Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Esta configuración de seguridad determina si ...

Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)  Esta configuración de seguridad determina si el componente de servidor SMB requiere la firma de paquetes.  El protocolo de bloque de mensaje de servidor (SMB) proporciona la base para el uso compartido de impresoras y archivos de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para impedir ataques de tipo "Man in the middle" que modifiquen los paquetes SMB en tránsito, el protocolo admite la firma digital de paquetes SMB. Esta configuración de la directiva determina si es necesario negociar la firma de los paquetes SMB antes de permitir la comunicación con el cliente SMB.  Si esta configuración está habilitada, para que sea posible la comunicación entre el servidor y el cliente de redes de Microsoft, será preciso que el cliente acepte la firma de los paquetes SMB. Si está deshabilitada, el cliente y el servidor tendrán que negociar la firma de paquetes SMB.  Valor predeterminado:  Deshabilitada para servidores miembros. Habilitada para controladores de dominio.  Notas  Todos los sistemas operativos Windows admiten tanto un componente SMB del lado cliente como uno del lado servidor. Para sacar partido de la firma de paquetes SMB, se debe habilitar o requerir la firma de paquetes SMB tanto en el componente SMB del lado cliente como en el del lado servidor que participen en una comunicación. Para Windows 2000 y posteriores, hay cuatro configuraciones de directiva que controlan si se habilita o requiere la firma de paquetes para componentes SMB del lado cliente y servidor: Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes. Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado cliente o no. Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado servidor requiere la firma de paquetes. Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado servidor o no. Si se requiere la firma SMB del lado servidor, un cliente no podrá establecer una sesión con dicho servidor a menos que la firma SMB del lado cliente esté habilitada. De manera predeterminada, la firma SMB del lado cliente está habilitada en las estaciones de trabajo, los servidores y los controladores de dominio. Igualmente, si se requiere la firma SMB del lado cliente, el cliente no podrá establecer una sesión con servidores sin la firma de paquetes habilitada. De manera predeterminada, la firma SMB del lado servidor sólo está habilitada en los controladores de dominio. Si la firma SMB del lado servidor está habilitada, se negociará la firma de paquetes SMB con los clientes que tengan la firma SMB del lado cliente habilitada. El uso de la firma de paquetes SMB puede reducir en hasta un 15% el rendimiento en las transacciones de servicios de archivos.  Importante  Para que esta directiva surta efecto en los equipos con Windows 2000, también debe estar habilitada la firma de paquetes del lado servidor. Para habilitar la firma de paquetes SMB del lado servidor, establezca la siguiente directiva: Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite).  Para que los servidores Windows 2000 negocien la firma con clientes Windows NT 4.0, se debe establecer el siguiente valor del Registro en 1 en el servidor con Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature  Los equipos en los que se haya establecido esta directiva no podrán comunicarse con equipos que no tengan habilitada la firma de paquetes del lado cliente. La firma de paquetes del lado cliente se puede habilitar en los equipos con Windows 2000 y versiones posteriores estableciendo la siguiente directiva: