Verschlüsselungsstufe für Windows-Dateifreigabe ändern

Worum geht es und wann ist eine Änderung nötig?

Windows verwendet standardmäßig 128-Bit-Verschlüsselung für lokale Dateifreigaben. Manche sehr alten Geräte oder eingebetteten Systeme unterstützen jedoch nur DES-basierte 40- oder 56-Bit-Verschlüsselung. Wenn solche Geräte in Ihrem lokalen Netzwerk auf freigegebene Ordner oder Drucker zugreifen müssen, müssen Sie die Verschlüsselungsstufe anpassen.

Kurzdefinition: Verschlüsselungsstufe — das Maß an kryptografischer Stärke, das Windows beim Austausch von Dateifreigabeverbindungen verwendet.

Wichtig: 40- und 56-Bit-Verschlüsselungen sind veraltet und deutlich unsicherer als 128-Bit. Reduzieren Sie die Verschlüsselung nur, wenn keine andere Option (Firmware-Update, neues Gerät, Proxy-Gateway) möglich ist.

Varianten des Problems (Suchintentionen, die dieser Artikel abdeckt)

• Verschlüsselungsstufe für Windows-Dateifreigabe ändern
• Alte Geräte mit 40-/56-Bit unterstützen
• Registry anpassen für NtlmMinClientSec/NtlmMinServerSec
• Erweiterte Freigabeeinstellungen in Windows finden

Voraussetzungen und Risikohinweis

• Administratorrechte an dem Windows-PC, auf dem Sie die Änderung vornehmen.
• Backup der Registry und ggf. Systemwiederherstellungspunkt erstellen.
• Plan für Rücksetzung auf 128-Bit, sobald alte Geräte entfernt sind.

Wichtig: Herabstufung der Verschlüsselung erhöht das Risiko für Man-in-the-Middle- und Brute-Force-Angriffe. Verwenden Sie diese Einstellung nur in isolierten lokalen Netzwerken oder wenn physische Sicherheit gewährleistet ist.

Änderung über die erweiterten Freigabeeinstellungen (GUI)

1. Öffnen Sie das Startmenü und suchen Sie nach “Erweiterte Freigabeeinstellungen” oder geben Sie in Windows Search advanced sharing settings ein.
2. Wählen Sie “Erweiterte Freigabeeinstellungen verwalten” (Manage Advanced Sharing Settings) aus den Suchergebnissen.
3. Die Systemsteuerung öffnet sich mit den erweiterten Freigabeeinstellungen. Erweitern Sie den Abschnitt Alle Netzwerke (All Networks), um zusätzliche Optionen anzuzeigen.

4. Suchen Sie den Abschnitt Dateifreigabeverbindungen (File Sharing Connections).
5. Ändern Sie die Verschlüsselungsstufe von der empfohlenen 128-Bit-Einstellung auf 40- oder 56-Bit.
6. Speichern Sie die Änderungen und schließen Sie die Systemsteuerung.

Nach diesem Vorgang sollten Geräte, die nur 40- oder 56-Bit unterstützen, wieder auf freigegebene Ressourcen zugreifen können.

Änderung über den Registrierungs-Editor (Regedit)

Wenn die Option in den erweiterten Freigabeeinstellungen nicht verfügbar ist oder Sie die Änderung zentralisieren möchten, können Sie die Registry anpassen.

Wichtiger Schritt vorab: Exportieren Sie die Registry-Schlüssel oder erstellen Sie einen Systemwiederherstellungspunkt.

1. Öffnen Sie das Startmenü und geben Sie Registrierungs-Editor oder registry in die Suche ein. Starten Sie den Registrierungs-Editor (regedit.exe).
2. Navigieren Sie zum Schlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Im rechten Fensterbereich finden Sie die DWORD-Einträge NtlmMinClientSec und NtlmMinServerSec.

4. Doppelklicken Sie auf NtlmMinClientSec und ändern Sie den Wert von 20000000 (Standard für 128-Bit) auf 0, um niedrigere DES-Stufen zuzulassen. Klicken Sie auf “OK”.
5. Wiederholen Sie den Schritt für NtlmMinServerSec und setzen Sie auch dort 20000000 → 0.
6. Schließen Sie den Registrierungs-Editor. Ein Neustart des Systems oder mindestens ein Neustart des Server-Dienstes kann erforderlich sein, damit die Änderung wirksam wird.

Um die Einstellung wieder auf 128-Bit zurückzusetzen, ändern Sie die Werte wieder von 0 auf 20000000.

