Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
es:it-security:smb-hardening [2023/11/13 13:53] – creado psycorees:it-security:smb-hardening [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
Zeile 1: Zeile 1:
-====== Refuerzo SMB ====== 
  
-===== Antecedentes técnicos del protocolo SMB ===== 
- 
-[[wpde>Server Message Block]] es susceptible a ataques de retransmisión NTLM si los paquetes no están firmados. Este [[it-security:glossary:m:man-in-the-middle|ataque man-in-the-middle]] secuestra las autenticaciones entre clientes y servidores. La autenticación puede utilizarse para iniciar una sesión en el servidor y robar datos. 
-La firma SMB asigna explícitamente cada sesión iniciada al cliente. Esto significa que todavía es posible secuestrar la autenticación, pero se descarta ya que la sesión no está firmada. 
- 
-En SMBv1, la firma SMB está desactivada por defecto. Este protocolo es obsoleto, propenso a errores, inseguro y, en general, debería desactivarse. 
-SMBv2 activa la firma SMB como valor por defecto, pero sólo la utiliza si el servidor o el cliente la requieren como requisito previo. Este no suele ser el caso. 
- 
-^  ^ Servidor ^ ^ ^ 
-^ Cliente ^ Requiere ^ Activado ^ Desactivado (SMBv1) ^ 
-| Requerido | @lightgreen:Firmado | @lightgreen:Firmado | @lightgrey:No soportado | 
-| Activado | @lightgreen:Firmado | @orange:Firmado SMBv1, no firmado SMBv2 | @#FA8258:no firmado | 
-| Desactivado (SMBv1) | @lightgrey:no compatible | @#FA8258:no firmado | @#FA8258:no firmado | 
- 
-Esto significa que la firma SMB debe estar activada en el servidor como requisito previo. 
- 
-===== Procedimiento ===== 
- 
-  * Paso 1 - Desactivar SMBv1 
-  * Paso 2 - Activar opcionalmente la firma SMB en el cliente 
-  * Paso 3 - Forzar la firma SMB en el servidor 
- 
-==== Paso 1 - Desactivar SMBv1 ==== 
- 
-=== Clientes === 
- 
-Los clientes pueden gestionarse mediante el script de inicio de sesión. El estado se puede consultar a través de Powershell (se requieren derechos de administrador) de la siguiente manera: 
- 
-<code powershell>Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol</code> 
- 
-SMBv1 también puede desactivarse mediante Powershell (se requiere reinicio): 
- 
-<code powershell>Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol</code> 
- 
- 
-=== Servidor === 
- 
-Los mismos comandos se aplican a los servidores. El reinicio debe programarse con antelación. 
- 
-==== Paso 2 - Activar opcionalmente la firma SMB en el lado del cliente ==== 
- 
-En el siguiente paso se activa opcionalmente la firma SMB en el lado del cliente. Para ello puede establecerse una directiva de grupo global. 
-Las directrices correspondientes se pueden encontrar aquí: 
- 
-<code> 
-Computerkonfiguration       -> 
- Windows-Einstellungen      ->  
-  Sicherheitseinstellungen  -> 
-   Lokale Richtlinien       -> 
-    Sicherheitsoptionen 
-    </code> 
- 
-{{it-security:gpo-smb1.png?800|}} 
- 
-Alternativamente, la configuración también puede establecerse en el registro. 
- 
-<code reg> 
-Windows Registry Editor Version 5.00 
- 
-[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 
-"EnableSecuritySignature"=dword:00000001 
-"RequireSecuritySignature"=dword:00000000 
-</code> 
- 
-==== Paso 3 - Forzar la firma SMB en el servidor ==== 
- 
-=== Opción 1: mediante política de grupo === 
- 
-<code text> 
-Computerkonfiguration       -> 
- Windows-Einstellungen      ->  
-  Sicherheitseinstellungen  -> 
-   Lokale Richtlinien       -> 
-    Sicherheitsoptionen 
-    </code> 
- 
-{{it-security:gpo-smb2.png?800|}} 
- 
-=== Opción 2: mediante Powershell === 
- 
-== Recuperar estado == 
- 
-<code powershell> 
-Get-SmbClientConfiguration | select RequireSecuritySignature, EnableSecuritySignature 
-Get-SmbServerConfiguration | select RequireSecuritySignature, EnableSecuritySignature 
-</code> 
- 
-== Activar fuerza == 
- 
-<code powershell> 
-Set-SmbClientConfiguration -EnableSecuritySignature $true 
-Set-SmbServerConfiguration -EnableSecuritySignature $true 
-Set-SmbServerConfiguration -RequireSecuritySignature $true 
-Set-SmbClientConfiguration -RequireSecuritySignature $true 
-</code> 
- 
----- 
- 
-Referencias 
- 
-<sup> 
-https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking/overview-server-message-block-signing 
-</sup> 
- 
-<sup> 
-https://en.hackndo.com/ntlm-relay/ 
-</sup>