Compartir a través de

Información general sobre la firma del bloque de mensajes del servidor

  • Artículo

En este artículo se describe la firma del bloque de mensajes del servidor (SMB) 2.x y 3.x y cómo determinar si se requiere la firma SMB.

Introducción

La firma SMB (también conocida como firmas de seguridad) es un mecanismo de seguridad en el protocolo SMB. La firma de SMB significa que cada mensaje SMB contiene una firma que se genera mediante la clave de sesión. El cliente coloca un hash de todo el mensaje en el campo de firma del encabezado SMB.

La firma SMB apareció por primera vez en Microsoft Windows 2000, Microsoft Windows NT 4.0 y Microsoft Windows 98. Los algoritmos de firma han evolucionado con el tiempo. La firma de SMB 2.02 se ha mejorado mediante la introducción del código de autenticación de mensajes basado en hash (HMAC) SHA-256, reemplazando el método MD5 antiguo de finales de 1990 que se usó en SMB1. SMB 3.0 agregó algoritmos AES-CMAC. En Windows Server 2022 y Windows 11, agregamos la aceleración de firma AES-128-GMAC. Si desea la mejor combinación de rendimiento y protección, considere la posibilidad de actualizar a las versiones más recientes de Windows.

Cómo protege la conexión la firma de SMB

Si alguien cambia un mensaje durante la transmisión, el hash no coincidirá y SMB sabrá que alguien ha alterado los datos. La firma también confirma las identidades del remitente y del receptor. Esto evita ataques de retransmisión. Lo ideal es usar Kerberos en lugar de NTLMv2 para que la clave de sesión comience fuerte. No se conecte a recursos compartidos mediante direcciones IP y no use registros CNAME, o usará NTLM en lugar de Kerberos. Use Kerberos en su lugar. Consulte Uso de alias de nombre de equipo en lugar de registros CNAME de DNS para obtener más información.

Ubicaciones de directiva para la firma de SMB

Las directivas para la firma SMB se encuentran en Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad.

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
    Clave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Valor del Registro: RequireSecuritySignature
    Tipo de datos: REG_DWORD
    Datos: 0 (deshabilitar), 1 (habilitar)
  • Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
    Clave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Valor del Registro: EnableSecuritySignature
    Tipo de datos: REG_DWORD
    Datos: 0 (deshabilitar), 1 (habilitar)
  • Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
    Clave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Valor del Registro: RequireSecuritySignature
    Tipo de datos: REG_DWORD
    Datos: 0 (deshabilitar), 1 (habilitar)
  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
    Clave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Valor del Registro: EnableSecuritySignature
    Tipo de datos: REG_DWORD
    Datos: 0 (deshabilitar), 1 (habilitar)

Nota En estas directivas, "always" indica que se requiere la firma SMB y "si el servidor está de acuerdo" o "si el cliente está de acuerdo" indica que la firma SMB está habilitada.

Descripción de "RequireSecuritySignature" y "EnableSecuritySignature"

Se omite la configuración del Registro EnableSecuritySignature para el cliente SMB2+ y el servidor SMB2+. Por lo tanto, esta configuración no hace nada a menos que esté usando SMB1. La firma SMB 2.02 y posteriores se controla únicamente por ser obligatoria o no. Esta configuración se usa cuando el servidor o el cliente requieren la firma SMB. Solo si ambas tienen la firma establecida en 0 no se producirá la firma.

- Servidor: RequireSecuritySignature=1 Servidor: RequireSecuritySignature=0
Cliente: RequireSecuritySignature=1 Signed Signed
Cliente: RequireSecuritySignature=0 Signed Sin firmar

Referencia

Configuración de la firma SMB con confianza

Cómo defender a los usuarios frente a ataques de interceptación a través de la defensa de cliente de SMB

Seguridad de SMB 2 y SMB 3 en Windows 10: anatomía de la firma y las claves criptográficas

SMBv1 no está instalado de forma predeterminada en Windows 10 versión 1709, Windows Server versión 1709 y versiones posteriores

NombredeEquipo de Netdom