Alternative Ansätze und Verwaltungs-Optionen

• Gruppenrichtlinie (Domain): In Domänenumgebungen sollten Änderungen zentral per Gruppenrichtlinie erfolgen, statt lokal in der Registry. Suchen Sie nach Policies, die NTLM-Sicherheitsanforderungen steuern.
• Firmware-/Treiber-Update: Prüfen Sie, ob das alte Gerät ein Firmware- oder Software-Update erhält, das moderne Verschlüsselung unterstützt. Das ist die sicherste Lösung.
• Zwischenproxy oder Konverter: In heterogenen Netzwerken kann ein Gateway oder Medienkonverter zwischen dem alten Gerät und dem restlichen Netzwerk eingesetzt werden, das die schwächere Verschlüsselung lokal „terminiert“.
• PowerShell-Skripte: Für Massenänderungen lassen sich Registry-Werte per PowerShell anpassen und anschließend remote neu gestartet werden.

Wann diese Änderung fehlschlägt oder ungeeignet ist

• SMB-Version-Inkompatibilität: Wenn das Problem nicht die Verschlüsselung, sondern die SMB-Version (z. B. SMBv1 vs SMBv2/3) ist, hilft das Herabsetzen der Verschlüsselung nicht.
• Netzwerk-Richtlinien: Manche Firmenpolitik verbietet bewusst schwächere Verschlüsselung — prüfen Sie Compliance-Vorgaben.
• Geräte mit proprietären Protokollen: Manche Altgeräte verwenden kein NTLM/SMB, sodass die Registry-Änderung nicht trifft.

Sicherheitsüberlegungen und Minderung der Risiken

Risk Matrix (qualitativ):

• Wahrscheinlichkeit eines Angriffs: erhöht in gemischten Netzwerken mit externem Zugriff.
• Auswirkung bei Kompromittierung: hoch (Datenverlust, Seitwärtsbewegung im Netzwerk).

Minderungsmaßnahmen:

• Beschränken Sie die Zugriffsrechte auf die Freigaben strikt (least privilege).
• Segmentieren Sie das Netzwerk: Platzieren Sie alte Geräte in einem isolierten VLAN.
• Dokumentieren Sie alle temporären Ausnahmen und planen Sie ein End-of-Life für betroffene Geräte.

Rollenbasierte Checkliste

Für Administratoren:

• Backup der Registry und Erstellen eines Wiederherstellungspunkts.
• Dokumentation der vorgenommenen Änderungen (Datum, Grund, betroffene Geräte).
• Überwachen der Zugriffsmuster nach Umstellung.

Für Helpdesk / Anwender:

• Prüfen, welche Geräte Probleme beim Zugriff haben (Fehlermeldungen, Eventlogs).
• Temporäre Anleitung geben, wie betroffene Geräte verbunden werden.

Testfälle und Akzeptanzkriterien

• Ein altes Gerät kann nach der Änderung auf die Testfreigabe zugreifen.
• Es gibt keine erhöhten Fehlermeldungen in Security- oder System-Eventlogs.
• Nach Rücksetzung auf 128-Bit funktionieren moderne Clients weiterhin.

Entscheidungshilfe (Schnellübersicht)

Mermaid-Diagramm zur Entscheidung, ob Sie die Verschlüsselung ändern sollten:

flowchart TD
  A[Benötigt ein Gerät 40/56-Bit?] -->|Nein| B[Keine Änderung]
  A -->|Ja| C[Ist Gerät upgradbar?]
  C -->|Ja| D[Firmware/Hardware aktualisieren]
  C -->|Nein| E[Kann Gerät isoliert werden?]
  E -->|Ja| F[Verschlüsselung lokal senken + VLAN]
  E -->|Nein| G[Gateway/Proxy-Lösung oder Austausch]

Kurzanleitung zur Rücksetzung (Rollback)

1. Registry öffnen und die Werte NtlmMinClientSec und NtlmMinServerSec wieder auf 20000000 setzen.
2. Dienste oder Systeme neu starten.
3. Testzugriff von modernen Geräten prüfen.
4. Änderung dokumentieren.

Glossar (1-Zeiler)

• NTLM: Authentifizierungsprotokoll von Microsoft, relevant für die Festlegung der minimalen Sicherheitsanforderungen bei Verbindungen.

Zusammenfassung

• Standard: Windows nutzt 128-Bit für lokale Dateifreigaben; 40/56-Bit sind veraltet aber manchmal nötig für alte Geräte.
• GUI-Methode: “Erweiterte Freigabeeinstellungen” → Abschnitt “Alle Netzwerke” → Dateifreigabeverbindungen.
• Registry-Methode: Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, DWORDs NtlmMinClientSec und NtlmMinServerSec: 20000000 → 0 (herabsetzen) und zurücksetzen für Wiederherstellung.
• Sicherheit: Herabstufung erhöht Risiko; isolieren Sie alte Geräte und planen Sie ein Upgrade oder Austausch.

Wichtig: Führen Sie Änderungen nur mit einem klaren Plan, Backup und einer Rücksetzstrategie durch.