📢 Estás en el blog oficial de MicroEspana.com. Para comprar licencias de Microsoft, visita nuestra tienda → Ir a la Tienda
📢 Estás en el blog oficial de MicroEspana.com. Para comprar licencias de Microsoft, visita nuestra tienda → Ir a la Tienda
la firma SMB en Windows 11

¿Cómo configurar la firma SMB en Windows 11?

by

La firma SMB (Server Message Block) es una característica de seguridad en Windows 11 que añade una firma digital a los paquetes de datos para verificar su integridad y autenticidad durante las transferencias de archivos en red.

A partir de Windows 11 versión 24H2, la firma SMB es obligatoria por defecto para conexiones salientes y entrantes, protegiendo contra ataques como relay NTLM.

Esta configuración mejora la seguridad, pero puede causar problemas de compatibilidad con servidores o dispositivos de terceros que no la admiten.

A continuación, se detalla cómo configurar la firma SMB, deshabilitarla si es necesario y solucionar errores comunes. ¿Qué es Cocreator en Paint? Guía completa (2025)

¿Qué es la firma SMB y por qué configurarla?

La firma SMB usa algoritmos como HMAC-SHA-256 o AES-CMAC para firmar mensajes, asegurando que no hayan sido alterados en tránsito. En Windows 11, se requiere para todas las conexiones SMB, alineándose con estándares de seguridad para prevenir ataques de intermediario. Para entornos de red confiables, puedes deshabilitarla temporalmente, pero Microsoft recomienda mantenerla activada para proteger datos sensibles.

Ejemplo: Al acceder a un recurso compartido en red, la firma verifica que los datos no hayan sido manipulados, similar a HTTPS para web.

BUY Windows 11 pro Retail 1Pc Licencia Digital

Requisitos previos

  • Sistema: Windows 11 versión 24H2 o superior.
  • Permisos: Administrador para cambios en directivas o registro.
  • Herramientas: Editor de directivas de grupo (gpedit.msc, solo Pro/Enterprise) o PowerShell.
  • Red: Acceso a un servidor SMB para probar (puede ser otro PC en la misma red).
RequisitoDetallesVerificación
Windows11 24H2+Configuración > Sistema > Acerca de
PermisosAdministradorEjecutar como admin
Herramientasgpedit.msc o PowerShellDisponible en Pro/Enterprise

Consejo: En Windows 11 Home, usa PowerShell o el Registro, ya que gpedit.msc no está disponible por defecto.

Pasos para configurar la firma SMB

Método 1: Usar el Editor de directivas de grupo (GPO)

Disponible en Windows 11 Pro, Enterprise o Education.

  1. Abre el Editor de directivas de grupo:
  • Presiona Windows + R, escribe gpedit.msc y presiona Enter.
  1. Navega a las directivas de SMB:
  • Ve a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.
  1. Configura la firma del cliente SMB:
  • Busca “Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)”.
  • Haz doble clic, selecciona Habilitado para requerir firma o Deshabilitado para desactivar.
  1. Configura la firma del servidor SMB:
  • Busca “Servidor de red de Microsoft: Firmar digitalmente todas las comunicaciones”.
  • Haz doble clic y selecciona Habilitado o Deshabilitado.
  1. Aplica cambios:
  • Cierra el editor y reinicia el PC o ejecuta gpupdate /force en CMD como administrador.
  1. Prueba la conexión:
  • Accede a un recurso compartido en red (por ejemplo, \\IP-del-servidor\carpeta).

Ejemplo: Para deshabilitar la firma en un entorno de red local segura, establece ambas directivas en Deshabilitado y reinicia.

¿Cómo configurar la firma SMB en Windows 11?

Método 2: Usar PowerShell (para todos los usuarios)

PowerShell permite configurar la firma SMB sin GPO, útil en Windows 11 Home.

  1. Abre PowerShell como administrador:
  • Presiona Windows + X > Terminal de Windows (Administrador).
  1. Deshabilita la firma del cliente SMB:
  • Escribe: Set-SmbClientConfiguration -RequireSecuritySignature $false y presiona Enter.
  1. Deshabilita la firma del servidor SMB:
  • Escribe: Set-SmbServerConfiguration -RequireSecuritySignature $false y presiona Enter.
  1. Verifica la configuración:
  • Escribe Get-SmbClientConfiguration y Get-SmbServerConfiguration para confirmar que RequireSecuritySignature es False.
  1. Reinicia el PC:
  • Los cambios se aplican al reiniciar o con Restart-Computer.

Ejemplo: En una red doméstica con dispositivos antiguos, ejecuta estos comandos para permitir conexiones SMB sin firma.

