Windows Server 2025: Neue Sicherheitsfunktionen für File-Services (SMB und NTLM)

Einen großen Fortschritt für die Rolle als Datei-Server bedeutet die angekündigte Unterstützung von SMB over QUIC ein allen Editionen von Windows Server 2025. Daneben bringt das nächste Server-Release im LTSC eine ganze Reihe von neuen Mechanismen, die das herkömmliche SMB über TCP oder RDMA gegen Angriffe absichern.

Ein wesentlicher Vorteil von SMB over QUIC besteht in der höheren Performance für den Zugriff auf Files-Shares. Daneben verbessert es aber auch die Sicherheit der Datei-Services, indem es als eine Art SMB-VPN für Benutzer fungiert, die von unterwegs arbeiten. Der SMB-Verkehr einschließlich der Authentifizierung läuft dabei über einen TLS 1.3-verschlüsselten Tunnel.


Auch wenn SMB over QUIC nach Microsofts Aussagen die Zukunft gehört, so wird es die herkömmlichen Transport­mechanismen weiterhin geben. Windows Server führt einige Funktionen ein, um auch diese besser zu schützen:

NTLM-Authentifizierung für SMB-Verbindungen blockieren

Standardmäßig handeln Client und Server über den SPNEGO-Mechanismus das Protokoll für die Authentifizierung aus. Bei einer Verbindung zwischen Rechnern, die einer Domäne angehören, kommt normalerweise Kerberos zum Zug.

In einigen Situationen erfolgt die Anmeldung jedoch über NTLM, nämlich wenn:

  • der Client eine Verbindung über eine IP-Adresse herstellt;
  • der Kerberos CIFS Service Principal Name für den SMB-Server im Active Directory fehlt;
  • Für die Anmeldung am SMB-Server ein lokales Benutzerkonto verwendet wird.

Diese Notwendigkeit zur NTLM-Authentifizierung soll mittel- bis langfristig durch Erweiterungen von Kerberos entfallen. Bis dahin sieht Microsoft die Möglichkeit vor, NTLM für SMB zu blockieren. Eine Verbindung scheitert dann jedoch, wenn einer der obigen Gründe für die Verwendung von NTLM gegeben ist.

Blockieren per Gruppenrichtlinie

Windows 11 und Server 2025 erhalten für diesen Zweck eine Gruppenrichtlinie namens NTLM blockieren (LM, NTLM, NTLMv2) ("Block NTLM  (LM, NTLM, NTLMv2)"). Diese existiert allerdings nur für den SMB-Client. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation.

Die Gruppenrichtlinien für das Blockieren der SMB-Authentifizierung mittels NTLM

Wenn sich diese Hürden für einzelne Server nicht beseitigen lassen, dann kann man aktuell für sie Ausnahmen definieren. Diesem Zweck dient die Gruppenrichtlinie Block NTLM Server Exception List.

NTLM-Authentifizierung über PowerShell einschränken

Zusätzlich besteht die Möglichkeit, NTLM mit PowerShell für alle oder nur bestimmte Verbindungen mit einem SMB-Server zu deaktivieren:

Set-SMbClientConfiguration -BlockNTLM $true

Dieser Aufruf ändert die Konfiguration des SMB-Clients global, während man nur eine bestimmte Verbindung folgendermaßen anpasst:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Den jeweiligen Status dieser Eigenschaft kann man dann mit

Get-SMbClientConfiguration | select BlockNTLM

und

Get-SmbMapping | select BlockNTLM

abfragen. Auch das alte net use verfügt nun über einen Schalter /blockntlm.

Zahl der NTLM-Anmeldeversuche begrenzen

Wenn es einem Hacker gelingt, Benutzernamen zu erraten oder aus dem Active Directory auszulesen, dann kann er NTLM-Anmeldeversuche in sehr kurzen Abständen an einen SMB-Server schicken.

Um Passwörter der verwendeten Konten zu knacken, kommen typischerweise Dictionaries oder Listen mit kompromittierten Kennwörtern zum Einsatz. Wenn sich in automatisierten Angriffen mehrere hundert Login-Versuche pro Sekunde absetzen lassen, dann bestehen gute Chancen für eine erfolgreiche Anmeldung nach kurzer Zeit.

Unternehmen können sich bisher dagegen schützen, indem sie Konten nach einer bestimmten Zahl an gescheiterten Anmeldeversuchen sperren. Dieses Feature lässt sich jedoch für Denial-of-Service-Attacken missbrauchen.

Intervalle zwischen den Logins

Windows Server 2025 erhält einen alternativen Mechanismus zum Schutz gegen missbräuchliche SMB-NTLM-Authentifizierungen. Der so genannte SMB NTLM Authentication Rate Limiter erlaubt die Definition von Intervallen, die zwischen zwei Anmelde­versuchen vergehen müssen. Diesen kann man etwa dann einsetzen, wenn das Blockieren von SMB-NTLM nicht praktikabel ist.

Dadurch werden automatisierte Angriffe ausgebremst und es würde um ein Vielfaches länger dauern, um ein Passwort zu knacken.

Konfiguration per Gruppenrichtlinie

Die Zahl der Anmeldeversuche innerhalb eines bestimmten Intervalls lässt sich mit Hilfe der Gruppenrichtlinie Begrenzer für Authentifizierungs­rate aktivieren ("Enable Authentication Rate Limiter") reduzieren. Die Einstellung ist unter LanMan-Server verfügbar.

Zu häufige Anmeldeversuche und damit Brute-Force-Attacken per Gruppenrichtlinie unterbinden

Die Gruppenrichtlinie lässt jedoch keine Konfiguration der Intervalle zu, innerhalb die nach einem ungültigen Anmeldeversuch vergehen müssen. Dies geht nur mit PowerShell.

