Como Exigir Assinatura SMB em Todas as Conexões de Saída no Windows 11
🔍 WiseChecker

Como Exigir Assinatura SMB em Todas as Conexões de Saída no Windows 11

A assinatura SMB adiciona uma assinatura digital a cada pacote Server Message Block trocado entre seu computador Windows 11 e um servidor de arquivos remoto. Sem a assinatura, um invasor na mesma rede pode injetar pacotes maliciosos em sua sessão SMB, modificar arquivos durante o trânsito ou roubar credenciais. Esse vetor de ataque, conhecido como ataque de relay SMB, pode comprometer toda a sua rede. Este artigo explica como habilitar a assinatura SMB para todas as conexões de saída no Windows 11, por que isso é importante e o que observar após alterar a configuração.

Principais Conclusões: Aplicando Assinatura SMB em Conexões de Saída

  • Política de Grupo > Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman > Habilitar logons de convidado inseguros: Desabilitar isso impede o acesso de convidado não assinado a compartilhamentos de arquivos.
  • Política de Grupo > Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman > Assinar digitalmente comunicações (sempre): Habilitar isso exige assinatura SMB para cada conexão de saída, bloqueando servidores que não assinam.
  • Comando PowerShell Set-SmbClientConfiguration -RequireSecuritySignature $true: Aplica o mesmo requisito de assinatura sem precisar de Política de Grupo, ideal para PCs autônomos.

ADVERTISEMENT

O que a Assinatura SMB Faz e Por Que Você Precisa Dela

A assinatura SMB carimba cada pacote em uma sessão SMB com uma assinatura criptográfica gerada usando a chave da sessão. O destinatário valida essa assinatura antes de aceitar o pacote. Se o pacote foi adulterado durante o trânsito, a verificação da assinatura falha e a conexão é encerrada.

Sem a assinatura, um invasor com acesso à rede pode interceptar uma conexão SMB, modificar dados em trânsito ou retransmitir a autenticação para outro servidor. Esse é o núcleo dos ataques de relay SMB, contra os quais a Microsoft vem se protegendo há anos. Habilitar a assinatura no lado do cliente força seu PC Windows 11 a rejeitar qualquer servidor que não suporte ou exija assinatura.

Pré-requisitos para Aplicar a Assinatura SMB

Antes de habilitar esta configuração, confirme o seguinte:

  • Seus servidores de arquivos devem suportar SMB 2.0 ou superior. O SMB 1.0 está obsoleto e deve ser desabilitado em todos os sistemas.
  • Os servidores devem ter a assinatura SMB habilitada neles. Se um servidor não suportar assinatura, seu cliente Windows 11 não conseguirá se conectar a ele após você exigir a assinatura.
  • Você precisa de privilégios administrativos na máquina Windows 11 para alterar a política ou executar o comando PowerShell.
  • Alguns dispositivos de rede mais antigos, como dispositivos NAS com firmware desatualizado, podem não suportar assinatura SMB. Verifique a compatibilidade antes.

Dois Métodos para Exigir Assinatura SMB em Conexões de Saída

Você pode aplicar a assinatura SMB via Política de Grupo em computadores ingressados em domínio ou via PowerShell em qualquer edição do Windows 11. Ambos os métodos alcançam o mesmo resultado. Escolha o que se adequa ao seu ambiente.

Método 1: Usando Política de Grupo para PCs Ingressados em Domínio

Se seu computador Windows 11 está ingressado em um domínio Active Directory, use o Editor de Política de Grupo Local ou configure um Objeto de Política de Grupo em todo o domínio. A configuração está sob o nó Estação de Trabalho Lanman.

  1. Abra o Editor de Política de Grupo Local
    Pressione Win + R, digite gpedit.msc e pressione Enter. Se você gerencia vários computadores, abra o Console de Gerenciamento de Política de Grupo em um controlador de domínio.
  2. Navegue até a pasta Estação de Trabalho Lanman
    Vá para Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman. Esta pasta contém todas as configurações do cliente SMB.
  3. Habilite a política de assinatura
    Clique duas vezes em Assinar digitalmente comunicações (sempre). Defina como Habilitado. Clique em OK. Esta configuração força o cliente SMB a exigir assinatura em cada conexão de saída.
  4. Desabilite logons de convidado inseguros
    Clique duas vezes em Habilitar logons de convidado inseguros. Defina como Desabilitado. Clique em OK. Isso impede que seu PC se conecte a servidores de arquivos que permitem acesso de convidado sem assinatura.
  5. Aplique a política
    Abra um Prompt de Comando como administrador e execute gpupdate /force. As novas configurações entram em vigor imediatamente para novas conexões SMB.