Método 3: Modificar el Registro de Windows (alternativa)

Si GPO o PowerShell no funcionan, usa el Registro (con precaución).

  1. Abre el Editor del Registro:
  • Presiona Windows + R, escribe regedit y presiona Enter.
  1. Navega a la clave:
  • Ve a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters.
  1. Crea o modifica valores:
  • Haz clic derecho > Nuevo > Valor DWORD (32 bits) llamado “RequireSecuritySignature” y establece su valor en 0 (deshabilitado).
  1. Para el servidor:
  • Ve a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters.
  • Crea “RequireSecuritySignature” con valor 0.
  1. Reinicia el PC.

Precaución: Editar el Registro puede causar inestabilidad; crea un punto de restauración antes.

Verificar la configuración de firma SMB

  1. Usa PowerShell:
  • Get-SmbClientConfiguration | Select RequireSecuritySignature (debe mostrar False si deshabilitado).
  1. Prueba una conexión:
  • Accede a un recurso compartido remoto. Si funciona sin errores como 0x80070035, la firma está configurada correctamente.
  1. Revisa eventos:
  • Abre Visor de eventos > Registros de Windows > Sistema, busca errores relacionados con SMB.

Ejemplo: Si ves “El código de error de firma criptográfica es inválido”, la firma está requerida; deshabilítala con PowerShell.

Beneficios de la firma SMB

  • Seguridad: Previene ataques de relay NTLM y alteraciones de datos.
  • Integridad: Verifica que los paquetes no hayan sido modificados.
  • Compatibilidad: Obligatoria en Windows 11 24H2 para conexiones salientes/entrantes.

Limitaciones y precauciones

  • Compatibilidad: Puede bloquear conexiones con servidores de terceros que no admitan firma (error 0x80070035).
  • Rendimiento: Añade overhead mínimo, pero deshabilítala solo en redes confiables.
  • Auditoría: En Windows 11 24H2, activa auditoría para detectar servidores no compatibles (PowerShell o GPO).

Consejo: En redes domésticas seguras, deshabilitar la firma es aceptable; en empresariales, mantenla activada.

Solución de problemas comunes

ProblemaCausaSolución
Error 0x80070035Firma requerida, servidor no compatibleDeshabilita con PowerShell: Set-SmbClientConfiguration -RequireSecuritySignature $false
Conexión denegadaDirectiva de firmaUsa GPO o Registro para deshabilitar
Firma no se deshabilitaPermisos insuficientesEjecuta como administrador
Auditoría no funcionaConfiguración incorrectaVerifica GPO en gpedit.msc

Ejemplo: Si un servidor NAS no se conecta, ejecuta Set-SmbClientConfiguration -RequireSecuritySignature $false y reinicia.

Consejos para 2025

  1. Mantén actualizaciones: Windows 11 24H2 requiere firma SMB por defecto; desactívala solo si es necesario.
  2. Usa PowerShell para entornos Home: gpedit.msc no está disponible en Home; PowerShell es la alternativa.
  3. Prueba en red segura: Deshabilita solo en redes locales; mantén firma en Wi-Fi públicas.
  4. Audita conexiones: Activa auditoría para detectar servidores no compatibles.
  5. Prepárate para Windows 12: Rumores sugieren que la firma SMB será aún más estricta.

Ejemplo: En una red doméstica con un NAS antiguo, deshabilita la firma para compatibilidad, pero actívala en oficinas.

Conclusión

Configurar la firma SMB en Windows 11 implica usar GPO, PowerShell o el Registro para habilitar o deshabilitar la firma de paquetes, obligatoria en 24H2 para mayor seguridad. Deshabilítala con Set-SmbClientConfiguration -RequireSecuritySignature $false en redes confiables, pero manténla activada para proteger contra ataques. Verifica con Get-SmbClientConfiguration y prueba conexiones. En 2025, con el fin de soporte de Windows 10, esta configuración es esencial para redes seguras.

Preguntas frecuentes

  • ¿La firma SMB es obligatoria en Windows 11?
    Sí, por defecto en 24H2 para conexiones salientes/entrantes.
  • ¿Cómo deshabilitar en Home?
    Usa PowerShell: Set-SmbClientConfiguration -RequireSecuritySignature $false.
  • ¿Afecta el rendimiento?
    Mínimo overhead; deshabilítala solo si causa problemas de compatibilidad.
  • ¿Qué hacer si hay errores de firma?
    Deshabilita temporalmente y configura el servidor para soportar firma.

Leave a Comment

© 2025 Microespana.es • Hecho con ❤️ por Microespana

política de privacidad

Términos

Contacto