SMB auf Windows Clients

[MurdocX 949]

Am 25.5.2023 um 18:52 schrieb MurdocX:

Out- und Inbound Traffik geht immer vom Initiator aus. Wenn ich also initial eine Outbound-Connection habe, dann darf natürlich die Gegenüberstelle antworten.

Hatte ich auch schon erwähnt  Geht meist in dem vielen Text unter.

Ich hatte es mit Screenshots nur nochmal unterstrichen :)

[daabm 1.354]

Sorry, ja hab ich übersehen... Aber schadet ja nicht, das noch mal explizit als Statement zu haben - ohne "den vielen Text" drum herum

[Weingeist 159]

@MurdocX Sorry für die späte Antwort. Habe ich auch nicht so aufgefasst. Mir ist das ja auch ziemlich unlogisch und die Theorie und normale Praxis dazu ist mir ebenfalls bekannt, so ist es nicht. Aber erstellen musste ich auf dem Client nunmal Inbound und Outbound, sonst lief es nicht (mehr) und seither erstelle ich beide.
 

Unsere Voraussetzungen sind in Deinem Test auf alle Fälle nicht identisch. Du greifst via IP zu und benutzt deshalb NTLM und kein Kerberos. Sprich NTLM ist gestattet wenn Du Zugriff bekommst. Ich erzwinge Kerberos.

 

Wie sieht den Deine sonstige SMB-Konfiguration aus? Also Server und Client? Jeweils beides. Also SmbServer und SmbClient.

RequireSecuritySignature, EnableStrictNameChecking, RejectUnencryptedAccess, SmbServerNameHardeningLevel auf 1, minium SMB-Level, ValidateTargetName und was ich allenfalls noch so vergessen habe das man setzen sollte und nicht Standard ist (Genaue Differenz zu Standard-Einstellungen müsste ich erst gegenprüfen).

 

Ohne jetzt 100% sicher zu sein, aber meiner Meinung nach fing das Theater an, als ich alle diese Features gesetzt habe. Wobei ich einen Teil schon vorher hatte. Ob nun vor oder nach durchsetzen von Kerberos kann ich ebenfalls nicht mehr mit Sicherheit sagen. Schlicht zu lange her. Im Moment ist aber grad essig mit viel rumtesten. Am Feierabend bekomme ich bei diesem Wetter haue und am Tag grad keine Zeit

bearbeitet 5. Juni 2023 von Weingeist