Re: Installation des Servicepacks 1 f?r Vista kein Zugriff auf Freigaben

* Mark Heitbrink [MVP] (Sat, 29 Mar 2008 12:33:29 +0100)
Thorsten Kampe schrieb:
Glaubst du ernsthaft, Microsoft würde eine solche Änderung machen
ohne dies irgendwo zu dokumentieren?

Ja. Es ist denen Scheissegal. Die einzelnen Produktgruppen reden
nicht miteinander, wennes sich um solche Kleinigkeiten handelt.

Es handelt sich hier nicht um eine Kleinigkeit:
"SMB message signing accounts for 25 percent of all support calls to
Microsoft product support services (PSS) relating to security
policy."[1]

Wenn sie kommunizieren würden, dann würde man nicht ständig in der
KB Artikel finden die sagen: Stellen sie folgende Werte in der
Registry auf "x", anstatt "sauber" auf die Richtlinie zu verweisen,
wenn es dafür schon eine gibt. (siehe speziell SMB Einstellungen ...)
Passiert ständig und ist auch schon oft als Korrekturvorschlag
übergeben worden. Aber nichts ändert sich. Diejenigen, die die KB
betreuen wissen nicht einmal, daß sie Richtlinien haben, die
tatsächlich von den Leuten genutzt werden.

Kann ich (speziell in Bezug auf SMB Signing) überhaupt nicht
bestätigen. Siehe zum Beispiel "We recommend that you use Group
Policies to configure SMB signing because a local registry value
change does not function correctly if there is an overriding domain
policy."[2]

Da es in Bezug auf SMB Signing kein "nicht konfiguriert" gibt, wird -
selbst wenn es keine Domänen-Richtlinie gibt - die lokale Richtlinie
dir jede Registrierungseinstellung innerhalb kürzester Zeit gnadenlos
überschreiben.

Wo sind denn die Tausende von Rechnern, bei denen SMB Signing jetzt
> "required" ist? Da dürften die Hotlines beim Support ja nicht mehr
> still stehen.

Stressfrei. 1.) ist der besagte Patch draussen und 2.) geht MS davon aus,
das das mittlerweile jeder per GPO oder per Hand gelöst hat.
Es ist schliesslich ein bekanntes Problem.

Sicher ist es das:
"By default [...] the only problems that should be caused by SMB
message signing are that older systems running Windows 9x cannot
connect to a Windows Server 2003 domain controller (DC)."[1]

"If you simple leave the defaults as they are you should not have any
problems (except the aforementioned issue with Windows 9x). In spite
of that, a lot of folks seem to have a problem with SMB message
signing. Clearly, people are changing the defaults."[1] (Beachte vor
allem den letzten Satz!)

Es sind ja nur die Ausnahmen, in denen es zu keiner Kommunikation
mehr kommt.

Nein. Wenn - wie Greg behauptet hat - Microsoft mit Vista SP1 das "SMB
signing geaendert" hätte, könnte jetzt /kein/ Vista Rechner auf
Freigaben eines Mitgliedsservers (oder noch genauer: Nicht-Domänen
Controllers) mehr zugreifen.

Rainer hatte vielleicht Pech in seiner Konstellation.

Vielleicht. Aber nicht mit SMB-Signing. Und wenn dann war nicht
Microsoft der Verursacher.


Thorsten
[1]
http://www.microsoft.com/technet/community/columns/secmgmt/sm0905.mspx
[2] http://support.microsoft.com/kb/887429/en-us
.

Relevant Pages

  • [NT] Flaw in SMB Signing Could Enable Group Policy to be Modified
    ... Server Message Block (SMB) is a protocol natively supported by all ... Beginning with Windows 2000, ... A flaw in the implementation of SMB Signing in Windows 2000 and Windows XP ... Although this vulnerability could be exploited to expose any SMB session ...
    (Securiteam)
  • RE: Please review my migration plan for moving Forest from W2K to
    ... I understand that you are concerning the SMB ... SMB/CIFS protocol will access shared files and printers in the Root Domain, ... we have to disable SMB signing on it. ... Microsoft Online Partner Support ...
    (microsoft.public.windows.server.migration)
  • Re: New security updates offered by Win Update
    ... Support for the Server Message Block (SMB) protocol is included in all ... versions of Windows. ... A flaw in the implementation of SMB signing in Windows 2000 and Windows ... Microsoft Windows XP 64-Bit Edition ...
    (microsoft.public.windowsxp.security_admin)
  • RE: To disable SMB packet and secure channel signing enforcement on Windows Server 2003-based domain
    ... I've done a lot of security assessments on Multi-Function Devices ... To disable SMB packet and secure channel signing ... If you disable the SMB signing requirement it means that all your SMB ...
    (Focus-Microsoft)
  • Re: clients dropping connections.
    ... I don't know for sure if that is the issue, but there are known problems with smb ... signing and XP Pro computers resulting in inconsistent network connections. ... >> with XP computers that disabling this setting may help. ...
    (microsoft.public.win2000.networking)