Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarWindows 11 requerirá la firma SMB para evitar ataques de retransmisión NTLM
Microsoft dice que la firma SMB (también conocida como firmas de seguridad) será necesaria de forma predeterminada para todas las conexiones para defenderse de los ataques de retransmisión NTLM, comenzando con la versión actual de Windows (edición Enterprise) que se implementará en Insiders en Canary Channel.
En tales ataques, los actores de amenazas obligan a los dispositivos de red (incluidos los controladores de dominio) a autenticarse contra servidores maliciosos bajo el control de los atacantes para hacerse pasar por ellos y elevar los privilegios para obtener un control completo sobre el dominio de Windows.
"Esto cambia el comportamiento heredado, donde Windows 10 y 11 requerían la firma SMB de forma predeterminada solo cuando se conectaban a recursos compartidos llamados SYSVOL y NETLOGON y donde los controladores de dominio de Active Directory requerían la firma SMB cuando cualquier cliente se conectaba a ellos", dijo Microsoft.
La firma SMB ayuda a bloquear las solicitudes de autenticación maliciosas al confirmar las identidades del remitente y el destinatario a través de firmas y hashes incrustados al final de cada mensaje.
Los servidores SMB y los recursos compartidos remotos donde la firma SMB está deshabilitada generarán errores de conexión con varios mensajes, incluidos "La firma criptográfica no es válida", "STATUS_INVALID_SIGNATURE", "0xc000a000" o "-1073700864".
Este mecanismo de seguridad ha estado disponible desde hace un tiempo, comenzando con Windows 98 y 2000, y se actualizó en Windows 11 y Windows Server 2022 para mejorar el rendimiento y la protección al acelerar significativamente el cifrado de datos.
Si bien el bloqueo de los ataques de retransmisión NTLM debe estar en la parte superior de la lista para cualquier equipo de seguridad, los administradores de Windows pueden tener problemas con este enfoque, ya que podría reducir las velocidades de copia de SMB.
"La firma de SMB puede reducir el rendimiento de las operaciones de copia de SMB. Puede mitigar esto con más núcleos de CPU físicos o CPU virtuales, así como con CPU más nuevas y más rápidas", advirtió Microsoft.
Sin embargo, los administradores tienen la opción de deshabilitar el requisito de firma SMB en las conexiones de servidor y cliente ejecutando los siguientes comandos desde una terminal de Windows PowerShell con privilegios elevados:
Si bien no es necesario reiniciar el sistema después de emitir estos comandos, las conexiones SMB ya abiertas seguirán usando la firma hasta que se cierren.
"Se espera que este cambio predeterminado para la firma llegue a Pro, Education y otras ediciones de Windows en los próximos meses, así como a Windows Server. Dependiendo de cómo vayan las cosas en Insiders, luego comenzará a aparecer en las versiones principales". dijo el Gerente Principal de Programas de Microsoft, Ned Pyle.
El anuncio de hoy es parte de un movimiento más amplio para mejorar la seguridad de Windows y Windows Server, como se mostró durante el año pasado.
En abril de 2022, Microsoft anunció la fase final de deshabilitar SMB1 en Windows al deshabilitar el protocolo de intercambio de archivos de 30 años de forma predeterminada para Windows 11 Home Insiders.
Cinco meses después, la empresa anunció una mejor protección contra los ataques de fuerza bruta con la introducción de un limitador de tasa de autenticación SMB para hacer frente a los intentos de autenticación NTLM entrantes fallidos.
Windows 11 te permitirá ver fotos del teléfono en el Explorador de archivos
Windows 11 finalmente obtiene un modo 'nunca combinar botones de la barra de tareas'
Microsoft prueba el panel de detalles de Explorer mejorado, Windows Spotlight
Microsoft habilita la protección LSA de forma predeterminada en la compilación de Windows Canary
Windows 11 Moment 3 manos a la obra, aquí está todo lo nuevo