Windows 11 Sicherheits-Änderung: SMB-Signierung wird Standard
von Tina Siering
Standardmäßige SMB-Signierung
Beginnend mit der Windows 11 Insider Preview Build 25381 (Enterprise-Edition) ist die SMB-Signierung nun standardmäßig für alle (Netzwerk-)Verbindungen erforderlich. Dies ändert das frühere Verhalten, bei dem Windows 10 und 11 die SMB-Signierung standardmäßig nur bei Verbindungen zu Freigaben mit den Namen SYSVOL und NETLOGON verlangten und bei denen Active Directory-Domänencontroller die SMB-Signierung verlangten, wenn ein Client eine Verbindung zu ihnen herstellte.
Bereits zu Beginn des Jahres hatte Microsoft weitere Änderungen im Umgang mit dem SMB-Protokoll angekündigt. Zunächst wurde die SMB-Gastauthentifizierung standardmäßig deaktiviert. Durch eine SMB-Authentifizierungs-Ratenbegrenzung wurde die Netzwerkanmeldung verbessert, indem festgelegt wurde, wie viele Anmeldeversuche innerhalb eines Zeitlimits von zwei Sekunden durchgeführt werden dürfen.
Das SMB-Protokoll wird zur gemeinsamen Nutzung von Netzwerkdateien verwendet und ermöglicht es Anwendungen auf einem Computer, Dateien zu lesen und zu schreiben sowie Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. Es wird zum Beispiel bei der Verwendung von NAS-Geräten zur Datensicherung eingesetzt.
Microsoft-Manager Ned Pyle erläuterte in einem Blogbeitrag den Grund für diese Änderung und teilte mit, dass sie auch für alle andere Windows-Versionen sowie Windows Server gelten wird. Obwohl Windows und Windows Server die SMB-Signatur bereits seit einiger Zeit unterstützen, war sie bisher optional.
Pyle stellte außerdem klar, dass trotz dieser Änderung SMB-Funktionen in zukünftigen Windows-Versionen nicht eingestellt werden. Microsoft plant, in den kommenden Jahren weiterhin sicherere SMB-Standardeinstellungen und neue SMB-Sicherheitsoptionen zu veröffentlichen. Die Sicherheit könne nicht dem Zufall überlassen werden.
Das Fehlen von Signaturen birgt immer wieder Sicherheitslücken, die insbesondere für Hackerangriffe auf Unternehmensnetzwerke genutzt werden. Sie stellen einen attraktiven Angriffsvektor für Man-in-the-Middle-Angriffe (MITM) dar. Im schlimmsten Fall kann ein bösartiger Angreifer über das Login Lese- oder Kopierzugriff auf ein ganzes Netzwerk erlangen, ohne Spuren zu hinterlassen.
Wir begrüßen die Entscheidung von Microsoft:
Sowohl die fehlende SMB-Signierung und damit das Setzen auf NTLM als veraltete Authentifizierungsmethode ist immer wieder Thema nach von uns durchgeführten Pentests oder in Gesprächen mit Kunden, die unseren Active Cyber Defense (ACD) Service im Einsatz haben. Im Rahmen der Protokollanalyse bei unseren ACD-Kunden empfehlen wir zudem den Einsatz von Protokollversionen wie SNMPv3, SMB3 und FTP(S) mit Verschlüsselung.