Visão geral da assinatura do Bloco de Mensagens do Servidor
Este artigo descreve a assinatura do SMB (Server Message Block) 2.x e 3.x e como determinar se a assinatura do SMB é necessária.
Introdução
A assinatura SMB (também conhecida como assinaturas de segurança) é um mecanismo de segurança no protocolo SMB. A assinatura de SMB significa que cada mensagem SMB contém uma assinatura gerada usando a chave de sessão. O cliente coloca um hash de toda a mensagem no campo de assinatura do cabeçalho SMB.
A assinatura de SMB apareceu pela primeira vez no Microsoft Windows 2000, Microsoft Windows NT 4.0 e Microsoft Windows 98. Os algoritmos de assinatura evoluíram ao longo do tempo. A assinatura do SMB 2.02 foi aprimorada pela introdução do SHA-256 (código de autenticação de mensagem baseado em hash) SHA-256, substituindo o método MD5 antigo do final dos anos 1990 que foi usado no SMB1. O SMB 3.0 adicionou algoritmos AES-CMAC. No Windows Server 2022 e Windows 11, adicionamos aceleração de assinatura do AES-128-GMAC. Se você quiser a melhor combinação de desempenho e proteção, considere atualizar para as versões mais recentes do Windows.
Como a assinatura de SMB protege a conexão
Se alguém alterar uma mensagem durante a transmissão, o hash não corresponderá e o SMB saberá que alguém adulterou os dados. A assinatura também confirma as identidades do remetente e do receptor. Isso impede ataques de retransmissão. Idealmente, você está usando Kerberos em vez de NTLMv2 para que sua chave de sessão comece forte. Não se conecte a compartilhamentos usando endereços IP e não use registros CNAME ou você usará o NTLM em vez de Kerberos. Em vez disso, use Kerberos. Consulte Usando aliases de nome do computador no lugar de Registros CNAME DNS para obter mais informações.
Locais de política para assinatura de SMB
As políticas de assinatura de SMB estão localizadas em Configurações> de computadorConfiguraçõesdesegurança Configurações>> de segurançaOpções de segurançade políticas> locais.
- Cliente de rede da Microsoft: comunicações de sinal digital (sempre)
Chave do Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor do registro: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar)
Chave do Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valor do registro: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Servidor de rede da Microsoft: comunicações de sinal digital (sempre)
Chave do Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor do registro: RequireSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar) - Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar)
Chave do Registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valor do registro: EnableSecuritySignature
Tipo de dados: REG_DWORD
Dados: 0 (desabilitar), 1 (habilitar)
Nota Nessas políticas, "always" indica que a assinatura de SMB é necessária e "se o servidor concordar" ou "se o cliente concordar" indica que a assinatura de SMB está habilitada.
Entender "RequireSecuritySignature" e "EnableSecuritySignature"
A configuração do registro EnableSecuritySignature para cliente SMB2+ e servidor SMB2+ é ignorada. Portanto, essa configuração não faz nada a menos que você esteja usando o SMB1. O SMB 2.02 e a assinatura posterior são controlados exclusivamente por serem necessários ou não. Essa configuração é usada quando o servidor ou o cliente exige a assinatura de SMB. Somente se ambos tiverem a assinatura definida como 0 não ocorrerá.
| - | Servidor – RequireSecuritySignature=1 | Servidor – RequireSecuritySignature=0 |
|---|---|---|
| Cliente – RequireSecuritySignature=1 | Assinado | Assinado |
| Cliente – RequireSecuritySignature=0 | Assinado | Não assinado |
Referência
Configurar a assinatura de SMB com confiança
Como defender usuários contra ataques de interceptação por meio da defesa do cliente SMB
Segurança SMB 2 e SMB 3 no Windows 10: a anatomia da assinatura e das chaves criptográficas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de