Método 2: Usando PowerShell para PCs Autônomos

Para computadores não ingressados em um domínio, use o cmdlet Set-SmbClientConfiguration para configurar a assinatura SMB diretamente. Este método funciona nas edições Windows 11 Pro, Enterprise e até Home.

  1. Abra o PowerShell como administrador
    Clique com o botão direito no botão Iniciar e selecione Windows Terminal (Admin) ou PowerShell (Admin). Confirme o prompt do Controle de Conta de Usuário.
  2. Verifique a configuração atual de assinatura
    Execute Get-SmbClientConfiguration | Select-Object RequireSecuritySignature, EnableInsecureGuestLogon. Observe os valores atuais. Por padrão, RequireSecuritySignature é falso na maioria dos sistemas.
  3. Exija assinatura SMB para todas as conexões de saída
    Execute Set-SmbClientConfiguration -RequireSecuritySignature $true -Force. O parâmetro -Force suprime o prompt de confirmação.
  4. Desabilite logons de convidado inseguros
    Execute Set-SmbClientConfiguration -EnableInsecureGuestLogon $false -Force. Isso bloqueia conexões a servidores de arquivos que não suportam assinatura.
  5. Verifique as alterações
    Execute Get-SmbClientConfiguration | Select-Object RequireSecuritySignature, EnableInsecureGuestLogon novamente. Ambos os valores devem agora mostrar True e False respectivamente.

ADVERTISEMENT

Problemas Comuns Após Aplicar a Assinatura SMB

Não é possível conectar a um compartilhamento de rede após habilitar a assinatura

Se você de repente não conseguir acessar um servidor de arquivos, o servidor provavelmente não suporta assinatura SMB ou a tem desabilitada. Verifique a configuração de assinatura SMB do servidor. Em um Windows Server, navegue até Server Manager > Tools > Group Policy Management e procure a política em Computer Configuration > Administrative Templates > Network > Lanman Server > Digitally sign communications (always). Habilite-a também no lado do servidor. Para dispositivos NAS de terceiros, consulte a documentação do fornecedor para habilitar a assinatura SMB na interface web do dispositivo.

Erro 0x80070035 ao tentar mapear uma unidade

Este erro indica que um caminho de rede não foi encontrado. Geralmente aparece quando o requisito de assinatura SMB bloqueia a conexão. Confirme que o servidor de destino está acessível pingando seu endereço IP. Se o servidor estiver acessível mas a conexão falhar, o servidor está rejeitando conexões assinadas ou não as suporta. Desabilite temporariamente o requisito de assinatura no cliente para testar: execute Set-SmbClientConfiguration -RequireSecuritySignature $false -Force. Se a conexão funcionar após desabilitar, o servidor precisa ter a assinatura habilitada.

Degradação de desempenho em links de alta latência

A assinatura SMB adiciona uma pequena sobrecarga computacional porque cada pacote deve ser assinado e verificado. Em redes locais com baixa latência, o impacto no desempenho é insignificante. Em conexões de alta latência ou baixa largura de banda, como VPNs ou links via satélite, você pode notar transferências de arquivos mais lentas. Se o desempenho se tornar um problema, considere usar SMB sobre QUIC ou um túnel VPN dedicado em vez de desabilitar a assinatura.

Configurações de Assinatura SMB: Comparação entre Cliente e Servidor

Item Lado do Cliente (Saída) Lado do Servidor (Entrada)
Descrição Exige assinatura para todas as conexões SMB de saída Exige assinatura para todas as conexões SMB de entrada
Valor padrão Desabilitado (RequireSecuritySignature = false) Desabilitado na maioria das edições
Ferramenta de configuração Política de Grupo ou Set-SmbClientConfiguration Política de Grupo ou Set-SmbServerConfiguration
Cmdlet PowerShell Set-SmbClientConfiguration Set-SmbServerConfiguration
Efeito na conexão Cliente rejeita servidores que não assinam Servidor rejeita clientes que não assinam

Para a postura de segurança mais forte, habilite a assinatura nos lados do cliente e do servidor. Isso garante que nenhum tráfego SMB possa trafegar sem assinatura em qualquer direção.

Agora você sabe como exigir assinatura SMB para todas as conexões de saída no Windows 11 usando Política de Grupo ou PowerShell. Teste a configuração conectando-se a um compartilhamento de arquivos e verificando se nenhum tráfego não assinado passa entre seu PC e o servidor. Como próximo passo, habilite a assinatura SMB em seus servidores de arquivos usando o cmdlet Set-SmbServerConfiguration com o parâmetro -RequireSecuritySignature $true. Para proteção avançada, combine isso com criptografia SMB, que criptografa toda a carga útil SMB além de assinar cada pacote.

ADVERTISEMENT