Información general sobre la firma de bloqueo de mensajes del servidor

  • Tiempo de lectura: 9 minutos

En este artículo se describe la firma del bloque de mensajes del servidor (SMB) y cómo determinar si la firma SMB está habilitada.

Versión original del producto:   Windows Server 2012 R2, Windows 10: todas las ediciones
Número KB original:   887429

Introducción

La firma SMB es un mecanismo de seguridad en el protocolo SMB y también se conoce como firmas de seguridad. La firma SMB está diseñada para ayudar a mejorar la seguridad del protocolo SMB. La firma SMB estaba disponible por primera vez en Microsoft Windows NT 4.0 Service Pack 3 (SP3) y Microsoft Windows 98.

En este artículo se describen los siguientes temas de SMB:

  • La configuración predeterminada de la firma SMB.
  • Cómo configurar el inicio de sesión SMB en Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 y Windows 98.
  • Cómo determinar si la firma SMB está habilitada en un seguimiento del Monitor de red.
  • Ejemplos de escenarios de firma SMB.

Más información

Configuración predeterminada para el servicio de estación de trabajo y el servicio de servidor

Las firmas de seguridad y firma SMB se pueden configurar para el servicio de estación de trabajo y para el servicio de servidor. El servicio de estación de trabajo se usa para las conexiones salientes. El servicio de servidor se usa para las conexiones entrantes.

Cuando la firma SMB está habilitada, es posible que los clientes que admiten firmas SMB se conecten y también es posible que los clientes que no admiten la firma SMB se conecten. Cuando se requiere la firma SMB, ambos equipos en la conexión SMB deben admitir la firma SMB. La conexión SMB no se realiza correctamente si un equipo no admite la firma SMB. De forma predeterminada, la firma SMB está habilitada para las sesiones SMB salientes en los siguientes sistemas operativos:

  • Windows Server 2003
  • Windows XP
  • Windows 2000
  • Windows NT 4.0
  • Windows 98

De forma predeterminada, la firma SMB está habilitada para las sesiones SMB entrantes en los siguientes sistemas operativos:

  • Controladores de dominio basados en Windows Server 2003
  • Controladores de dominio basados en Windows 2000 Server
  • Controladores de dominio basados en windows NT 4.0 Server

De forma predeterminada, la firma SMB es necesaria para las sesiones SMB entrantes en controladores de dominio basados en Windows Server 2003.

Configuración de la firma SMB

Se recomienda usar directivas de grupo para configurar la firma SMB porque un cambio de valor del Registro local no funciona correctamente si hay una directiva de dominio invalidada. Los siguientes valores del Registro se cambian cuando se configura la directiva de grupo asociada.

Ubicaciones de directivas para firmas SMB

Nota

Las siguientes opciones de configuración de directiva de grupo se encuentran en la ruta de acceso del Editor de objetos de directiva de grupo "Configuración de windows configuración de equipo Configuración de seguridad opciones de seguridad directivas \ \ \ \ locales".

Windows Server 2003: directiva de grupo de controladores de dominio predeterminados
Estación de trabajo/cliente

Cliente de red de Microsoft: firmar digitalmente la configuración de directiva de comunicaciones (siempre): no definida

Cliente de red de Microsoft: firmar digitalmente la configuración de directiva de comunicaciones (si el servidor lo acepta): configuración efectiva no definida: habilitada (debido a la directiva local)

Servidor

Servidor de red de Microsoft: firmar digitalmente la configuración de directiva de comunicaciones (siempre): habilitada

Servidor de red microsoft: firmar digitalmente la configuración de directiva de comunicaciones (si el cliente lo acepta): habilitada

Windows XP y 2003: directiva de grupo del equipo local
Estación de trabajo/cliente

Cliente de red de Microsoft: firmar digitalmente la configuración de seguridad de comunicaciones (siempre): deshabilitada

Cliente de red de Microsoft: firmar digitalmente la configuración de seguridad de comunicaciones (si el servidor lo acepta): habilitada

Servidor

Servidor de red de Microsoft: Firmar digitalmente la configuración de seguridad de comunicaciones (siempre): deshabilitada

Servidor de red de Microsoft: firmar digitalmente la configuración de seguridad de comunicaciones (si el cliente lo acepta): deshabilitada

Windows 2000: directiva de grupo de controladores de dominio predeterminados
Estación de trabajo/cliente

Firmar digitalmente la configuración del equipo de la comunicación del cliente (siempre): no definida

Firmar digitalmente la configuración del equipo (siempre que sea posible) de la comunicación del cliente: no definida

Servidor

Firmar digitalmente la configuración del equipo (siempre) de la comunicación del servidor: no definida

Firmar digitalmente la comunicación del servidor (cuando sea posible) Configuración del equipo: habilitada

Windows 2000: directiva de grupo del equipo local
Estación de trabajo/cliente

Firmar digitalmente la comunicación del cliente (siempre) Configuración local: Configuración efectiva deshabilitada: deshabilitada

Firmar digitalmente la comunicación del cliente (cuando sea posible) Configuración local: Configuración efectiva habilitada: habilitada

Servidor

Firmar digitalmente la comunicación del servidor (siempre) Configuración local: Configuración efectiva deshabilitada: deshabilitada

Firmar digitalmente la comunicación del servidor (cuando sea posible) Configuración local: Configuración efectiva deshabilitada: deshabilitada

Valores del Registro asociados con la configuración de directiva de grupo para Windows Server 2003, Windows XP y Windows 2000

Cliente

En Windows Server 2003 y Windows XP, la directiva de grupo "Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor acepta)" y, en Windows 2000, la directiva de grupo "Firmar digitalmente la comunicación de cliente (cuando sea posible)" se asigna a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Nombre del valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en Windows Server 2003, Windows XP y Windows 2000 es 1 (habilitado).

En Windows Server 2003 y Windows XP, la directiva de grupo "Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)" y, en Windows 2000, la directiva de grupo "Firmar digitalmente la comunicación de cliente (siempre)" se asigna a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Nombre del valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en Windows Server 2003, Windows XP y Windows 2000 es 0 (no es obligatorio).

Servidor

En Windows Server 2003 y Windows XP, la directiva de grupo denominada "Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente acepta)" y, en Windows 2000, la directiva de grupo denominada "Firmar digitalmente la comunicación del servidor (cuando sea posible)" se asigna a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Nombre del valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en controladores de dominio de Windows Server 2003 y controladores de dominio de Windows 2000 es 1 (habilitado). El valor predeterminado en los controladores de dominio de Windows NT 4.0 es 0 (deshabilitado). La directiva de Windows Server 2003 y Windows XP se denomina "Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)"

La directiva de Windows 2000 se denomina "Firmar digitalmente la comunicación del servidor (siempre)" y ambas se asignan a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Nombre del valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en controladores de dominio de Windows Server 2003 y controladores de dominio de Windows 2000 es 1 (obligatorio). El valor predeterminado en los controladores de dominio de Windows NT 4.0 es 0 (no es obligatorio).

Para que los equipos basados en Windows NT 4.0 puedan conectarse a equipos basados en Windows 2000 mediante la firma SMB, debe crear el siguiente valor del Registro en los equipos basados en Windows 2000:
Nombre del valor: enableW9xsecuritysignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

No hay ninguna directiva de grupo asociada con el valor del Registro EnableW9xsecuritysignature.

Configuración de la firma SMB en Windows NT 4.0

Firmar digitalmente el cliente:

Nota

Esta es la clave RDR, no LanmanWorkstation como en Windows 2000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

Nombre del valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado es 1 (habilitado) en equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows.

Nombre del valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado es 0 (no obligatorio) en equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows.

"Servidor de firma digital" en la directiva se asigna a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Nombre del valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado es 1 (habilitado) en controladores de dominio de Windows Server 2003, controladores de dominio de Windows 2000 y controladores de dominio de Windows NT 4.0. El valor predeterminado para todos los demás equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows es 0 (deshabilitado).

Nombre del valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado es 1 (obligatorio) en los controladores de dominio de Windows Server 2003. El valor predeterminado para todos los demás equipos que ejecutan Windows NT 4.0 SP3 o versiones posteriores de Windows es 0 (no es necesario).

Configurar el inicio de sesión SMB en Windows 98

Agregue los siguientes dos valores del Registro a esta subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

Nombre del valor: EnableSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en Windows 98 es 1 (habilitado).

Nombre del valor: RequireSecuritySignature
Tipo de datos: REG_DWORD
Datos: 0 (deshabilitar), 1 (habilitar)

Nota

El valor predeterminado en Windows 98 es 0 (deshabilitado).

Cómo determinar si la firma SMB está habilitada en un seguimiento de monitor de red

Para determinar si la firma SMB está habilitada, es necesaria en el servidor o en ambos, vea la respuesta De dialecto negociar desde el servidor:

SMB: R negotiate, Dialect # = 5
SMB: Comando = R negociar
SMB: Resumen del modo de seguridad (NT) = [un valor de 3, 7 o 15]
SMB: ....... 1 = seguridad de nivel de usuario
SMB: ...... 1. = Cifrar contraseñas

En esta respuesta, el campo "Resumen del modo de seguridad (NT) =" representa las opciones configuradas en el servidor. Este valor será 3, 7 o 15.

La siguiente información ayuda a explicar lo que representan los números de respuesta De Dialecto de Negociar:
UCHAR SecurityMode; Modo de seguridad:

bit 0: 0 = compartir

bit 0: 1 = usuario

bit 1: 1 = cifrar contraseñas

bit 2: 1 = firmas de seguridad (números de secuencia SMB) habilitados

bit 3: 1 = firmas de seguridad (números de secuencia SMB) necesarios

Si la firma SMB está deshabilitada en el servidor, el valor es 3.

"SMB: Resumen del modo de seguridad (NT) = 3 (0x3)"

Si la firma SMB está habilitada y no es necesaria en el servidor, el valor es 7.

"SMB: Resumen del modo de seguridad (NT) = 7 (0x7)"

Si la firma SMB está habilitada y es necesaria en el servidor, el valor es 15.

"SMB: Resumen del modo de seguridad (NT) = 15 (0xF)"
Para obtener información adicional sobre CIFS, visite el siguiente sitio web de Microsoft:
CIFS

Escenarios de firma SMB

El comportamiento de la sesión SMB después de la negociación dialecta muestra la configuración del cliente.

Si la firma SMB está habilitada y es necesaria tanto en el cliente como en el servidor, o si la firma SMB está deshabilitada tanto en el cliente como en el servidor, la conexión se realiza correctamente.

Si la firma SMB está habilitada y necesaria en el cliente y deshabilitada en el servidor, la conexión a la sesión TCP se cierra correctamente después de la negociación dialectal y el cliente recibe el siguiente mensaje de error "1240 (ERROR_LOGIN_WKSTA_RESTRICTION)":

Error del sistema 1240. La cuenta no está autorizada para iniciar sesión desde esta estación.

Si la firma SMB está deshabilitada en el cliente y habilitada y necesaria en el servidor, el cliente recibe el mensaje de error "STATUS_ACCESS_DENIED" cuando recibe una respuesta a una conexión de árbol o Transact2 para referencias DFS.