[Linux-ivv4] Erzwingen von SMB Signing bei allen Windows Arbeitsplätzen und Servern in den Active Directory Domänen
Adam, Heinz-Hermann, Dr.
adamh at uni-muenster.de
Wed Jul 9 15:09:05 CEST 2025
Liebe Kolleginnen und Kollegen,
im Rahmen des Pentests in Q1/2024 wurde fehlendes SMB Signing auf privilegierten Systemen als Schwachstelle identifiziert. Auch das BSI fordert in APP.2.2.A9 eine Aktivierung von SMB Signing und eine Deaktivierung von SMB V1. Beides sollte daher domänenweit umgesetzt werden. Die Kommission Informationssicherheit schlägt eine Umsetzung beider Maßnahmen zum 30.06.2025 vor.
Dies wurde, wie auf der Expert:innenrunden-Sitzung in der vergangenen Woche berichtet, auf der Sitzung der IV-Leitung Mitte Juni dahingehen abgemildert, dass der Termin auf den 4. September 2025 verschoben wurde. Dadurch wird Zeit etwaige Auswirkungen auf die Kommunikation zwischen verschiedenen SMB-Clients und verschiedenen SMB-Servern zu testen.
Wir haben einen Test-Server smb-sign.nwz.wwu.de <http://smb-sign.nwz.wwu.de/> bereitgestellt, der das SMB signing für die Verbindung erfordert. Sie können so einfach mit Ihren “kritischen” Clients unter Linux, macOS oder sonstigen embedded System mit SMB-Client, ... versuchen auf diesen Server zuzugreifen. Sollte das nicht klappen, wären wir an einer Rückmeldung interessiert - gerne auch deutlich vor dem 4. September.
Getestet haben wir es bereits mit Windows 11, 10, und 7 und selbst wenn man da per Powershell bzw. Registry eigentlich das SMB signing deaktiviert, wird immer noch eine signierte Verbindung zu dem Test-Server hergestellt.
Einen Test-Server der kein SMB signing anbietet haben wir aktuell nicht, sodass Sie den Fall bitte selbst testen müssten, wenn Sie ein entsprechendes System in Betrieb haben, ob ein Windows Client mit verpflichtendem SMB signing auf das System noch zugreifen kann.
Dokumentation zu SMB Signing:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing
https://www.blumira.com/integration/how-to-configure-smb-signing/
Mit freundlichen Grüßen
HH Adam
--
Dr. Heinz-Hermann Adam | Geschäftsführer
Universität Münster | IVV Naturwissenschaften | Wilhelm-Klemm-Str. 10 | 48149 Münster | Germany
T: +49 251 83-39040 | F: +49 251 83-93339040 | M: +49 151 58800394
E: adamh at uni-muenster.de | http://www.uni-muenster.de/nwz
Nächste geplante Abwesenheit:
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4758 bytes
Desc: not available
URL: <http://LISTSERV.UNI-MUENSTER.DE/pipermail/linux-ivv4/attachments/20250709/7eceade8/attachment.p7s>
More information about the Linux-ivv4
mailing list