Se aplica a
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Fecha de publicación original: 9 de septiembre de 2025KB ID: 5066913

Resumen

El servidor SMB ya admite dos mecanismos de protección contra ataques de relé: 

  • Firma de servidor SMB

  • Smb Server Extended Protection for Authentication (EPA)

En algunos entornos de clientes, el cumplimiento de cualquiera de estos mecanismos de protección supone riesgos de compatibilidad, ya que algunos sistemas heredados e implementaciones de terceros pueden no admitir la firma de servidores SMB o la EPA de servidores SMB. 

Como parte de las actualizaciones de Windows publicadas el 9 de septiembre de 2025 y después (CVE-2025-55234), se habilita el soporte técnico para auditar la compatibilidad de clientes SMB para la firma de servidores SMB, así como la EPA de servidores SMB. Esto permite a los clientes evaluar su entorno e identificar cualquier posible problema de incompatibilidad de software o dispositivo antes de implementar las medidas de protección que ya son compatibles con el servidor SMB.

Origen

El servidor SMB podría ser susceptible a ataques de retransmisión según la configuración. Para evitar esta vulnerabilidad, Microsoft publicó las siguientes mitigaciones: 

SMB Server EPA

Firma de servidor SMB

Los clientes deben configurar el servidor SMB para requerir la firma del servidor SMB o habilitar la EPA del servidor SMB para proteger sus sistemas frente a esta clase de ataque. ​​​​​​​​​​​​​​

El servidor SMB con cifrado habilitado globalmente, además de no permitir el acceso sin cifrar, también está protegido contra ataques de retransmisión. Para obtener más información, consulta Mejoras de seguridad smb.

Habilitar la compatibilidad con auditorías para la firma de servidores SMB

De forma predeterminada, la auditoría para la firma del servidor SMB está deshabilitada. Esto se puede habilitar tanto para el servidor SMBv1 como para el servidor SMB2/3 mediante directiva de grupo o configuración del Registro.

Directiva de grupo

Ubicación de la directiva

Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman

Nombre de la directiva

El cliente de auditoría no admite la firma

Estados de directiva

  • Deshabilitado: deshabilitar la auditoría

  • Habilitado: Habilitar auditoría

  • No configurado (predeterminado): seguir la configuración del Registro

Entrada de registro

Ubicación del registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Valor

AuditClientSpnSupport

Tipo

REG_DWORD

Datos

  • 0 (predeterminado): deshabilitar la auditoría

  • 1 : Habilitar la auditoría

Eventos de auditoría de firma de servidor SMB

Registro de eventos

Microsoft-Windows-SMBServer/Audit

Tipos de eventos

Advertencia

Origen del evento

Microsoft-Windows-SMBServer

Id. del evento

3021

Texto del evento

El servidor SMB observó que el cliente no admite la firma. 

Nombre del cliente: <>

Nombre de usuario: <>

El servidor requiere firma: <>

Registro de eventos

Microsoft-Windows-SMBServer/Audit

Tipos de eventos

Advertencia

Origen del evento

Microsoft-Windows-SMBServer

Id. del evento

3027

Texto del evento

El servidor SMBv1 observó que el cliente SMBv1 no tiene habilitada la firma.

Nombre del cliente: <>

El servidor requiere firma: <>

Instrucciones: Este evento indica que el cliente SMBv1 puede no admitir habilitar el soporte de auditoría para la firma de SMB, pero debido a las limitaciones de protocolo, esto no se puede determinar con certeza. Se recomienda realizar una evaluación adicional para comprobar las capacidades de firma del cliente. 

Antes de Windows Vista, los clientes SMBv1 que no tenían la firma explícitamente habilitada no podían realizar la habilitación del soporte de auditoría para la firma de SMB. 

Este comportamiento se cambió con el lanzamiento de Windows Vista y también seportó a Windows XP y Windows Server 2003 mediante actualizaciones. Con estos cambios, los clientes SMB pueden admitir la firma incluso si no está explícitamente habilitado, siempre que el servidor lo requiera. 

Notas

  • Los clientes que implementen correctamente la firma, pero no anuncien dicho soporte, producirán falsos positivos.

  • Los clientes que anuncian compatibilidad para firmar, pero no implementan correctamente el soporte técnico, producirán falsos negativos.

Habilitación del soporte de auditoría para la EPA de servidores SMB

De forma predeterminada, la auditoría de la EPA del servidor SMB está deshabilitada. Esto se puede habilitar tanto para el servidor SMBv1 como para el servidor SMB2/3 mediante directiva de grupo o configuración del Registro.

Directiva de grupo

Ubicación de la directiva

Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman

Nombre de la directiva

Compatibilidad con el spN de cliente SMB de auditoría

Estados de directiva

  • Deshabilitado: deshabilitar la auditoría

  • Habilitado: Habilitar auditoría

  • No configurado (predeterminado): seguir la configuración del Registro

Entrada de registro

Ubicación del registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Valor

AuditClientSpnSupport

Tipo

REG_DWORD

Datos

  • 0 (predeterminado): deshabilitar la auditoría SPN

  • 1 : Habilitar la auditoría SPN

Eventos de auditoría de la EPA del servidor SMB

Registro de eventos

Microsoft-Windows-SMBServer/Audit

Tipos de eventos

Advertencia

Origen del evento

Microsoft-Windows-SMBServer

Id. del evento

3024

Texto del evento

El servidor SMB observó que el cliente no envió un SPN durante la autenticación, lo que indica que el cliente no soporta la protección ampliada para la autenticación (EPA) o que el soporte para la EPA está inhabilitado. 

Nombre del cliente: <>

Estado de la consulta SPN: <>

Habilitar la protección ampliada para directiva de autenticación: <>

Registro de eventos

Microsoft-Windows-SMBServer/Audit

Tipos de eventos

Advertencia

Origen del evento

Microsoft-Windows-SMBServer

Id. del evento

3025

Texto del evento

El servidor SMB observó que el cliente envió un SPN no reconocido durante la autenticación. 

Nombre del cliente: <>

SPN: <>

Habilitar la protección ampliada para directiva de autenticación: <>

Registro de eventos

Microsoft-Windows-SMBServer/Audit

Tipos de eventos

Advertencia

Origen del evento

Microsoft-Windows-SMBServer

Id. del evento

3026

Texto del evento

El servidor SMB observó que el cliente envió un SPN vacío durante la autenticación, que indica que el cliente es capaz de enviar un SPN pero elegido no suministrar uno. 

Nombre del cliente: <>

Habilitar la protección ampliada para directiva de autenticación: <>
SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad