Id. de artículo: 887429 - Última revisión: viernes, 02 de febrero de 2007 - Versión: 2.2

Introducción a la firma del bloque de mensaje de servidor

Ver los productos a los que se aplica este artículo
Nota acerca de su sistema operativoEste artículo se aplica a un sistema operativo distinto al que usa. El contenido del artículo que puede que no sea importante para usted, se deshabilitará

En esta página

Expandir todo | Contraer todo

INTRODUCCIÓN

En este artículo se describe la firma de Bloque de mensajes del servidor (SMB). La firma SMB es un mecanismo de seguridad del protocolo SMB y también se conoce como firmas de seguridad. La firma SMB está diseñada para ayudar a mejorar la seguridad del protocolo SMB. La firma SMB apareció por primera vez en Microsoft Windows NT 4.0 Service Pack 3 (SP3) y en Microsoft Windows 98.

En este artículo se abordan los siguientes temas de SMB:
  • La configuración predeterminada de la firma SMB.
  • Cómo configurar la firma SMB en Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 y Windows 98.
  • Cómo determinar si la firma SMB está habilitada en una traza de Monitor de red.
  • Situaciones de firma SMB de ejemplo.
Volver al principio

Más información

Configuración predeterminada para los servicios Estación de trabajo y Servidor

Es posible configurar la firma SMB y las firmas de seguridad para los servicios Estación de trabajo y Servidor. El servicio Estación de trabajo se utiliza para las conexiones de salida. El servicio Servidor se utiliza para las conexiones de entrada.

Cuando la firma SMB está habilitada, los clientes que admiten la firma SMB pueden conectarse, así como los clientes que no la admiten. Cuando se requiere la firma SMB, ambos equipos de la conexión SMB deben admitir la firma SMB. La conexión SMB no se realiza correctamente si un equipo no admite la firma SMB. De forma predeterminada, la firma SMB está habilitada para las sesiones SMB de salida en los sistemas operativos siguientes:
  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98
De forma predeterminada, la firma SMB está habilitada para las sesiones SMB de entrada en los sistemas operativos siguientes:
  • Controladores de dominio basados en Windows Server 2003
  • Controladores de dominio basados en Windows 2000 Server
  • Controladores de dominio basados en Windows NT 4.0 Server
De forma predeterminada, la firma SMB es necesaria para las sesiones SMB en los controladores de dominio basados en Windows Server 2003.
Volver al principio

Configurar la firma SMB

Se recomienda utilizar directivas de grupo para configurar la firma SMB porque el cambio de un valor del Registro local no funciona correctamente si hay una directiva de dominio de reemplazo. Cuando se configura la directiva de grupo asociada se cambian los siguientes valores del Registro.

Ubicaciones de directiva para la firma SMB

Nota: las siguientes configuraciones de Directiva de grupo están en la ruta de acceso "Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad" del Editor de objetos de directiva de grupo.
Windows Server 2003 ? Directiva predeterminada de controladores de dominio
Estación de trabajo/Cliente
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Configuración de directiva: no definida
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Configuración de directiva: no definida Configuración efectiva: habilitada (debido a la directiva local)

Servidor
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Configuración de directiva: habilitada
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) Configuración de directiva: habilitada
Windows XP y 2003 ? Directiva de grupo del equipo local
Estación de trabajo/Cliente
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Configuración de seguridad: deshabilitada
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Configuración de seguridad: habilitada

Servidor
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Configuración de seguridad: deshabilitada
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) Configuración de seguridad: deshabilitada
Windows 2000 ? Directiva predeterminada de controladores de dominio
Estación de trabajo/Cliente
Firmar digitalmente las comunicaciones del cliente (siempre) Configuración del equipo: no definida
Firmar digitalmente las comunicaciones del cliente (siempre que sea posible) Configuración del equipo: no definida

Servidor
Firmar digitalmente las comunicaciones del servidor (siempre) Configuración del equipo: no definida
Firmar digitalmente las comunicaciones del servidor (siempre que sea posible) Configuración del equipo: habilitada
Windows 2000 ? Directiva de grupo del equipo local
Estación de trabajo/Cliente
Firmar digitalmente las comunicaciones del cliente (siempre) Configuración local: deshabilitada Configuración efectiva: deshabilitada
Firmar digitalmente las comunicaciones del cliente (siempre que sea posible) Configuración local: habilitada Configuración efectiva: habilitada

Servidor
Firmar digitalmente las comunicaciones del servidor (siempre) Configuración local: deshabilitada Configuración efectiva: deshabilitada
Firmar digitalmente las comunicaciones del servidor (siempre que sea posible) Configuración local: deshabilitada Configuración efectiva: deshabilitada

Valores del Registro asociados a la configuración de Directiva de grupo para Windows Server 2003, Windows XP y Windows 2000

Cliente
En Windows Server 2003 y Windows XP, la directiva de grupo "Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)" y en Windows 2000, la directiva de grupo "Firmar digitalmente las comunicaciones del cliente (siempre que sea posible)" se asignan a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Nombre de valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en Windows Server 2003, Windows XP y Windows 2000 es 1 (habilitado).

