roccomarcy 20 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Guten Morgen zusammen, folgende Ausgangslage: Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw) Exchange 2016 Windows 10 Pro verteilt über vers. Standorte Ich musste mit erschrecken feststellen, dass die SMB Signierung nicht aktiviert ist. Das Problem würde ich unter anderem gerne beheben, jedoch bin ich am überlegen, was das für Auswirkungen auf den Betrieb haben könnte. Die aktuelle Konfiguration ist wie folgt. Default Domain Policy: Default Domain Controller Policy: Meine Frage wäre nun, aktiviere ich die Signierung über die o.g. Policys oder baue ich mir für die stufenweise Aktivierung Richtlinien und verlinke diese auf Systeme der einzelnen Standorte. Ich denke aber, ich müsste den Schalter "komplett" umlegen, da bei der stufenweisen Anpassung die DDCP nicht berücksichtigt werden kann. Vielleicht könntet Ihr mir den Tip geben, auf was ich die Richtlinien in den jeweiligen GPOs setzen müsste. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai vor 10 Minuten schrieb roccomarcy: was das für Auswirkungen auf den Betrieb haben könnte. Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;) Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai vor 1 Minute schrieb NorbertFe: Sehr wahrscheinlich gar keine. Denn wenn das Auswirkungen in deiner Umgebung produziert, heißt es, dass da noch ziemlich alte Systeme beteiligt sind. Und die würdest du ja sicherlich kennen, oder? ;) Das ist erst mal funktional, und da stimme ich @NorbertFe zu. Allerdings, wie immer, wenn man Kryptographie einschaltet, die vorher ausgeschaltet war, wird es zu einem etwas höheren CPU-Verbrauch führen als vorher Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai (bearbeitet) Hi NorbertFe, das sollte ich ausschließen können. Die Randsysteme (NAS, usw) sind soweit aktuell. Vor-Windows 10 Systeme haben wir auch nicht im Einsatz. Das heißt ich könnte die beiden Richtlinien anpassen - was wäre da die aktuelle Konfiguration? Hi cj_berlin, das Thema der "Performance" habe ich auch schon gelesen - allerdings würde ich erstmal behaupten, dass sich das nicht bemerkbar macht. Wir haben relativ potente Systeme. bearbeitet 14. Mai von roccomarcy Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Bei NAS-Systemen muss dies oft an anderer Stelle konfiguriert werden. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Moin, Bei solchen Performance-Fragen muss man auch schauen, ob es um sehr dicht gepackte Enterprise-Umgebungen geht - da können sich solche Effekte so summieren, dass man vielleicht Auswirkungen bemerkt - oder um eine "typische" mittelständische Umgebung, wo man normalerweise überdimensionierte Systeme hat (oder man hat altes Zeug, das ohnehin schon aus Löchern pfeift, aber dann kommt es auch nicht mehr darauf an). Es ist jedenfalls, wie du selbst schon sagst, unwahrscheinlich, dass das eine Einschränkung darstellt. Und wenn, dann wäre das kein Grund, auf die Sicherheit zu verzichten. Gruß, Nils Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai Hi, könntet Ihr mir noch eine Empfehlung geben, wie die Konfiguration der beiden Richtlinien am besten angepasst werden sollten? Also sozusagen die Zielkonfiguration. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Microsoft network client: Digitally sign communications (always) = enabled Microsoft network client: Digitally sign communications (if server agrees) = enabled Microsoft network server: Digitally sign communications (always) = enabled Microsoft network server: Digitally sign communications (if client agrees) = enabeld Und Network security: LAN Manager authentication level = Send NTLMv2 response only refuse LM & NTLM 1 1 Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai Hi Norbert, die von dir genannte Konfiguration erfolgt in der DDP? Und die aktuellen Einstellungen aus der DDCP entferne ich bzw. setze ich auf "Nicht konfiguriert" zurück, oder wie wird damit umgegangen? Könnte ich die Settings ggf. erstmal in einem kleinen Bereich testen, sodass ich die Einstellungen in eine sep. GPO packe und diese auf einen Teilbereich von Systemen (z.B. ein Standort) linke? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Sowohl als auch. Also jeweils in ddp und ddcp. vor 41 Minuten schrieb roccomarcy: Könnte ich Könntest du? Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai Ich würde es gerne vorab einmal testen in einer kleineren Umgebung, bevor ich das über alle Systeme ausrolle. Daher die Frage, wie ich das angehen könnte. Also ob ich einfach ein neues GPO-Objekt baue, die Einstellungen dort hinterlege und an eine bestimmte OU hänge. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Ja, wer oder was hindert dich? Natürlich kannst du das auch auf eine oder eine Gruppe von Maschinen anwenden. Macht halt nur meist nur Aufwand für die Erkenntnis, dass man es auch gleich komplett ausrollen konnte. In deinem Fall dürften sich ja sowieso schon alle Windows Maschinen per signed smb unterhalten. ;) Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai Du meinst, weil in der DDP die Konfiguration "wenn Client/Server" zustimmt auf aktiviert gesetzt ist? Gilt dann aktuell nur nicht für die DCs, oder? Dort ist es ja via DDCP deaktiviert. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Richtig, deine DCs sind immer unsigniert (sowohl als Server als auch als Client). Insofern ist eben ein Test noch viel unnötiger ;) Oder willst du deine DCs noch mal einzeln bestücken. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 14. Mai Autor Melden Teilen Geschrieben 14. Mai Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen. Microsoft network client: Digitally sign communications (always) = enabled Microsoft network client: Digitally sign communications (if server agrees) = enabled Microsoft network server: Digitally sign communications (always) = enabled Microsoft network server: Digitally sign communications (if client agrees) = enabeld Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.