Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor Esta configuración de directiva controla ...

Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor

Esta configuración de directiva controla el nivel de validación que realiza un equipo con carpetas o impresoras compartidas (el servidor) en el nombre de entidad de seguridad de servicio (SPN) proporcionado por el equipo cliente al establecer una sesión mediante el protocolo Bloque de mensajes del servidor (SMB).

El protocolo Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresoras y otras operaciones de red, como la administración remota de Windows. El protocolo SMB admite la validación del nombre de entidad de seguridad de servicio (SPN) del servidor SMB dentro del blob de autenticación proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB que se conocen como ataques de retransmisión SMB. Este valor afectará tanto a SMB1 como a SMB2.

Esta configuración de seguridad determina el nivel de validación que realiza un servidor SMB en el nombre de entidad de seguridad de servicio (SPN) proporcionado por el cliente SMB al intentar establecer una sesión en un servidor SMB.

Las opciones son:

Desactivado: el SPN no es necesario o no fue validado por el servidor SMB desde un cliente SMB.

Aceptar si lo proporciona el cliente: el servidor SMB aceptará y validará el SPN proporcionado por el cliente SMB y permitirá que se establezca una sesión si coincide con la lista de SPN del servidor SMB. Si el SPN NO coincide, se denegará la solicitud de sesión para ese cliente SMB.

Requerido del cliente: el cliente SMB DEBE enviar un nombre SPN en la configuración de la sesión y el nombre SPN proporcionado DEBE coincidir con el servidor SMB al que se solicita establecer una conexión. Si el cliente no proporciona ningún SPN o el SPN proporcionado no coincide, se deniega la sesión.

Valor predeterminado: Desconectado

Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. Esta configuración afecta al comportamiento del servidor SMB y su implementación debería evaluarse y probarse detenidamente para evitar problemas en las capacidades de servicio a impresoras y archivos. Puede encontrar información adicional acerca de la implementación y el uso de esta configuración para proteger los servidores SMB en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=144505).

Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor

Esta configuración de directiva controla el nivel de validación que realiza un equipo con carpetas o impresoras compartidas (el servidor) en el nombre principal de servicio (SPN) proporcionado por el equipo cliente al establecer una sesión mediante el protocolo Bloque de mensajes del servidor (SMB).

El protocolo Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresoras y otras operaciones de red, como la administración remota de Windows. El protocolo SMB admite la validación del nombre principal de servicio (SPN) del servidor SMB dentro del blob de autenticación proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB que se conocen como ataques de retransmisión SMB. Este valor afectará tanto a SMB1 como a SMB2.

Esta configuración de seguridad determina el nivel de validación que realiza un servidor SMB en el nombre principal de servicio (SPN) proporcionado por el cliente SMB al intentar establecer una sesión en un servidor SMB.

Las opciones son:

Desactivado: el SPN no es necesario o no fue validado por el servidor SMB desde un cliente SMB.

Aceptar si lo proporciona el cliente: el servidor SMB aceptará y validará el SPN proporcionado por el cliente SMB y permitirá que se establezca una sesión si coincide con la lista de SPN del servidor SMB. Si el SPN NO coincide, se denegará la solicitud de sesión para ese cliente SMB.

Requerido del cliente: el cliente SMB DEBE enviar un nombre SPN en la configuración de la sesión y el nombre SPN proporcionado DEBE coincidir con el servidor SMB al que se solicita establecer una conexión. Si el cliente no proporciona ningún SPN o el SPN proporcionado no coincide, se deniega la sesión.

Valor predeterminado: Desconectado

Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. Esta configuración afecta al comportamiento del servidor SMB y su implementación debería evaluarse y probarse detenidamente para evitar problemas en las capacidades de servicio a impresoras y archivos. Puede encontrar información adicional acerca de la implementación y el uso de esta configuración para proteger los servidores SMB en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=144505).