Visão geral da assinatura do Server Message Block
Este artigo descreve a assinatura SMB (Server Message Block) 2.x e 3.x e como determinar se a assinatura SMB é necessária.
Introdução
A assinatura SMB (também conhecida como assinaturas de segurança) é um mecanismo de segurança no protocolo SMB. A assinatura SMB significa que cada mensagem SMB contém uma assinatura gerada usando a chave de sessão. O cliente coloca um hash de toda a mensagem no campo de assinatura do cabeçalho SMB.
A assinatura SMB apareceu pela primeira vez no Microsoft Windows 2000, Microsoft Windows NT 4.0 e Microsoft Windows 98. Os algoritmos de assinatura evoluíram ao longo do tempo. A assinatura SMB 2.02 foi aprimorada com a introdução do código de autenticação de mensagem baseado em hash (HMAC) SHA-256, substituindo o antigo método MD5 do final da década de 1990 que era usado no SMB1. O SMB 3.0 adicionou algoritmos AES-CMAC. No Windows Server 2022 e Windows 11, adicionamos a aceleração de assinatura AES-128-GMAC. Se você deseja a melhor combinação de desempenho e proteção, considere atualizar para as versões mais recentes do Windows.
Como a assinatura SMB protege a conexão
Se alguém alterar uma mensagem durante a transmissão, o hash não corresponderá e o SMB saberá que alguém adulterou os dados. A assinatura também confirma as identidades do remetente e do destinatário. Isso evita ataques de retransmissão. Idealmente, você está usando Kerberos em vez de NTLMv2 para que sua chave de sessão comece forte. Não se conecte a compartilhamentos usando endereços IP e não use registros CNAME, ou você usará NTLM em vez de Kerberos. Em vez disso, use Kerberos. Consulte Usando aliases de nome de computador no lugar de registros DNS CNAME para obter mais informações.
Locais de política para assinatura SMB
As políticas da assinatura SMB estão localizadas em Configuração do Computador,>Configurações do Windows>, Configurações de Segurança>, Políticas Locais>, Opções de Segurança.
- Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre)
Chave do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor do registro: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Cliente de rede da Microsoft: assinar digitalmente as comunicações (se o servidor concordar)
Chave do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor do Registro: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Servidor de rede Microsoft: assinar comunicações digitalmente (sempre)
Chave do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor do registro: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Servidor de rede da Microsoft: assinar digitalmente as comunicações (se o cliente concordar)
Chave do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor do Registro: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)
Observação Nessas políticas, "sempre" indica que a assinatura SMB é necessária e "se o servidor concordar" ou "se o cliente concordar" indica que a assinatura SMB está habilitada.
Noções básicas sobre "RequireSecuritySignature" e "EnableSecuritySignature"
A configuração do Registro EnableSecuritySignature para cliente SMB2+ e servidor SMB2+ é ignorada. Portanto, essa configuração não faz nada, a menos que você esteja usando a SMB1. A assinatura SMB 2.02 e versões posteriores é controlada apenas por ser necessária ou não. Essa configuração é usada quando o servidor ou o cliente requer assinatura SMB. Somente se ambos tiverem a assinatura definida como 0 , a assinatura não ocorrerá.
| - | Servidor – RequireSecuritySignature=1 | Servidor – RequireSecuritySignature=0 |
|---|---|---|
| Cliente – RequireSecuritySignature=1 | Com sinal | Com sinal |
| Cliente – RequireSecuritySignature=0 | Com sinal | Não assinado |
Referência
Configurar a assinatura SMB com confiança
Como defender os usuários contra ataques de interceptação por meio da defesa do cliente SMB
Segurança do SMB 2 e do SMB 3 no Windows 10: a anatomia da assinatura e das chaves de criptografia