Controlar o comportamento da assinatura SMB

Como funciona a assinatura SMB

A assinatura do protocolo SMB é um recurso de segurança que usa a chave de sessão e o conjunto de codificação para adicionar uma assinatura a uma mensagem que atravessa uma conexão. Essa assinatura contém um hash de toda a mensagem no cabeçalho SMB. Se alguém adulterar a mensagem em trânsito, os dados na mensagem adulterada não corresponderão ao hash da assinatura. O hash também inclui as identidades do remetente original e do destinatário planejado. As incompatibilidades de assinaturas alertam os usuários sobre possíveis irregularidades, ajudando-os a proteger suas implementações contra ataques de retransmissão e falsificação.

Os requisitos de assinaturas SMB podem envolver assinaturas de saída, que abrangem o tráfego do cliente SMB, e assinaturas de entrada, que abrangem o tráfego em direção ao servidor. O Windows e o Windows Server podem exigir somente assinaturas de saída, somente assinaturas de entrada, ambas ou nenhuma das duas. Por exemplo:

• Windows 11, versão 24H2 Enterprise, Pro e Education exigem assinatura SMB de saída e entrada.

• O Windows Server 2025 requer somente a assinatura SMB de saída.

• Windows 11, versão 24H2 Home Edition não requer assinatura SMB de saída ou entrada.

Comportamento da assinatura SMB

Embora todas as versões do Windows e do Windows Server ofereçam suporte à assinatura SMB, um terceiro pode optar por desabilitá-la ou não lhe dar suporte. Se você tentar se conectar a um compartilhamento remoto em um servidor SMB de terceiros que não permite a assinatura SMB, poderá encontrar uma das seguintes mensagens de erro:

0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE                                      
The cryptographic signature is invalid.

Para resolver esse problema, ajuste as configurações em seu servidor SMB de terceiros para permitir (habilitar) a assinatura SMB.

Ao tentar se conectar a dispositivos de terceiros que usam contas de convidado para simplificar o acesso, você pode receber uma destas mensagens de erro:

You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.

Error code: 0x80070035
The network path was not found.

System error 3227320323 has occurred.

Pode ser necessário desabilitar a assinatura SMB se você não conseguir desabilitar o uso de convidado para terceiros. No entanto, isso significa que você está usando o acesso de convidado e impedindo que seu cliente garanta a assinatura em um dispositivo confiável.

Cuidado

Não recomendamos desabilitar a assinatura SMB como uma solução alternativa para servidores de terceiros. Também não recomendamos tentar assinar com contas de convidados.

Pré-requisitos

Para controlar o comportamento de assinaturas SMB e maximizar seus recursos, seu sistema deve estar executando um dos dois sistemas operacionais a seguir:

• Windows 11, versão 24H2 ou posterior
• Windows Server 2025 ou posterior

Você também deve seguir estas recomendações para garantir que suas assinaturas SMB sejam eficazes na proteção dos dados:

• Use o Kerberos em vez do NTLMv2.
• Não se conecte a compartilhamentos usando endereços IP.
• Não use registros de DNS CNAME. Em vez disso, atribua nomes de computador alternativos com NETDOM.EXE.

Desabilitar assinaturas de SMB

A assinatura SMB é exigida por padrão nos builds mais recentes do Insider Preview do Windows 11 e Windows Server 2025. Todos os ambientes Windows oferecem suporte a assinaturas SMB. Porém, se o seu ambiente usar servidores de terceiros e estes não oferecerem suporte a assinaturas SMB, você não poderá se conectar ao compartilhamento remoto.

A exigência de assinaturas SMB também desabilita o acesso para convidado a compartilhamentos. Nesses casos, você deve desabilitar assinaturas SMB manualmente para restaurar o acesso às contas de convidados. Você pode desabilitar manualmente a assinatura SMB por meio da Política de Grupo, do PowerShell e do Windows Admin Center.

Observação

Se você precisar modificar a diretiva de grupo baseada em domínio do Active Directory, use o Gerenciamento de Diretiva de Grupo (gpmc.msc).

Política de Grupo

Para desabilitar a assinatura SMB na Política de Grupo, execute as seguintes etapas:

1. Selecione Iniciar, digite gpedit.msc e pressione Enter.

2. No Editor de Política de Grupo Local, acesse Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.

3. Abra o Cliente de rede da Microsoft: assinar digitalmente as comunicações (sempre), selecione Desabilitado e OK.

PowerShell

1. Abra uma janela elevada do PowerShell.

2. Para desabilitar assinaturas de cliente SMB para conexões de saída, execute este comando:

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

3. Para desabilitar assinaturas do servidor SMB para conexões de entrada, execute este comando:

   Set-SmbServerConfiguration -RequireSecuritySignature $false
   

Windows Admin Center

1. Abra o Windows Admin Center.

2. Selecione o nome do servidor que você deseja editar.

3. Selecione Configurações.

4. Selecione Compartilhamentos de arquivos (servidor SMB).

5. Em Assinatura SMB, selecione Não necessário.

6. Selecione Salvar.

A desabilitação do cliente SMB para conexões de saída só pode ser realizada por meio da Política de Grupo e do PowerShell.

Habilitar assinatura de SMB

A assinatura SMB garante a integridade dos dados, verificando se os dados não são adulterados durante a transmissão. Além disso, a assinatura SMB fornece autenticação verificando a identidade do servidor e do cliente, o que ajuda a evitar ataques adversários intermediários.

Política de Grupo

Para habilitar a assinatura SMB na Política de Grupo, execute as seguintes etapas:

1. Selecione Iniciar, digite gpedit.msc e pressione Enter.

2. No Editor de Política de Grupo Local, acesse Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.

3. Abra o Cliente de rede da Microsoft: assinar digitalmente as comunicações (sempre), selecione Habilitado e OK.

PowerShell

1. Abra uma janela elevada do PowerShell.

2. Para habilitar a assinatura de cliente SMB para conexões de saída, execute este comando:

   Set-SmbClientConfiguration -RequireSecuritySignature $true
   

3. Para habilitar a assinatura do servidor SMB para conexões de entrada, execute este comando:

   Set-SmbServerConfiguration -RequireSecuritySignature $true
   

Windows Admin Center

1. Abra o Windows Admin Center.

2. Selecione o nome do servidor que você deseja editar.

3. Selecione Configurações.

4. Selecione Compartilhamentos de arquivos (servidor SMB).

5. Em Assinatura SMB, selecione Necessário.

6. Selecione Salvar.

A habilitação do cliente SMB para conexões de saída só pode ser realizada por meio da Política de Grupo e do PowerShell.

Verificar o status de assinatura SMB

Para verificar se a assinatura SMB está habilitada ou desabilitada no cliente SMB ou no servidor SMB, execute o seguinte comando:

Get-SmbClientConfiguration | FL RequireSecuritySignature

Get-SmbServerConfiguration | FL RequireSecuritySignature

Se as informações retornadas forem True, a assinatura SMB estará habilitada; caso contrário, se as informações retornadas forem False, a assinatura SMB estará desabilitada.

Conteúdo relacionado

• Visão geral do compartilhamento de arquivos usando o protocolo SMB 3 no Windows Server

• SMB por QUIC

• Melhorias de segurança do SMB

• Como habilitar logons de convidado inseguros no SMB2 e SMB3