Kostenfreies Gespräch

SMB Signing: Richtlinien und empfohlene Einstellung

1. Juni 2025

SMB Signing über Gruppenrichtlinie aktivieren (für Windows Pro oder höher)

Im vorhergehendem Beitrag wurde SMB Signing und seine wichtigen Funktionen vorgestellt. Dabei blieb die Frage offen: Wie aktiviere ich das denn jetzt? Wie SMB Signing aktiviert wird und was die empfohlenen Einstellungen sind, ist Thema in diesem Post.

Wo sind sie zu finden

  • Gruppenrichtlinien-Editor öffnen:
    • Drücke Windows-Taste + R um das Ausführen-Fenster aufzurufen.
    • gpedit.msc eingeben.
    • Mit Enter bestätigen.
  • Zur passenden Richtlinie navigieren:
    Klicke dich durch folgende Struktur:
    • Computerkonfiguration
    • Windows-Einstellungen
    • Sicherheitseinstellungen
    • Lokale Richtlinien
    • Sicherheitsoptionen
  • SMB-Signierungsrichtlinien auswählen:
    In den Sicherheitsoptionen findest du die relevanten Richtlinien:
    • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
    • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)
    • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
    • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)

Hinweis:

  • Immer = verlangt zwingend Signierung. Keine Verbindung ohne gültige Signatur.
  • Wenn der Server zustimmt = Signierung wird angeboten, aber nicht erzwungen. Kommunikation wird signiert, wenn Client ebenfalls SMB zustimmt.
  • Wenn der Client zustimmt = Signierung wird angeboten, aber nicht erzwungen. Kommunikation wird signiert, wenn Server ebenfalls SMB zustimmt.

Erlaubt man eine Signatur, ohne sie zu verlangen, bleibt man ungeschützt gegenüber ungesicherter Kommunikation und den damit übertragenen Daten.
Bei dem neuen SMB 3 ist diese Einstellung etwas vereinfacht, da automatisch einer Signatur zugestimmt wird. Da es nur von Vorteil ist einer Signatur zuzustimmen, wenn eine angeboten wird, ist diese Einstellung nun standardisiert.

Darstellung der Richtlinien

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer):
    • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    • Registry-Wert: RequireSecuritySignature
    • Datentyp: REG_DWORD
    • Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt):
    • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters 
    • Registrierungswert: EnableSecuritySignature
    • Datentyp: REG_DWORD
    • Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer):
    • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters 
    • Registry-Wert: RequireSecuritySignature
    • Datentyp: REG_DWORD
    • Daten: 0 (deaktivieren), 1 (aktivieren)
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt):
    • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters 
    • Registrierungswert: EnableSecuritySignature
    • Datentyp: REG_DWORD
    • Daten: 0 (deaktivieren), 1 (aktivieren)

SMB Signging aktivieren über die Powershell

Da Windows Home keine Gruppenrichtlinie besitzt, kann die Einstellung nur über die Powershell vorgenommen werden. Diese Variante kann auch auf allen anderen Betriebssystemen genutzt werden.

  • Powershell als Administrator ausführen
  • Befehl um SMB Signing für ausgehende Verbindungen zu aktivieren:
    Set-SmbClientConfiguration -RequireSecuritySignature $true
  • Befehl um SMB Signing für eingehende Verbindungen zu aktivieren:
    Set-SmbServerConfiguration -RequireSecuritySignature $true
  • Überprüfung der Einstellungen:
    Get-SmbClientConfiguration | FL RequireSecuritySignature
    Get-SmbServerConfiguration | FL RequireSecuritySignature

Wenn bei beiden Einstellungen True zurück gegeben wird, wurde die Einstellung korrekt übernommen und die SMB Signierung ist aktiviert.

Empfohlene Einstellungen

Um den besten Schutz zu gewährleisten, empfehlen wir folgende Einstellungen:

  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer):
     ✅ Aktivieren
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt):
    ✅ Aktivieren
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer):
    ✅ Aktivieren
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt):
    ✅ Aktivieren

Geschafft

Mit diesen Einstellungen ist die Übertragung über SMB gesichert. Mit wenig Aufwand sind deine Übertragungen gesichert. Im nächsten Beitrag erfährst du noch bekannte Probleme und nochmal mehr Informationen dazu, wann diese Signatur zum Greifen kommt.

Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Ähnliche Beiträge

Wie merkt man sich Passwörter?

Die besten Sicherheitsmaßnahmen sind nutzlos, wenn schwache Zugangsdaten gewählt werden. Damit stellen sich zwei wesentliche Fragen, welche ich nachfolgend erläutern [...]

Weiterlesen

26. Juni 2017

30 Minuten zum sicheren WordPress Blog

WordPress ist nach wie vor, gerade bei Neulingen, das Mittel zur Wahl, um schnell eine ansehnliche Website zu erstellen. Alles [...]

Weiterlesen

26. Juni 2017

Trügerisches Sicherheit: Antivirus und Firewall

Wir sind sicher, denn wir haben einen Virenscanner und eine Firewall! Diese Aussage fällt häufig als erstes und sollte daher [...]

Weiterlesen

11. Juli 2017

Phishing-Mails erkennen

Fast täglich werden Nutzer zu Opfern sogenannter Phishing-Mails. Daher möchte ich in diesem kurzen Beitrag aufzeigen, auf welche Details geachtet [...]

Weiterlesen

14. Juli 2017