ausschließlich die Version 3.1.1 sowohl auf dem Client als auch auf dem Server zuzulassen, es sei denn, ältere Anwendungen erfordern den Einsatz früherer Versionen.

NTLM-Authentifizierung – weitere Neuerung beim SMB-Protokoll

In der besagten Vorschauversion 25951 führt Microsoft für die SMB-Client-Komponente eine zusätzliche Option ein, die das Blockieren von NTLM für ausgehende Verbindungen ermöglicht. Bisher erlaubte SMB über SPNEGO die Aushandlung verschiedener Protokolle, einschließlich NTLM, Kerberos und weiteren. Bei der Aktivierung von NTLM waren standardmäßig alle NTLM-Versionen, also LM, NTLM und NTLMv2, zugelassen. Mit dieser Preview-Version bietet Microsoft nun die Möglichkeit, NTLM spezifisch nur für die SMB-Client-Komponente zu deaktivieren, ohne das Protokoll systemweit zu blockieren.

Administratoren können diese Änderung entweder über die Gruppenrichtlinie (GPO) oder über die PowerShell implementieren. Die zugehörige Gruppenrichtlinie ist unter “Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation \ Block NTLM (LM, NTLM, NTLMv2)” zu finden. Für die gezielte Deaktivierung von NTLM bei bestimmten Netzwerkverbindungen kann das Kommando NET USE verwendet werden.

Laut Microsoft sollten bei Computern, die einem Active Directory beigetreten sind und Domänenkonten verwenden, keine Auswirkungen auftreten, da diese in der Regel Kerberos nutzen. Zukünftig plant Microsoft, eine Whitelist-Option für NTLM für bestimmte Ziele bereitzustellen. Das langfristige Ziel von Microsoft ist jedoch, NTLM aus Sicherheitsüberlegungen vollständig zu ersetzen.

Egal ob für den privaten Gebrauch oder für Ihr Unternehmen, bei Softwarekaufen24 bieten wir Ihnen nicht nur Microsoft Office und Windows-Betriebssysteme an, sondern auch eine Vielzahl von Serveranwendungen für den professionellen Einsatz.