En Windows Server 2003 y Windows XP, la directiva de grupo "Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)" y en Windows 2000, la directiva de grupo "Firmar digitalmente las comunicaciones del cliente (siempre)" se asignan a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters


Nombre de valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en Windows Server 2003, Windows XP y Windows 2000 es 0 (no necesario).
Servidor
En Windows Server 2003 y Windows XP, la directiva de grupo denominada "Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)" y en Windows 2000, la directiva de grupo denominada "Firmar digitalmente las comunicaciones del servidor (siempre que sea posible)" se asignan a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nombre de valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en los controladores de dominio de Windows Server 2003 y de Windows 2000 es 1 (habilitado). El valor predeterminado en los controladores de dominio de Windows NT 4.0 es 0 (deshabilitado).
La directiva de Windows Server 2003 y Windows XP se denomina "Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)"
La directiva de Windows 2000 se denomina "Firmar digitalmente las comunicaciones del servidor (siempre)" y ambas se asignan a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nombre de valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en los controladores de dominio de Windows Server 2003 y de Windows 2000 es 1 (requerido). El valor predeterminado en los controladores de dominio de Windows NT 4.0 es 0 (no necesario).
Para que los equipos basados en Windows NT 4.0 puedan conectar con equipos basados en Windows 2000 utilizando la firma SMB, debe crear la siguiente clave del Registro en los equipos basados en Windows 2000:
Nombre de valor: enableW9xsecuritysignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)
Nota: no hay ninguna directiva de grupo asociada al valor EnableW9xsecuritysignature del Registro.

Configurar la firma SMB en Windows NT 4.0

Firmar digitalmente cliente: (Ésta es la clave RDR, no LanmanWorkstation como en Windows 2000)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters


Nombre de valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado es 1 (habilitado) en los equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows.
Nombre de valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado es 0 (no necesario) en los equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows.
"Firmar digitalmente el servidor" en la directiva se asigna a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters


Nombre de valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado es 1 (habilitado) en los controladores de dominio de Windows Server 2003, Windows 2000 y Windows NT 4.0. El valor predeterminado para todos los demás equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows es 0 (deshabilitado).
Nombre de valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado es 1 (requerido) en los controladores de dominio de Windows Server 2003. El valor predeterminado para todos los demás equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows es 0 (no necesario).


Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
161372  (http://support.microsoft.com/kb/161372/ ) Cómo habilitar la firma SMB en Windows NT

Configurar la firma SMB en Windows 98

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup
Agregue los dos valores siguientes a esta subclave del Registro:
Nombre de valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en Windows 98 es 1 (habilitar).
Nombre de valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota: el valor predeterminado en Windows 98 es 0 (deshabilitado).
Volver al principio

Cómo determinar si la firma SMB está habilitada en una traza de Monitor de red

Para determinar si la firma SMB está habilitada, es necesaria en el servidor o ambas cosas, vea la respuesta del dialecto de negociación en el servidor: 

SMB: R negotiate, Dialect # = 5 SMB: Command = R negotiate SMB: Security Mode Summary (NT) = [un valor de 3, 7 ó 15] SMB: .......1 = Seguridad de nivel de usuario SMB: ......1. = Cifrar contraseñas


En esta respuesta, el campo "Security Mode Summary (NT) =" representa las opciones configuradas en el servidor. Este valor será 3, 7 ó 15.

Para obtener información adicional acerca de cómo utilizar Monitor de red, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
812953  (http://support.microsoft.com/kb/812953/ ) Cómo usar el Monitor de red para capturar el tráfico de red
La información siguiente ayuda a explicar lo que representan los números de la respuesta del dialecto de negociación:
UCHAR SecurityMode; Modo de seguridad:
bit 0: 0 = compartir
bit 0: 1 = usuario
bit 1: 1 = cifrar contraseñas
bit 2: 1 = firmas de seguridad (números de secuencia SMB) habilitadas
bit 3: 1 = firmas de seguridad (números de secuencia SMB) necesarias


Si la firma SMB está deshabilitada en el servidor, el valor es 3.
"SMB: Security Mode Summary (NT) = 3 (0x3)"

Si la firma SMB está habilitada y no es necesaria en el servidor, el valor es 7.
"SMB: Security Mode Summary (NT) = 7 (0x7)"

Si la firma SMB está habilitada y no es necesaria en el servidor, el valor es 15.
"SMB: Security Mode Summary (NT) = 15 (0xF)"
Para obtener más información acerca de CIFS, visite el siguiente sitio Web de Microsoft:
http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp (http://msdn.microsoft.com/library/en-us/cifs/protocol/cifs.asp)
Volver al principio

Situaciones de firma SMB

El comportamiento de la sesión SMB después de la negociación del dialecto muestra la configuración cliente.

Si la firma SMB está habilitada y es necesaria tanto en el cliente como en el servidor, o si está deshabilitada tanto en el cliente como en el servidor, la conexión se realiza correctamente.

Si la firma SMB está habilitada y es necesaria en el cliente y está deshabilitada en el servidor, la conexión con la sesión TCP se cerrará correctamente después de la negociación del dialecto, y el cliente recibirá el siguiente mensaje de error "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":
Error 1240 del sistema. El inicio de sesión desde esta estación no está autorizado para esta cuenta.
Si la firma SMB está deshabilitada en el cliente y está habilitada y es necesaria en el servidor, el cliente recibirá el mensaje de error "STATUS_ACCESS_DENIED" cuando reciba una respuesta a una conexión de árbol o Transact2 para referencias DFS.
Volver al principio
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
Volver al principio
Palabras clave: 
kbhowto kbinfo kbsecurityservices kbwinservnetwork KB887429
Volver al principio