Apple hat offenbar eine sicherheitsrelevante Änderung für SMB-Verbindungen in El Capitan integriert, die zugleich zu drastischen Geschwindigkeitseinbußen führen kann. Dies lässt sich rückgängig machen – ohne Downgrade auf 10.11.4.
Beim Aufbau von SMB-Verbindungen setzt OS X 10.11.5 das Signieren nun standardmäßig auf “An”. Diese Änderung führten Apple-Entwickler als Antwort auf die Bugreports von Lesern an. Sie führt offenbar dazu, dass es nach der Installation des jüngsten Updates zu erheblichen Geschwindigkeitseinbußen bei der Datenübertragung etwa im Zusammenspiel mit einem NAS kommen kann.
Man habe diese Änderung vorgenommen, um zu verhindern, dass “unser SMB-Client” zum Angriff auf SMB-Server unter Verwendung des Badlock-Exploits genutzt wird, schreibt das “Developer Relations”-Team des Mac-Herstellers. Unter der Liste mit Sicherheitsneuerungen in OS X 10.11.5 führt das Unternehmen dies nicht auf.
Update oder abschalten
Die Apple-Entwickler empfehlen, zuerst zu prüfen, ob ein Udpate des NAS-Herstellers oder des jeweils verwendeten Servers vorliegt. Dies beseitige das Problem möglicherweise schon. Alternativ lässt sich die Signier-Vorgabe auch wieder deaktivieren. Dies mache das System aber für Badlock-Angriffe anfällig, warnen die Entwickler und sollte deshalb nur in einem sicheren Netzwerk vorgenommen werden.
Um die Standardeinstellung wieder in den alten Nicht-Signier-Zustand zu versetzen, muss man im Terminal die Befehle
echo “[default]” > /etc/nsmb.conf
echo signing_required=no >> /etc/nsmb.conf
eingeben. Anschließend ist außerdem ein Neustart erforderlich. Wie mehrere Nutzer berichten, ist die Datentransferrate danach wieder genauso hoch wie vor dem Update auf OS X 10.11.5.
Falls OS X das Ausführen der Befehle ablehnt (“Permission denied”), hilft dieser Befehl weiter. Nach Eingabe des Passwortes sollte die Änderung durchgeführt werden:
sudo sh -c ‘echo “[default]\nsigning_required=no” > /etc/nsmb.conf’