none
SMB Singing - Kontrolle über Einsatz möglich? RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Ich habe noch eine Win2000 Domäne und will auf 2008 R2 gehen. In der GPO ist aktiviert: Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt).

    Ich habe den Netzwerk Monitor schon aktiviert und auch das Paket gesehen. Siehe folgend:

    - Smb: R; Negotiate, Dialect is NT LM 0.12 (#5), SpnegoToken (1.3.6.1.5.5.2)
        Protocol: SMB
        Command: Negotiate 114(0x72)
      + NTStatus: 0x0, Facility = FACILITY_SYSTEM, Severity = STATUS_SEVERITY_SUCCESS, Code = (0) STATUS_SUCCESS
      - SMBHeader: Response, TID: 0x0000, PID: 0xFEFF, UID: 0x0000, MID: 0x0000
       + Flags: 152 (0x98)
       + Flags2: 51283 (0xC853)
         PIDHigh: 0 (0x0)
         SecuritySignature: 0x0
         Unused: 0 (0x0)
         TreeID: 0 (0x0)
         ProcessID: 65279 (0xFEFF)
         UserID: 0 (0x0)
         MultiplexID: 0 (0x0)
      - RNegotiateDialectNTLM:
         WordCount: 17 (0x11)
         DialectIndex: 5 (0x5)
       - SecurityMode: 7 (0x7)
          UserSecurity:               (.......1) User Mode
          EncryptedPasswords:         (......1.) Encrypted Passwords Required
          SecuritySignaturesEnable:   (.....1..) Security signatures(SMB sequence numbers) enabled
          SecuritySignaturesRequired: (....0...) Security signatures(SMB sequence numbers) NOT required
          Reserved_bits4_7:           (0000....) Reserved
     

    Aber wie kann ich wirklich sichergehen, dass mein 2000er DC auch die Pakete signiert? Mein Client ist XP SP3.

    Vielen Dank

    Katrin Rückbrod

    Mittwoch, 25. Juli 2012 14:33

Alle Antworten

  •  
    >       SecuritySignaturesEnable:   (.....1..) Security signatures(SMB
    > sequence numbers) enabled
     
    Steht doch da ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 25. Juli 2012 14:37
  • Am 25.07.2012 16:33, schrieb Katrin Rückbrod:
    > dass mein 2000er DC auch die Pakete signiert?
     
    Ich persönlich lehne mich mal weit aus dem Fenster und behaupte, daß SMB
    Signing total sinnfrei ist.
     
    a) Dein Server wird immer unsignierte Senden und empfangen müssen, weil
    kaum einer ein 100% homogene MS Landschaft hat.
    b) SMB Signing kostet Performance, bis zu 40% bei SMB 1.0, es wird
    besser mit 2.0 (Vista/7) und 3.0 (8).
    c) Der meisten Firmen haben keine MS Fileserver, sondern irgendwelche
    Storages auf Linuxbasis. Die signieren idR nicht, d.h. 95+x% deines
    Dateitraffics sind sowieso unsigniert. Warum sollte dann das bischen
    Dateireplikation und GPO importieren signiert sein?
    d) SMB Reflection Attacks, die immer genannt werden, wurden 2008/2009
    gepatcht.
    e) wenn dein System über SMB angegriffen werden sollte, dann nehmen die
    bösen Jungs sicherlich kein XP als Plattform, sondern ein "irgendwas mit
    x" und dann spricht jeder Rechner mit dem sowieso unsigniert.
     
    Als Argumente bleiben stehen:
    Erkaufe Scheinsicherheit mit Performance Verlust.
     
    Ich wähle Performance und schalte die 4 Richtlinien generell auf
    "deaktiviert".
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Donnerstag, 26. Juli 2012 08:45