Signieren und Verschlüsseln der Kommunikation
Alle Daten, die über den Sicheren Kanal übertragen werden, sollten signiert und verschlüsselt werden. Standardmäßig erfolgt dies nur dann, wenn beide Kommunikationspartner die gleichen Verfahren verwenden. Unterstützt einer der beiden Partner die Verschlüsselung bzw. das Signieren nicht, erfolgt die Kommunikation ungeschützt (Richtlinien Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) und Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen). Wird die Richtlinie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) aktiviert, muss die Kommunikation signiert oder verschlüsselt werden. Unterstützen beide Partner nicht die gleichen Verfahren, wird keine Verbindung aufgebaut. Diese Option wird für den Einsatz empfohlen, wenn alle Domain Controller der Domäne und aller vertrauten Domänen mindestens Windows 2000 ausführen.
Das SMB-Protokoll (Server Message Block) unterstützt nicht nur eine gegenseitige Authentisierung, sondern erlaubt auch das Signieren der SMB-Pakete. Durch die Authentisierung und das Signieren werden Man-in-the-Middle-Angriffe verhindert.
Die SMB-Signaturen werden mit folgenden Richtlinien unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen konfiguriert:
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt),
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer),
- Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt),
- Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
Standardmäßig werden Signaturen für SMB-Pakete unter Windows nicht erzwungen, aktiviert ist lediglich die Richtlinie Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt). Nur wenn auf dem SMB-Server das Signieren der Pakete aktiviert wurde, wird die Kommunikation signiert. Es besteht jedoch die Möglichkeit, die Signaturen zu erzwingen. Hierfür sind die restlichen oben aufgeführten Richtlinien zu aktivieren.
Das Aktivieren der Richtlinien zum Signieren der SMB-Kommunikation kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Vor der Aktivierung dieser Einstellungen sind daher Kompatibilitätstests erforderlich.
Nicht alle SMB-Server von Drittanbietern unterstützen die Kennwortverschlüsselung während der Authentisierung. Wird mit dem SMB-Protokoll auf einen solchen Server zugegriffen, kann das Kennwort unverschlüsselt übertragen werden, wenn die Richtlinie Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden aktiviert wird. Allerdings sollte die Übertragung ungeschützter Kennwörter nicht zugelassen werden, d. h. die genannte Richtlinie darf nicht aktiviert werden.
Windows erlaubt das Festlegen der minimalen Sitzungssicherheit für die Kommunikation auf Anwendungsebene (z. B. zwischen RPC-Komponenten). Folgende Optionen können in den beiden Richtlinien Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) und Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen gewählt werden:
- Nachrichtenintegrität erfordern,
- Nachrichtenvertraulichkeit erfordern,
- NTLMv2-Sitzungssicherheit erfordern,
- 128-Bit-Verschlüsselung erfordern.
Standardmäßig werden keine Minimaloptionen festgelegt. Werden auf allen Rechnern Client-Betriebssysteme ab Windows XP bzw. Server-Betriebssysteme ab Windows Server 2003 mit aktivierter 128-Bit-Verschlüsselung ausgeführt, sind die Optionen für die NTLMv2-Authentisierung und 128-Bit-Verschlüsselung zu aktivieren.
| 