A assinatura SMB adiciona uma assinatura digital a cada pacote Server Message Block trocado entre seu computador Windows 11 e um servidor de arquivos remoto. Sem a assinatura, um invasor na mesma rede pode injetar pacotes maliciosos em sua sessão SMB, modificar arquivos durante o trânsito ou roubar credenciais. Esse vetor de ataque, conhecido como ataque de relay SMB, pode comprometer toda a sua rede. Este artigo explica como habilitar a assinatura SMB para todas as conexões de saída no Windows 11, por que isso é importante e o que observar após alterar a configuração.
Principais Conclusões: Aplicando Assinatura SMB em Conexões de Saída
- Política de Grupo > Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman > Habilitar logons de convidado inseguros: Desabilitar isso impede o acesso de convidado não assinado a compartilhamentos de arquivos.
- Política de Grupo > Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman > Assinar digitalmente comunicações (sempre): Habilitar isso exige assinatura SMB para cada conexão de saída, bloqueando servidores que não assinam.
- Comando PowerShell Set-SmbClientConfiguration -RequireSecuritySignature $true: Aplica o mesmo requisito de assinatura sem precisar de Política de Grupo, ideal para PCs autônomos.
O que a Assinatura SMB Faz e Por Que Você Precisa Dela
A assinatura SMB carimba cada pacote em uma sessão SMB com uma assinatura criptográfica gerada usando a chave da sessão. O destinatário valida essa assinatura antes de aceitar o pacote. Se o pacote foi adulterado durante o trânsito, a verificação da assinatura falha e a conexão é encerrada.
Sem a assinatura, um invasor com acesso à rede pode interceptar uma conexão SMB, modificar dados em trânsito ou retransmitir a autenticação para outro servidor. Esse é o núcleo dos ataques de relay SMB, contra os quais a Microsoft vem se protegendo há anos. Habilitar a assinatura no lado do cliente força seu PC Windows 11 a rejeitar qualquer servidor que não suporte ou exija assinatura.
Pré-requisitos para Aplicar a Assinatura SMB
Antes de habilitar esta configuração, confirme o seguinte:
- Seus servidores de arquivos devem suportar SMB 2.0 ou superior. O SMB 1.0 está obsoleto e deve ser desabilitado em todos os sistemas.
- Os servidores devem ter a assinatura SMB habilitada neles. Se um servidor não suportar assinatura, seu cliente Windows 11 não conseguirá se conectar a ele após você exigir a assinatura.
- Você precisa de privilégios administrativos na máquina Windows 11 para alterar a política ou executar o comando PowerShell.
- Alguns dispositivos de rede mais antigos, como dispositivos NAS com firmware desatualizado, podem não suportar assinatura SMB. Verifique a compatibilidade antes.
Dois Métodos para Exigir Assinatura SMB em Conexões de Saída
Você pode aplicar a assinatura SMB via Política de Grupo em computadores ingressados em domínio ou via PowerShell em qualquer edição do Windows 11. Ambos os métodos alcançam o mesmo resultado. Escolha o que se adequa ao seu ambiente.
Método 1: Usando Política de Grupo para PCs Ingressados em Domínio
Se seu computador Windows 11 está ingressado em um domínio Active Directory, use o Editor de Política de Grupo Local ou configure um Objeto de Política de Grupo em todo o domínio. A configuração está sob o nó Estação de Trabalho Lanman.
- Abra o Editor de Política de Grupo Local
Pressione Win + R, digite gpedit.msc e pressione Enter. Se você gerencia vários computadores, abra o Console de Gerenciamento de Política de Grupo em um controlador de domínio. - Navegue até a pasta Estação de Trabalho Lanman
Vá para Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman. Esta pasta contém todas as configurações do cliente SMB. - Habilite a política de assinatura
Clique duas vezes em Assinar digitalmente comunicações (sempre). Defina como Habilitado. Clique em OK. Esta configuração força o cliente SMB a exigir assinatura em cada conexão de saída. - Desabilite logons de convidado inseguros
Clique duas vezes em Habilitar logons de convidado inseguros. Defina como Desabilitado. Clique em OK. Isso impede que seu PC se conecte a servidores de arquivos que permitem acesso de convidado sem assinatura. - Aplique a política
Abra um Prompt de Comando como administrador e execute gpupdate /force. As novas configurações entram em vigor imediatamente para novas conexões SMB.
Método 2: Usando PowerShell para PCs Autônomos
Para computadores não ingressados em um domínio, use o cmdlet Set-SmbClientConfiguration para configurar a assinatura SMB diretamente. Este método funciona nas edições Windows 11 Pro, Enterprise e até Home.
