Signierung von SMB Paketen konfigurieren
Posted by moenk on
Das Server Message Block (SMB)-Protokoll ist die Basis für Microsoft-Datei- und Druckerfreigaben, aber auch die z. B. Remoteadministration.
SMB wird auf Linux-Servern durch das Samba-Paket bereitgestellt. Siehe auch:
Zugriff von DOS, 9x oder Linux auf einen Windows 2003 Server
Um zu verhindern das SMB-Pakete auf dem Weg der Übertragung verändert werden, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Eine Richtlinieneinstellung Abschnitt Computerkonfiguration der Default Domain Controller Policy bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird.
Für die Kommunikation mit "SMB Server von Drittanbietern" muss dies ausgehandelt und darf nicht erzwungen werden, also "Kommunikation digital signieren (wenn Server zustimmt)" und "Kommunikation digital signieren (wenn Client zustimmt)".

Die SMB Signierung ist damit eine gute Wahl um "man-in-the-middle" Angriffe auszuschließen.
Beispiel: In einem Unternehmens-Netzwerk sind nach der Anwendung von HisecDC die Computer mit den Betriebssystemen Windows NT 4.0 und Windows 98 nicht in der Lage sind mit den Domänencontrollern zu kommunizieren. Hier wird nämlich dann in der DC-Policy signiertes SMB befohlen:


Dies lässt sich sehr einfach auch als Option konfigurieren, so dass die alten Clients auch mit dem DC kommunizieren können:

SMB wird auf Linux-Servern durch das Samba-Paket bereitgestellt. Siehe auch:
Zugriff von DOS, 9x oder Linux auf einen Windows 2003 Server
Um zu verhindern das SMB-Pakete auf dem Weg der Übertragung verändert werden, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Eine Richtlinieneinstellung Abschnitt Computerkonfiguration der Default Domain Controller Policy bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird.
Für die Kommunikation mit "SMB Server von Drittanbietern" muss dies ausgehandelt und darf nicht erzwungen werden, also "Kommunikation digital signieren (wenn Server zustimmt)" und "Kommunikation digital signieren (wenn Client zustimmt)".

Die SMB Signierung ist damit eine gute Wahl um "man-in-the-middle" Angriffe auszuschließen.
Beispiel: In einem Unternehmens-Netzwerk sind nach der Anwendung von HisecDC die Computer mit den Betriebssystemen Windows NT 4.0 und Windows 98 nicht in der Lage sind mit den Domänencontrollern zu kommunizieren. Hier wird nämlich dann in der DC-Policy signiertes SMB befohlen:


Dies lässt sich sehr einfach auch als Option konfigurieren, so dass die alten Clients auch mit dem DC kommunizieren können:


Trackbacks
Trackback specific URI for this entryThis link is not meant to be clicked. It contains the trackback URI for this entry. You can use this URI to send ping- & trackbacks from your own blog to this entry. To copy the link, right click and select "Copy Shortcut" in Internet Explorer or "Copy Link Location" in Mozilla.
No Trackbacks
Comments
Display comments as Linear | ThreadedNo comments