Verwaltung per PowerShell

Um die aktuelle Einstellung in PowerShell abzufragen, verwendet man dieses Kommando:

Get-SmbServerConfiguration | select InvalidAuthenticationDelayTimeInMs

Konfiguration des SMB NTLM Authentication Rate Limiter mittels PowerShell

Um das Intervall zwischen zwei Anmeldeversuchen festzulegen, geht man folgendermaßen vor:

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Millisekunden>

Bestimmte SMB-Versionen erzwingen

Bei SMB handeln Client und Server standardmäßig die höchste, von beiden Seiten unterstützte Version des Protokolls aus. Mit zwei neuen Gruppenrichtlinien erhalten Admins aber nun die Möglichkeit, eine minimale und ein maximale Version von SMB festzulegen.

Auf diese Weise lassen sich ältere und weniger sichere Ausführungen ausschließen. Die niedrigste verfügbare Version ist dabei die 2.0.2. Wenn sich eine Organisation hier beispielsweise auf die jüngste Variante 3.1.1 festlegt, dann lassen sich alle älteren nicht mehr nutzen.

Die Gruppenrichtlinie zur Festlegung einer minimalen und maximalen SMB-Version existiert sowohl für den Client (ausgehende Verbindung) als auch den Server (eingehende Verbindung). Sie befindet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation bzw. LanMan-Server.

Auswahl der minimalen und maximalen SMB-Versionen mittels Gruppenrichtlinien

Auch hier sieht Microsoft eine Konfiguration mittels PowerShell vor. Die Cmdlets

  • Set-SmbClientConfiguration
  • Set-SmbServerConfiguration

erhielten dafür die neuen Parameter Smb2DialectMin und Smb2DialectMax. Als Werte kommen analog zu den Gruppenrichtlinien SMB202 bis SMB311 in Frage.

Abfragen kann man die aktuellen Einstellungen über Get-SmbClientConfiguration und Get-SmbServerConfiguration.

Einstellungen für minimale und maximale SMB-Versionen abfragen

Wie man obiger Abbildung entnehmen kann, sind standardmäßig alle SMB-Versionen zulässig.

SMB-Signing standardmäßig aktiviert

Bislang erforderten nur Verbindungen zu einem Domänen-Controller eine SMB-Signatur. Künftig aktiviert Microsoft generell die SMB-Signierung per Voreinstellung, und zwar sowohl auf dem Client als auch auf dem Server.

Der Hersteller hat länger mit dieser Maßnahme gezögert, weil sie zu Kompati­bilitäts­problemen mit älteren Systemen führen kann. Admins sollten sich daher auf die bevorstehende Änderung vorbereiten.

Mit folgenden PowerShell-Befehlen lassen sich die aktuellen Client- und Server-Einstellungen für SMB-Signierung abfragen:

Get-SmbClientConfiguration | Format-List RequireSecuritySignature
Get-SmbServerConfiguration | Format-List RequireSecuritySignature

Bis dato war die verpflichtende SMB-Signierung in allen Versionen von Windows standardmäßig deaktiviert.

SMB-Signierung abschalten

Falls ein unverzichtbares Legacy-System die SMB-Signierung nicht zulässt, dann kann man sie für ausgehende Client-Verbindungen deaktivieren. Dazu führt man diesen Befehl in einer PowerShell mit Admin-Rechten aus:

Set-SmbClientConfiguration -RequireSecuritySignature $false

Und um die SMB-Signaturanforderung auf dem Server zu deaktivieren, gibt es den folgenden PowerShell-Befehl:

Set-SmbServerConfiguration -RequireSecuritySignature $false

Für diese Aufgabe gibt es auch Einstellungen in der Gruppenrichtlinien. Sie heißen Microsoft-Netzwerk (Client bzw. Server): Kommunikation digital signieren. Sie existieren in Ausprägungen für den Client und den Server sowie für immer oder bei Zustimmung der Gegenseite.

Sie finden sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen.

Die vorgegebene SMB-Signierung lässt sich über Gruppenrichtlinien deaktivieren.

Standardmäßig aktivierte Firewall-Regeln

Wenn man die File-Server-Rolle installiert, dann aktvierte dies bisher nicht nur automatisch die Firewall-Regeln für SMB oder den Spooler-Service, sondern öffnete auch die NetBIOS-Ports. In Windows Server 2025 ist dies nicht mehr der Fall. Die Regeln existieren aber weiterhin, so dass man diese bei Bedarf aktivieren kann.

Das Installieren der File-Server-Rolle öffnet in Server 2025 die NetBIOS-Ports in der Firewall nicht mehr.

Zusammenfassung

Die wichtigste Neuerung für die Dateidienste in Windows Server 2025 ist zweifellos die Verfügbarkeit von SMB over QUIC in allen Editionen. Dieses erhöht nicht nur die Performance, sondern auch die Sicherheit.

Daneben bringt das neue OS aber mehrere Verbesserungen zur Absicherung von SMB über alle Transport­mechanismen. Dazu zählt vor allem die Einschränkung der NTLM-Authentifizierung auf SMB-Ebene. Diese lässt sich entweder ganz blockieren oder bei Fehlversuchen um ein bestimmtes Intervall verzögern.

Darüber hinaus können Anwender ältere Varianten von SMB vermeiden, indem sie per Gruppenrichtlinie oder PowerShell eine minimale Version vorgeben. Schließlich verbessert die standardmäßige SMB-Signierung sowie das Schließen der NetBIOS-Ports in der Firewall die Sicherheit der Dateidienste.

Source link

Loading...