Skip to content

Signierung von SMB Paketen konfigurieren

MCSE Das Server Message Block (SMB)-Protokoll ist die Basis für Microsoft-Datei- und Druckerfreigaben, aber auch die z. B. Remoteadministration.

SMB wird auf Linux-Servern durch das Samba-Paket bereitgestellt. Siehe auch:
Zugriff von DOS, 9x oder Linux auf einen Windows 2003 Server

Um zu verhindern das SMB-Pakete auf dem Weg der Übertragung verändert werden, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Eine Richtlinieneinstellung Abschnitt Computerkonfiguration der Default Domain Controller Policy bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird.

Für die Kommunikation mit "SMB Server von Drittanbietern" muss dies ausgehandelt und darf nicht erzwungen werden, also "Kommunikation digital signieren (wenn Server zustimmt)" und "Kommunikation digital signieren (wenn Client zustimmt)".


Die SMB Signierung ist damit eine gute Wahl um "man-in-the-middle" Angriffe auszuschließen.

Beispiel: In einem Unternehmens-Netzwerk sind nach der Anwendung von HisecDC die Computer mit den Betriebssystemen Windows NT 4.0 und Windows 98 nicht in der Lage sind mit den Domänencontrollern zu kommunizieren. Hier wird nämlich dann in der DC-Policy signiertes SMB befohlen:

Dies lässt sich sehr einfach auch als Option konfigurieren, so dass die alten Clients auch mit dem DC kommunizieren können:

SAM-Kennwort-Daten mit Syskey verschlüsseln

MCSE "syskey.exe" ist ein Utility um die SAM-Datenbank mit 128 Bit zu verschlüsseln und wurde als optionales Feature mit Windows NT 4.0 an SP2 verfügbar. Man sollte selbst dann nicht an die Passworte gelangen, wenn man eine Kopie der SAM hat und dann offline versucht an die Passwörter zu kommen. Allerdings ergab eine kryptoanalytische Untersuchung der Algorithmen Ende 1999 dass man mit Brute-Force-Angriffen trotzdem an ein gültiges Passwort kommen könnte.

Wenn man seine Kontodatenbank mit Hilfe von "syskey.exe" verschlüsselt kann man mehr Sicherheit erreichen. Diese Änderungen kann man aber nicht mehr rückgängig machen!
syskey startensyskey aktivieren

Man kann auch ein eigenes Systemkennwort vergeben, dass beim Start noch vor der Anmeldung abgefragt wird.


Zusätzlich kann eine Server auch noch weiter gesichert werden, in dem man einen Schlüssel auf einer Diskette speichert. Ohne diese Diskette ist dann ebenfalls kein Zugang zum Server mehr möglich.

Zertifikatsbasierte IEEE 802.1x WLAN Authentifizierung

MCSE Voraussetzung für die zertifikatsbasierte Authentifizierung der Client-Computer bei eine Zertifizierungsstelle (CA) im Netzwerk ist die Installation eines Zertifikates.

Eine Möglichkeit ist hier einfach unter Verwendung einer Diskette auf jedem der Computer ein Computer ein Zertifikat abzulegen. Alternativ kann man den Client auch kurz über ein Kabel anschließen und das benötigte Zertifikat auf den Client kopieren, auf jeden Fall muss das Zertifikat irgendwie da drauf.

Emergency Management Services (EMS)

MCSE Um Server auch dann noch fernadministrierbar zu haben, wenn das Betriebssystem ausfällt und die Wiederhestellungskonsole benutzt werden soll, kann man die Emergency Management Services verwenden.

Dazu muss man die Boot.ini editieren und den Parameter /redirect einfügen.

Die für die unbeaufsichtigten Installation von Windows vorgesehen Datei "winnt.sif" muss dann noch um die Parameter und EMSBaudRate für die die Aktivierung der EMS ergänzt, damit die Notfallkonsole vom Terminal-Server (Terminalkonzentrator) angesprochen werden kann.

Natürlich sollte man für den normalen Betrieb die Remotedesktopverbindung zur Remote-Administration verwenden.

EAP-TLS-Authentifizierung mit Organisationszertifikatsserver

MCSE EAP-TLS ist Extensible Authentication Protocol over Tunneled Transport Layer Security. Es geht dabei um ein Protokoll zur Authentifizierung von Clients, das dabei auch auf RADIUS-Server zurückgreifen kann.

Dazu wird auf Transport Layer Security Protocol (als TLS im RFC 2246 spezifizierte Weiterentwicklung von SSL) aufgesetzt. Mit TLS kann der Client sich per Public-Key authentifizieren. Aber:Alle anderen Methoden lassen sich auch verwenden, er meldet sich dann anonym an und auf Applikationslevel erfolgt dann die eigentliche Anmeldung, wie beispielsweise bei einem Webserver.

Mit einem eigenem Zertifikatsserver kann man seine Datenübertragung absichern, allerdings können die Zertifikate extern nicht überprüft werden.
Zertifikatsserver mit Win2003 Server einrichten

Bei Verwendung von EAP-TLS wird der gesamte Datenverkehr mit einer End-to-End Verschlüsselung gesichert und die Anmeldeinformationen werden nicht als Teil des Authentifizierungsprozesses über das Internet übertragen.
tweetbackcheck