SMB Signing (Server vs. Client)
Hallo,
es gibt ja in den Sicherheitsrichtlinien die folgenden beiden Optionen mit denen man signierte SMB-Kommunikation zur Pflicht erheben kann:
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer): aktiviert
Was haben die beiden Zeilen (jede für sich) nun genau für einen Effekt?
Eigentlich würde ich erwarten die Zeile mit "Client" heißt: "ich rede nur mit Servern die signierte Pakete verschicken".
Der anderen Zeile (mit "Server") würde ich folgende Zeile zuschreiben: "ich biete meine eigenen Shares nur Clients an, die signierte Pakete unterstützen".
Jetzt habe ich aber folgendes Problem: Ich habe einen Linux-Samba-Server so konfiguriert, daß er Signing unterstützt. Windows-Clients die die erste Zeile aktiviert haben (Client) können auch Shares von dem Linux-Samba-Server lesen.
Wenn ich jetzt auf dem Windows-Client die Zeile "Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)" aktiviere, dann kann ich nicht mehr auf die Samba-Freigaben zugreifen... eigentlich sollte diese Zeile doch überhaupt nichts an der Kommunikation zu Servern hin verändern, oder?
Danke.
Gruß
Dieter
es gibt ja in den Sicherheitsrichtlinien die folgenden beiden Optionen mit denen man signierte SMB-Kommunikation zur Pflicht erheben kann:
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer): aktiviert
Was haben die beiden Zeilen (jede für sich) nun genau für einen Effekt?
Eigentlich würde ich erwarten die Zeile mit "Client" heißt: "ich rede nur mit Servern die signierte Pakete verschicken".
Der anderen Zeile (mit "Server") würde ich folgende Zeile zuschreiben: "ich biete meine eigenen Shares nur Clients an, die signierte Pakete unterstützen".
Jetzt habe ich aber folgendes Problem: Ich habe einen Linux-Samba-Server so konfiguriert, daß er Signing unterstützt. Windows-Clients die die erste Zeile aktiviert haben (Client) können auch Shares von dem Linux-Samba-Server lesen.
Wenn ich jetzt auf dem Windows-Client die Zeile "Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)" aktiviere, dann kann ich nicht mehr auf die Samba-Freigaben zugreifen... eigentlich sollte diese Zeile doch überhaupt nichts an der Kommunikation zu Servern hin verändern, oder?
Danke.
Gruß
Dieter
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202603
Url: https://administrator.de/forum/smb-signing-server-vs-client-202603.html
Ausgedruckt am: 28.04.2025 um 05:04 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
http://kb.proficonsulting.com/entry/26/
Gruß,
Peter
Zitat von @flyingKangaroo:
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): aktiviert
Liefert schon genug Treffer in einer Suchnmaschine deiner Wahl (welche aber wohl kaputt ist?)Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): aktiviert
http://kb.proficonsulting.com/entry/26/
Gruß,
Peter
Danke.
Im wesentlichen hatte ich die ganzen Einstellungen doch richtig verstanden, jedoch habe ich nach einiger Wühlerei die Information entdeckt, daß ein "GUEST OK" im prinzip nicht mehr funktioniert, sobald Signing verwendet wird.
d.h. möchte man ein völlig frei zugängliches Samba-Share auf einem Server schaffen, der auch für Clients zugänglich ist, die Signing haben wollen, kommt man nicht drum rum trotzdem eine Benutzerkennung zu definieren die Zugriff hat, und diese dann zu kommunizieren (z.B. "samba"/"public").
Zumindest meinen Recherchen zufolge...
Im wesentlichen hatte ich die ganzen Einstellungen doch richtig verstanden, jedoch habe ich nach einiger Wühlerei die Information entdeckt, daß ein "GUEST OK" im prinzip nicht mehr funktioniert, sobald Signing verwendet wird.
d.h. möchte man ein völlig frei zugängliches Samba-Share auf einem Server schaffen, der auch für Clients zugänglich ist, die Signing haben wollen, kommt man nicht drum rum trotzdem eine Benutzerkennung zu definieren die Zugriff hat, und diese dann zu kommunizieren (z.B. "samba"/"public").
Zumindest meinen Recherchen zufolge...
