Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Esta configuración de seguridad determina ...

Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

Esta configuración de seguridad determina si el componente de cliente SMB requiere la firma de paquetes.

El protocolo de Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de impresoras y archivos de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para impedir ataques de tipo "Man in the middle" que modifiquen los paquetes SMB en tránsito, el protocolo admite la firma digital de paquetes SMB. Esta configuración de directiva determina si es necesario negociar la firma de los paquetes SMB antes de permitir la comunicación con un servidor SMB.

Si esta configuración está habilitada, para que sea posible la comunicación entre el cliente y el servidor de red de Microsoft, será preciso que el cliente acepte la firma de los paquetes SMB. Si está deshabilitada, el cliente y el servidor negociarán la firma de paquetes SMB.

Valor predeterminado: deshabilitada.

Importante

Para que esta directiva surta efecto en equipos con Windows 2000, es necesario habilitar además la firma de paquetes del lado cliente. Para habilitar la firma de paquetes SMB del lado cliente, establezca la opción Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite).
Los equipos en los que se establezca esta directiva no podrán comunicarse con equipos en los que no esté habilitada la firma de paquetes del lado servidor. De manera predeterminada, la firma de paquetes del lado servidor solo está habilitada en controladores de dominio con Windows 2000 y versiones posteriores.
La firma de paquetes del lado servidor se puede habilitar en los equipos con Windows 2000 y sistemas operativos posteriores seleccionando la opción Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite).
En los equipos con el Service Pack 3 de Windows NT 4.0 y versiones posteriores, la firma de paquetes del lado servidor se puede habilitar estableciendo la siguiente clave del Registro en 1:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature

La firma de paquetes del lado servidor no se puede habilitar en equipos con Windows 95 o Windows 98.

Notas

Todos los sistemas operativos Windows admiten tanto un componente SMB del lado cliente como uno del lado servidor. Para sacar partido de la firma de paquetes SMB, se debe habilitar o requerir la firma de paquetes SMB tanto en el componente SMB del lado cliente como en el del lado servidor que participen en una comunicación. Para Windows 2000 y posteriores, hay cuatro configuraciones de directiva que controlan si se habilita o requiere la firma de paquetes para componentes SMB del lado cliente y servidor:
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes.
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado cliente o no.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado servidor requiere la firma de paquetes.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado servidor o no.
Si se requiere la firma SMB del lado servidor, un cliente no podrá establecer una sesión con dicho servidor a menos que la firma SMB del lado cliente esté habilitada. De manera predeterminada, la firma SMB del lado cliente está habilitada en las estaciones de trabajo, los servidores y los controladores de dominio. Igualmente, si se requiere la firma SMB del lado cliente, el cliente no podrá establecer una sesión con servidores sin la firma de paquetes habilitada. De manera predeterminada, la firma SMB del lado servidor solo está habilitada en los controladores de dominio.
Si la firma SMB del lado servidor está habilitada, se negociará la firma de paquetes SMB con los clientes que tengan la firma SMB del lado cliente habilitada.
El uso de la firma de paquetes SMB puede reducir en hasta un 15% el rendimiento en las transacciones de servicios de archivos.

Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

Esta configuración de seguridad determina si el componente de cliente SMB requiere la firma de paquetes.

El protocolo de Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de impresoras y archivos de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para impedir ataques de tipo "Man in the middle" que modifiquen los paquetes SMB en tránsito, el protocolo admite la firma digital de paquetes SMB. Esta configuración de directiva determina si es necesario negociar la firma de los paquetes SMB antes de permitir la comunicación con un servidor SMB.

Si esta configuración está habilitada, para que sea posible la comunicación entre el cliente y el servidor de red de Microsoft, será preciso que el cliente acepte la firma de los paquetes SMB. Si está deshabilitada, el cliente y el servidor negociarán la firma de paquetes SMB.

Valor predeterminado: deshabilitada.

Importante

Para que esta directiva surta efecto en equipos con Windows 2000, es necesario habilitar además la firma de paquetes del lado cliente. Para habilitar la firma de paquetes SMB del lado cliente, establezca la opción Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite).
Los equipos en los que se establezca esta directiva no podrán comunicarse con equipos en los que no esté habilitada la firma de paquetes del lado servidor. De manera predeterminada, la firma de paquetes del lado servidor sólo está habilitada en controladores de dominio con Windows 2000 y versiones posteriores.
La firma de paquetes del lado servidor se puede habilitar en los equipos con Windows 2000 y sistemas operativos posteriores seleccionando la opción Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite).
En los equipos con el Service Pack 3 de Windows NT 4.0 y versiones posteriores, la firma de paquetes del lado servidor se puede habilitar estableciendo la siguiente clave del Registro en 1:
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature

La firma de paquetes del lado servidor no se puede habilitar en equipos con Windows 95 o Windows 98.

Notas

Todos los sistemas operativos Windows admiten tanto un componente SMB del lado cliente como uno del lado servidor. Para sacar partido de la firma de paquetes SMB, se debe habilitar o requerir la firma de paquetes SMB tanto en el componente SMB del lado cliente como en el del lado servidor que participen en una comunicación. Para Windows 2000 y posteriores, hay cuatro configuraciones de directiva que controlan si se habilita o requiere la firma de paquetes para componentes SMB del lado cliente y servidor:
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes.
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado cliente o no.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado servidor requiere la firma de paquetes.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite): controla si la firma de paquetes está habilitada en el componente SMB del lado servidor o no.
Si se requiere la firma SMB del lado servidor, un cliente no podrá establecer una sesión con dicho servidor a menos que la firma SMB del lado cliente esté habilitada. De manera predeterminada, la firma SMB del lado cliente está habilitada en las estaciones de trabajo, los servidores y los controladores de dominio. Igualmente, si se requiere la firma SMB del lado cliente, el cliente no podrá establecer una sesión con servidores sin la firma de paquetes habilitada. De manera predeterminada, la firma SMB del lado servidor sólo está habilitada en los controladores de dominio.
Si la firma SMB del lado servidor está habilitada, se negociará la firma de paquetes SMB con los clientes que tengan la firma SMB del lado cliente habilitada.
El uso de la firma de paquetes SMB puede reducir en hasta un 15% el rendimiento en las transacciones de servicios de archivos.