Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

Se aplica a:

  • Windows 10
  • Windows Server

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para el servidor de red de Microsoft: firmar digitalmente la configuración de directiva de seguridad de comunicaciones (siempre) para SMBv3 y SMBv2.

Referencia

El protocolo de bloqueo de mensajes de servidor (SMB) proporciona la base para el uso compartido de archivos e impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques de tipo "man in the middle" que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB.

La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de servidores y equipos cliente, lo que se conoce como "secuestro de sesión". Sin embargo, el uso incorrecto de esta configuración de directiva puede provocar un error de acceso a los datos.

A partir de los clientes y servidores SMBv2, la firma puede ser necesaria o no. Si esta configuración de directiva está habilitada, los clientes SMBv2 firmarán digitalmente todos los paquetes. Otra configuración de directiva determina si se requiere firma para las comunicaciones de servidor SMBv3 y SMBv2: cliente de red de Microsoft: firmar digitalmente lascomunicaciones (siempre).

Se realiza una negociación entre el cliente SMB y el servidor SMB para decidir si la firma se usará de forma eficaz. La siguiente tabla tiene el comportamiento eficaz para SMBv3 y SMBv2.

Servidor: obligatorio Servidor: no necesario
Cliente: obligatorio Firmado Firmado
Cliente: no necesario Firmado 1 No firmado 2

1 Valor predeterminado para el tráfico SMB del controlador de dominio
2 Valor predeterminado para el resto del tráfico SMB

El rendimiento de las firmas SMB se ha mejorado en SMBv2. Para obtener más información, vea Posible impacto.

Valores posibles

  • Habilitada
  • Deshabilitada

Procedimientos recomendados

Habilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).

Ubicación

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

Valores predeterminados

En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada Deshabilitado
Directiva de controlador de dominio predeterminada Habilitado
Stand-Alone configuración predeterminada del servidor Deshabilitado
Configuración predeterminada efectiva de DC Habilitado
Configuración predeterminada efectiva del servidor miembro Deshabilitado
Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas

En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta directiva.

Requisito de reinicio

Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan localmente o se distribuyen a través de la directiva de grupo.

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el dispositivo cliente o servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar el tráfico y reenviarlo para que el servidor pueda realizar acciones que puedan ser inasignables. Como alternativa, el atacante podría hacerse pasar por el servidor o el dispositivo cliente después de la autenticación legítima y obtener acceso no autorizado a los datos.

SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la base de muchas características modernas como Espacios de almacenamiento directo, Réplica de almacenamiento y SMB Directo, así como muchos protocolos y herramientas heredados. Si cualquiera de los dos lados produce un error en el proceso de autenticación, la transmisión de datos no se lleva a cabo.

Contramedida

Habilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).

Nota

Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas digitales con IPsec. Existen aceleradores basados en hardware para el cifrado iPsec y la firma que se pueden usar para minimizar el impacto en el rendimiento en las CPU de los servidores. Estos aceleradores no están disponibles para firmas SMB.

Impacto potencial

Las velocidades de almacenamiento afectan al rendimiento. Una unidad más rápida en el origen y el destino permite un mayor rendimiento, lo que provoca un mayor uso de CPU de firma. Si usa una red Ethernet de 1 GB o una velocidad de almacenamiento más lenta con una CPU moderna, el rendimiento se ve reducido. Si usa una red más rápida (como 10 Gb), el impacto en el rendimiento de la firma puede ser mayor.

Temas relacionados