Introducción a la firma del bloque de mensajes del servidor
En este artículo se describe la firma del bloque de mensajes del servidor (SMB) 2.x y 3.x y cómo determinar si se requiere la firma SMB.
Introducción
La firma SMB (también conocida como firmas de seguridad) es un mecanismo de seguridad en el protocolo SMB. La firma SMB significa que cada mensaje SMB contiene una firma que se genera mediante la clave de sesión. El cliente coloca un hash de todo el mensaje en el campo de firma del encabezado SMB.
La firma SMB apareció por primera vez en Microsoft Windows 2000, Microsoft Windows NT 4.0 y Microsoft Windows 98. Los algoritmos de firma han evolucionado con el tiempo. La firma SMB 2.02 se mejoró mediante la introducción del código de autenticación de mensajes basados en hash (HMAC) SHA-256, reemplazando el método MD5 antiguo de finales de la década de 1990 que se usó en SMB1. SMB 3.0 agregó algoritmos AES-CMAC. En Windows Server 2022 y Windows 11, agregamos la aceleración de firma de AES-128-GMAC. Si quieres la mejor combinación de rendimiento y protección, considera la posibilidad de actualizar a las versiones más recientes de Windows.
Cómo la firma SMB protege la conexión
Si alguien cambia un mensaje durante la transmisión, el hash no coincidirá y SMB sabrá que alguien ha manipulado los datos. La firma también confirma las identidades del remitente y del receptor. Esto evita los ataques de retransmisión. Lo ideal es usar Kerberos en lugar de NTLMv2 para que la clave de sesión se inicie fuerte. No se conecte a recursos compartidos mediante direcciones IP y no use registros CNAME, o bien usará NTLM en lugar de Kerberos. Use Kerberos en su lugar. Consulte Uso de alias de nombre de equipo en lugar de registros CNAME de DNS para obtener más información.
Ubicaciones de directivas para la firma SMB
Las directivas para la firma SMB se encuentran en Configuración >del equipoConfiguración de Windows Configuración>de seguridad Directivas>>localesOpciones de seguridad.
- Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
Clave del Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor del Registro: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar) - Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
Clave del Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor del Registro: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar) - Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
Clave del Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor del Registro: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar) - Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
Clave del Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor del Registro: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)
Nota En estas directivas, "always" indica que se requiere la firma SMB y "si el servidor está de acuerdo" o "si el cliente está de acuerdo" indica que la firma SMB está habilitada.
Descripción de "RequireSecuritySignature" y "EnableSecuritySignature"
Se omite la configuración del Registro EnableSecuritySignature para el cliente SMB2+ y el servidor SMB2+. Por lo tanto, esta configuración no hace nada a menos que use SMB1. La firma SMB 2.02 y posteriores se controla únicamente si se requiere o no. Esta configuración se usa cuando el servidor o el cliente requieren la firma SMB. Solo si ambos tienen la firma establecida en 0 no se producirá la firma.
| - | Servidor: RequireSecuritySignature=1 | Servidor: RequireSecuritySignature=0 |
|---|---|---|
| Cliente: RequireSecuritySignature=1 | Signed | Signed |
| Cliente: RequireSecuritySignature=0 | Signed | Sin firmar |
Referencia
Configuración de la firma SMB con confianza
Cómo defender a los usuarios de ataques de interceptación a través de SMB Client Defense
Seguridad de SMB 2 y SMB 3 en Windows 10: la anatomía de las claves criptográficas y de firma
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de