Microsoft macht die SMB-Signierung mit Windows 11 Canary Build 25381 obligatorisch

Microsoft hat heute den neuesten Windows 11-Build für Insider auf dem Canary-Kanal veröffentlicht. Der neue Build 25381 bringt eine wesentliche Änderung bei der SMB-Signierung (Server Message Block). Bisher war SMB-Signing nicht obligatorisch, aber mit der neuesten Version erfordern Windows 11, Windows 10 und Server standardmäßig SMB-Signatur. Diese Änderung wurde vorgenommen, um die Sicherheit zu verbessern, sagt Microsoft.

Das Änderungsprotokoll für Build 25381 ist unten aufgeführt:

Was ist neu in Build 25381?

Änderungen der SMB-Signaturanforderungen

Ab den Enterprise-Editionen von Windows 11 Insider Preview Build 25381 ist die SMB-Signierung jetzt standardmäßig für alle Verbindungen erforderlich. Dadurch ändert sich das alte Verhalten, bei dem Windows 10 und 11 standardmäßig eine SMB-Signatur nur beim Herstellen einer Verbindung zu Freigaben mit den Namen SYSVOL und NETLOGON erforderte und bei dem Active Directory -Domänencontroller eine SMB-Signatur erforderten, wenn ein Client eine Verbindung zu ihnen herstellte. Dies ist Teil einer Kampagne zur Verbesserung der Sicherheit von Windows und Windows Server für die moderne Landschaft.

Alle Versionen von Windows und Windows Server unterstützen die SMB-Signierung. Aber ein Dritter könnte es deaktivieren oder nicht unterstützen. Wenn Sie versuchen, eine Verbindung zu einer Remote-Freigabe auf einem SMB-Server eines Drittanbieters herzustellen, der keine SMB-Signatur zulässt, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• Die kryptografische Signatur ist ungültig.

Um dieses Problem zu beheben, konfigurieren Sie den SMB-Server eines Drittanbieters so, dass er SMB-Signaturen unterstützt. Dies ist die offiziell empfohlene Anleitung von Microsoft. Deaktivieren Sie die SMB-Signatur in Windows nicht und verwenden Sie nicht SMB1, um dieses Verhalten zu umgehen (SMB1 unterstützt die Signatur, erzwingt sie jedoch nicht). Ein SMB-Gerät, das keine Signatur unterstützt, ermöglicht das Abfangen und Weiterleiten von Angriffen durch böswillige Parteien.

SMB-Signaturen können die Leistung von SMB-Kopiervorgängen beeinträchtigen. Sie können dies durch mehr physische CPU-Kerne oder virtuelle CPUs sowie neuere, schnellere CPUs abmildern.

Um die aktuellen SMB-Signatureinstellungen anzuzeigen, führen Sie die folgenden PowerShell-Befehle aus:


Get-SmbServerConfiguration | fl requiresecuritysignature


Get-SmbClientConfiguration | fl requiresecuritysignature

Um die Anforderung für die SMB-Anmeldung bei Clientverbindungen (ausgehend zu einem anderen Gerät) zu deaktivieren, führen Sie den folgenden PowerShell-Befehl als Administrator mit erhöhten Rechten aus:


Set-SmbClientConfiguration -RequireSecuritySignature $false

Um die Anforderung für den SMB-Anmeldeserver zu deaktivieren (auf Windows 11 Insider Preview Build 25381 und höher mit Geräten der Enterprise Edition), führen Sie den folgenden PowerShell-Befehl als Administrator mit erhöhten Rechten aus:

Set-SmbServerConfiguration -RequireSecuritySignature $false

Es ist kein Neustart erforderlich, aber bestehende SMB-Verbindungen verwenden weiterhin die Signatur, bis sie geschlossen werden.

Weitere Informationen zu dieser Änderung finden Sie unter https://aka.ms/SMBSigningOBD .

Änderungen und Verbesserungen

[Allgemein]

• Wenn ein Kamera-Streaming-Problem erkannt wird, z. B. wenn die Kamera nicht startet oder der Kameraverschluss geschlossen ist, wird ein Popup-Dialogfeld mit der Empfehlung angezeigt, den automatischen „Hilfe anfordern“-Troubleshooter zu starten, um das Problem zu beheben.

Den offiziellen Blogbeitrag finden Sie hier .