Control del comportamiento de la firma SMB

Funcionamiento de la firma de SMB

La firma del bloque de mensajes del servidor (SMB) es una característica de seguridad que usa la clave de sesión y el conjunto de cifrado para agregar una firma a un mensaje que va a través de una conexión. Esta firma contiene un hash de todo el mensaje en el encabezado del SMB. Si alguien manipula el mensaje en tránsito, los datos del mensaje alterado no coinciden con el hash de la firma. El hash también incluye las identidades del emisor original y el destinatario previsto. Los errores de coincidencia de firmas alertan a los usuarios de una posible alteración, lo que les ayuda a proteger sus implementaciones frente a ataques de retransmisión y suplantación de identidad.

Los requisitos de firma de SMB pueden implicar la firma saliente, que abarca el tráfico del cliente del SMB y la firma entrante, que abarca el tráfico al servidor. Windows y Windows Server solo pueden requerir la firma saliente, solo la firma de entrada, ambas o ninguna. Por ejemplo:

• Windows 11, versión 24H2 Enterprise, Pro y Education requieren la firma de SMB saliente y entrante.

• Windows Server 2025 solo necesita la firma de SMB saliente.

• Windows 11, versión 24H2 Home edition no requiere la firma de SMB saliente o entrante.

Funcionamiento de firma de SMB

Aunque todas las versiones de Windows y Windows Server admiten la firma de SMB, un tercero puede deshabilitarlo o no admitirlo. Si trata de conectarse a un recurso compartido remoto en un servidor SMB de terceros que no permite la firma de SMB, podrán aparecer uno de los siguientes mensajes de error:

0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE                                      
The cryptographic signature is invalid.

Para resolver este problema, ajuste la configuración del servidor SMB de terceros para permitir (habilitar) la firma de SMB.

Al intentar conectarse a dispositivos de terceros que usen cuentas de invitado para facilitar el acceso, podrá recibir uno de estos mensajes de error:

You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.

Error code: 0x80070035
The network path was not found.

System error 3227320323 has occurred.

Quizá sea necesario deshabilitar la firma de SMB si no puede desactivar el uso de invitado para el tercero. Sin embargo, esto significa que está usando el acceso de invitado y se evita que el cliente ponga su firma en un dispositivo de confianza.

Precaución

No se recomienda deshabilitar la firma de SMB como solución alternativa para servidores de terceros. Tampoco se recomienda intentar iniciar sesión con cuentas de invitado.

Requisitos previos

Para controlar el comportamiento de la firma de SMB y maximizar sus funcionalidades, el sistema debe ejecutar uno de los dos sistemas operativos siguientes:

• Windows 11, versión 24H2 o posterior
• Windows Server 2025 o posterior

También debe seguir estas recomendaciones para asegurarse de que las firmas de SMB son eficaces para proteger los datos:

• Use Kerberos en lugar de NTLMv2.
• No se conecte a recursos compartidos mediante direcciones IP.
• No use registros DNS CNAME. En su lugar, asigne nombres de equipo alternativos con NETDOM.EXE.

Deshabilitar la firma de SMB

La firma SMB es necesaria de forma predeterminada en las compilaciones más recientes de Insider Preview de Windows 11 y Windows Server 2025. Todos los entornos de Windows con compatibles con la firma de SMB. Sin embargo, si el entorno usa servidores de terceros y el servidor de terceros no admite la firma de SMB, no se puede conectar al recurso compartido remoto.

Requerir la firma de SMB también deshabilita el acceso de invitado a los recursos compartidos. En estos casos, debe deshabilitar la firma de SMB manualmente para restaurar el acceso a las cuentas de invitado. Puede deshabilitar manualmente la firma de SMB a través de la directiva de grupo, PowerShell y Windows Admin Center.

Nota:

Si necesita modificar la directiva de grupo basada en dominio de Active Directory, utilice la Administración de directivas de grupo (gpmc.msc).

Directiva de grupo

Para deshabilitar el inicio de sesión de SMB en la directiva de grupo, realice los pasos siguientes:

1. Seleccione Inicio, escriba gpedit.msc y luego pulse Intro.

2. En la ventana Editor de directivas de grupo locales, vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.

3. Abra Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre), seleccione Deshabilitado y luego elija Aceptar.

PowerShell

1. Abre una ventana de PowerShell con privilegios elevados.

2. Para deshabilitar la firma de cliente de SMB para las conexiones salientes, ejecute este comando:

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

3. Para deshabilitar la firma de servidor de SMB para las conexiones entrantes, ejecute este comando:

   Set-SmbServerConfiguration -RequireSecuritySignature $false
   

Windows Admin Center

1. Abra Windows Admin Center.

2. Seleccione el nombre del servidor que quiera editar.

3. Haga clic en Configuración.

4. Seleccione Recursos compartidos de archivos (servidor SMB).

5. En Firma de SMB, seleccione No obligatorio.

6. Seleccione Guardar.

La deshabilitación del cliente de SMB para las conexiones salientes solo se puede realizar a través de la directiva de grupo y PowerShell.

Habilitación de la firma de SMB

La firma de SMB garantiza la integridad de los datos al comprobar que los datos no se manipulan durante la transmisión. Además, la firma de SMB permite la autenticación al verificar la identidad del servidor y del cliente, lo que ayuda a evitar ataques de intermediarios.

Directiva de grupo

Para habilitar el inicio de sesión de SMB en la directiva de grupo, realice los pasos siguientes:

1. Seleccione Inicio, escriba gpedit.msc y luego pulse Intro.

2. En la ventana Editor de directivas de grupo locales, vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.

3. Abra Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre), seleccione Habilitado y luego elija Aceptar.

PowerShell

1. Abre una ventana de PowerShell con privilegios elevados.

2. Para habilitar la firma de cliente SMB para conexiones salientes, ejecute este comando:

   Set-SmbClientConfiguration -RequireSecuritySignature $true
   

3. Para habilitar la firma del servidor SMB para las conexiones entrantes, ejecute este comando:

   Set-SmbServerConfiguration -RequireSecuritySignature $true
   

Windows Admin Center

1. Abra Windows Admin Center.

2. Seleccione el nombre del servidor que quiera editar.

3. Haga clic en Configuración.

4. Seleccione Recursos compartidos de archivos (servidor SMB).

5. En Firma de SMB, seleccione Requerida.

6. Seleccione Guardar.

La habilitación del cliente de SMB para las conexiones salientes solo se puede realizar a través de la directiva de grupo y PowerShell.

Verificar el estado de firma de SMB

Para comprobar si la firma de SMB está habilitada o deshabilitada en el cliente de SMB o en el servidor SMB, ejecute el siguiente comando:

Get-SmbClientConfiguration | FL RequireSecuritySignature

Get-SmbServerConfiguration | FL RequireSecuritySignature

Si la información devuelta es True, la firma de SMB estará habilitada; en caso contrario, si la información devuelta es False, la firma de SMB estará deshabilitada.

Contenido relacionado

• Información general sobre el uso compartido de archivos mediante el protocolo SMB 3 en Windows Server

• SMB a través de QUIC

• Mejoras de seguridad SMB

• Cómo habilitar inicios de sesión de invitado no seguros en SMB2 y SMB3