Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Know How

SMB Signing - Wo kommt der Systemfehler 1240 her?

Ein Großteil der Kommunikation zwischen Windows-Maschinen wird über das Protokoll CIFS/SMB abgewickelt. Ab Windows NT 4 mit dem Servicepack 3 besteht die Möglichkeit, die SMB-Kommunikation zwischen den Stationen digital zu signieren. Dieses Feature bezeichnet Microsoft als SMB Signing. Laut Microsoft führt die digitale Signatur der Pakete zu einem Performanceverlust von 10 bis 15 Prozent. Auf leistungsschwacher Hardware kann die Beeinträchtigung durchaus spürbar werden.

Im Zusammenspiel der verschiedenen Windows-Versionen kann SMB Signing Probleme verursachen. Versucht ein Client ohne Unterstützung für SMB Signing sich an einen Server anzumelden, bei dem SMB Signing vorgeschrieben ist (RequireSecuritySignature), wird der Client abgewiesen. Unter Windows 2000 wird dann am Client ein Systemfehler 1240 gemeldet.

Systemfehler 1240 aufgetreten.

Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.

Einstellungen für SMB Signing

Die Einstellungen für das SMB Signing können über die Systemsteuerung vorgenommen werden.
Unterhalb von

Verwaltung
Lokale Sicherheitsrichtlinien
Sicherheitseinstellungen
Lokale Richtlinien
Sicherheitsoptionen
findet man die Optionen

Serverkommunikation digital signieren (immer)
Serverkommunikation digital signieren (wenn möglich)

Clientkommunikation digital signieren (immer)
Clientkommunikation digital signieren (wenn möglich)

Diese kann man je nach Bedarf aktivieren oder deaktivieren. SMB Signing sollte allerdings nicht vollständig deaktiviert werden. Das kann zu Problemen bei der Replikation führen. Mitunter scheitert danch auch das Anwenden von Gruppenrichtlinien. Sinnvoll ist die Einstellung "Kommunikation digital signieren (wenn Client/Server zustimmt)".

SMB Signing Einstellungen

Einstellungen für SMB Signing unter Windows 2000
 

Die Einstellung kann auch direkt in der Registry erfolgen. An der Workstation sieht das so aus:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000

Und am Server sind die folgenden Einstellungen erforderlich:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\parameters]
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000

Die Einstellung "enablesecuritysignature = 1" aktiviert jeweils das SMB Signing, mit "requiresecuritysignature = 1" kann eine signiert Verbindung erzwungen werden. Ab Windows 2003 ist SMB Signing per Default aktiviert.

Fehlersuche

Bei der Protokollanalyse mit Wireshark findet man die entsprechenden Optionen im Negotiate Protocol Response. Im folgenden Beispiel unterstützt die angesprochene Station kein SMB Signing (Security Signatures NOT enabled). Eine Verbindung zu einer Station die eine Signatur erzwingt, würde hier also fehlschlagen.

SMB Security im Ethereal

Beispiel mit deaktiviertem SMB Signing
 

Ein spezieller Fehlercode wird dabei nicht übertragen. Der Client beendet einfach die Session zum Server.

Fazit

SMB Signing schützt die übertragenen Daten vor Veränderung und soll Man-in-Middle-Attacken verhindern. Eine Verschlüsselung der Nutzdaten findet nicht statt. Vertrauliche Informationen in Datei werden also weiterhin im Klartext über das Netzwerk übertragen.
Durch das Setzen von "requiresecuritysignature = 0" und "enablesecuritysignature = 1" wird SMB Signing nur aktiv, wenn beide Kommunikationspartner das auch unterstützen.

Weiterführende Informationen

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012