- Abra o PowerShell como administrador
Clique com o botão direito no botão Iniciar e selecione Windows Terminal (Admin) ou PowerShell (Admin). Confirme o prompt do Controle de Conta de Usuário. - Verifique a configuração atual de assinatura
Execute Get-SmbClientConfiguration | Select-Object RequireSecuritySignature, EnableInsecureGuestLogon. Observe os valores atuais. Por padrão, RequireSecuritySignature é falso na maioria dos sistemas. - Exija assinatura SMB para todas as conexões de saída
Execute Set-SmbClientConfiguration -RequireSecuritySignature $true -Force. O parâmetro -Force suprime o prompt de confirmação. - Desabilite logons de convidado inseguros
Execute Set-SmbClientConfiguration -EnableInsecureGuestLogon $false -Force. Isso bloqueia conexões a servidores de arquivos que não suportam assinatura. - Verifique as alterações
Execute Get-SmbClientConfiguration | Select-Object RequireSecuritySignature, EnableInsecureGuestLogon novamente. Ambos os valores devem agora mostrar True e False respectivamente.
Problemas Comuns Após Aplicar a Assinatura SMB
Não é possível conectar a um compartilhamento de rede após habilitar a assinatura
Se você de repente não conseguir acessar um servidor de arquivos, o servidor provavelmente não suporta assinatura SMB ou a tem desabilitada. Verifique a configuração de assinatura SMB do servidor. Em um Windows Server, navegue até Server Manager > Tools > Group Policy Management e procure a política em Computer Configuration > Administrative Templates > Network > Lanman Server > Digitally sign communications (always). Habilite-a também no lado do servidor. Para dispositivos NAS de terceiros, consulte a documentação do fornecedor para habilitar a assinatura SMB na interface web do dispositivo.
Erro 0x80070035 ao tentar mapear uma unidade
Este erro indica que um caminho de rede não foi encontrado. Geralmente aparece quando o requisito de assinatura SMB bloqueia a conexão. Confirme que o servidor de destino está acessível pingando seu endereço IP. Se o servidor estiver acessível mas a conexão falhar, o servidor está rejeitando conexões assinadas ou não as suporta. Desabilite temporariamente o requisito de assinatura no cliente para testar: execute Set-SmbClientConfiguration -RequireSecuritySignature $false -Force. Se a conexão funcionar após desabilitar, o servidor precisa ter a assinatura habilitada.
Degradação de desempenho em links de alta latência
A assinatura SMB adiciona uma pequena sobrecarga computacional porque cada pacote deve ser assinado e verificado. Em redes locais com baixa latência, o impacto no desempenho é insignificante. Em conexões de alta latência ou baixa largura de banda, como VPNs ou links via satélite, você pode notar transferências de arquivos mais lentas. Se o desempenho se tornar um problema, considere usar SMB sobre QUIC ou um túnel VPN dedicado em vez de desabilitar a assinatura.
Configurações de Assinatura SMB: Comparação entre Cliente e Servidor
| Item | Lado do Cliente (Saída) | Lado do Servidor (Entrada) |
|---|---|---|
| Descrição | Exige assinatura para todas as conexões SMB de saída | Exige assinatura para todas as conexões SMB de entrada |
| Valor padrão | Desabilitado (RequireSecuritySignature = false) | Desabilitado na maioria das edições |
| Ferramenta de configuração | Política de Grupo ou Set-SmbClientConfiguration | Política de Grupo ou Set-SmbServerConfiguration |
| Cmdlet PowerShell | Set-SmbClientConfiguration | Set-SmbServerConfiguration |
| Efeito na conexão | Cliente rejeita servidores que não assinam | Servidor rejeita clientes que não assinam |
Para a postura de segurança mais forte, habilite a assinatura nos lados do cliente e do servidor. Isso garante que nenhum tráfego SMB possa trafegar sem assinatura em qualquer direção.
Agora você sabe como exigir assinatura SMB para todas as conexões de saída no Windows 11 usando Política de Grupo ou PowerShell. Teste a configuração conectando-se a um compartilhamento de arquivos e verificando se nenhum tráfego não assinado passa entre seu PC e o servidor. Como próximo passo, habilite a assinatura SMB em seus servidores de arquivos usando o cmdlet Set-SmbServerConfiguration com o parâmetro -RequireSecuritySignature $true. Para proteção avançada, combine isso com criptografia SMB, que criptografa toda a carga útil SMB além de assinar cada pacote.