Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Se aplica a
- Windows 11
- Windows 10
- Windows Server
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para el servidor de red de Microsoft: firmar digitalmente la configuración de directiva de seguridad de comunicaciones (siempre) para SMBv3 y SMBv2.
Nota
Este artículo trata sobre los protocolos de bloque de mensajes del servidor (SMB) v2 y v3. SMBv1 no es seguro y ha quedado en desuso en Windows. A partir de Windows 10, versión 1709 y Windows Server, versión 1709, SMBv1 no se instala de forma predeterminada.
Importante
Microsoft no recomienda usar la siguiente configuración de directiva de grupo:
- Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
- Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Tampoco use la configuración del Registro EnableSecuritySignature .
Estas opciones solo afectan al comportamiento de SMBv1. Se pueden reemplazar de forma eficaz por la configuración de directiva de grupo Firmar digitalmente las comunicaciones (siempre) o por la configuración del Registro RequireSecuritySignature .
Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y servidores cliente, lo que se conoce como "secuestro de sesión". Sin embargo, el uso indebido de esta configuración de directiva puede provocar un error de acceso a los datos.
A partir de los clientes y servidores SMBv2, la firma puede ser obligatoria o no necesaria. Si esta configuración de directiva está habilitada, los clientes SMBv2 firmarán digitalmente todos los paquetes. Otra configuración de directiva determina si se requiere la firma para las comunicaciones de servidor SMBv3 y SMBv2: cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Hay una negociación entre el cliente SMB y el servidor SMB para decidir si se usará la firma de forma eficaz. En la tabla siguiente se muestra el comportamiento efectivo de SMBv3 y SMBv2.
| Cliente | Servidor: obligatorio | Servidor: no necesario |
|---|---|---|
| Cliente: obligatorio | Firmado | Firmado |
| Cliente: no necesario | Firmado 1 | No firmado2 |
El rendimiento de la firma SMB se ha mejorado en SMBv2. Para obtener más información, vea Posible efecto.
Posibles valores
- Habilitado
- Deshabilitado
Procedimientos recomendados
Habilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
| Directiva de dominio predeterminada | Deshabilitado |
| Directiva de controlador de dominio predeterminada | Habilitado |
| configuración predeterminada del servidor de Stand-Alone | Deshabilitado |
| Configuración predeterminada efectiva de DC | Habilitado |
| Configuración predeterminada efectiva del servidor miembro | Deshabilitado |
| Configuración predeterminada efectiva del equipo cliente | Deshabilitado |
Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan localmente o se distribuyen a través de directiva de grupo.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el dispositivo cliente o el servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar el tráfico y reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante podría hacerse pasar por el servidor o dispositivo cliente después de la autenticación legítima y obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la base de muchas características modernas como Espacios de almacenamiento directo, réplica de almacenamiento y SMB directo, así como muchos protocolos y herramientas heredados. Si uno de los dos lados produce un error en el proceso de autenticación, la transmisión de datos no tiene lugar.
Contramedida
Habilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Nota
Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas digitales con IPsec. Hay aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden usar para minimizar el impacto en el rendimiento en las CPU de los servidores. No hay aceleradores de este tipo disponibles para la firma SMB.
Posible efecto
Las velocidades de almacenamiento afectan al rendimiento. Una unidad más rápida en el origen y el destino permite un mayor rendimiento, lo que provoca un mayor uso de cpu de firma. Si usa una red Ethernet de 1 GB o una velocidad de almacenamiento más lenta con una CPU moderna, el rendimiento es limitado. Si usa una red más rápida (como 10 Gb), el impacto en el rendimiento de la firma puede ser mayor.