La firma SMB (Server Message Block) es una característica de seguridad en Windows 11 que añade una firma digital a los paquetes de datos para verificar su integridad y autenticidad durante las transferencias de archivos en red.
A partir de Windows 11 versi├│n 24H2, la firma SMB es obligatoria por defecto para conexiones salientes y entrantes, protegiendo contra ataques como relay NTLM.
Esta configuraci├│n mejora la seguridad, pero puede causar problemas de compatibilidad con servidores o dispositivos de terceros que no la admiten.
A continuaci├│n, se detalla c├│mo configurar la firma SMB, deshabilitarla si es necesario y solucionar errores comunes. ┬┐Qu├® es Cocreator en Paint? Gu├¡a completa (2025)
┬┐Qu├® es la firma SMB y por qu├® configurarla?
La firma SMB usa algoritmos como HMAC-SHA-256 o AES-CMAC para firmar mensajes, asegurando que no hayan sido alterados en tránsito. En Windows 11, se requiere para todas las conexiones SMB, alineándose con estándares de seguridad para prevenir ataques de intermediario. Para entornos de red confiables, puedes deshabilitarla temporalmente, pero Microsoft recomienda mantenerla activada para proteger datos sensibles.
Ejemplo: Al acceder a un recurso compartido en red, la firma verifica que los datos no hayan sido manipulados, similar a HTTPS para web.
Requisitos previos
- Sistema: Windows 11 versi├│n 24H2 o superior.
- Permisos: Administrador para cambios en directivas o registro.
- Herramientas: Editor de directivas de grupo (gpedit.msc, solo Pro/Enterprise) o PowerShell.
- Red: Acceso a un servidor SMB para probar (puede ser otro PC en la misma red).
| Requisito | Detalles | Verificaci├│n |
|---|---|---|
| Windows | 11 24H2+ | Configuraci├│n > Sistema > Acerca de |
| Permisos | Administrador | Ejecutar como admin |
| Herramientas | gpedit.msc o PowerShell | Disponible en Pro/Enterprise |
Consejo: En Windows 11 Home, usa PowerShell o el Registro, ya que gpedit.msc no está disponible por defecto.
Pasos para configurar la firma SMB
M├®todo 1: Usar el Editor de directivas de grupo (GPO)
Disponible en Windows 11 Pro, Enterprise o Education.
- Abre el Editor de directivas de grupo:
- Presiona Windows + R, escribe
gpedit.mscy presiona Enter.
- Navega a las directivas de SMB:
- Ve a Configuraci├│n del equipo > Configuraci├│n de Windows > Configuraci├│n de seguridad > Directivas locales > Opciones de seguridad.
- Configura la firma del cliente SMB:
- Busca ÔÇ£Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)ÔÇØ.
- Haz doble clic, selecciona Habilitado para requerir firma o Deshabilitado para desactivar.
- Configura la firma del servidor SMB:
- Busca ÔÇ£Servidor de red de Microsoft: Firmar digitalmente todas las comunicacionesÔÇØ.
- Haz doble clic y selecciona Habilitado o Deshabilitado.
- Aplica cambios:
- Cierra el editor y reinicia el PC o ejecuta
gpupdate /forceen CMD como administrador.
- Prueba la conexi├│n:
- Accede a un recurso compartido en red (por ejemplo,
\\IP-del-servidor\carpeta).
Ejemplo: Para deshabilitar la firma en un entorno de red local segura, establece ambas directivas en Deshabilitado y reinicia.
M├®todo 2: Usar PowerShell (para todos los usuarios)
PowerShell permite configurar la firma SMB sin GPO, ├║til en Windows 11 Home.
- Abre PowerShell como administrador:
- Presiona Windows + X > Terminal de Windows (Administrador).
- Deshabilita la firma del cliente SMB:
- Escribe:
Set-SmbClientConfiguration -RequireSecuritySignature $falsey presiona Enter.
- Deshabilita la firma del servidor SMB:
- Escribe:
Set-SmbServerConfiguration -RequireSecuritySignature $falsey presiona Enter.
- Verifica la configuraci├│n:
- Escribe
Get-SmbClientConfigurationyGet-SmbServerConfigurationpara confirmar que RequireSecuritySignature es False.
- Reinicia el PC:
- Los cambios se aplican al reiniciar o con
Restart-Computer.
Ejemplo: En una red dom├®stica con dispositivos antiguos, ejecuta estos comandos para permitir conexiones SMB sin firma.
M├®todo 3: Modificar el Registro de Windows (alternativa)
Si GPO o PowerShell no funcionan, usa el Registro (con precauci├│n).
- Abre el Editor del Registro:
- Presiona Windows + R, escribe
regedity presiona Enter.
- Navega a la clave:
- Ve a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters.
- Crea o modifica valores:
- Haz clic derecho > Nuevo > Valor DWORD (32 bits) llamado ÔÇ£RequireSecuritySignatureÔÇØ y establece su valor en 0 (deshabilitado).
- Para el servidor:
- Ve a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters. - Crea ÔÇ£RequireSecuritySignatureÔÇØ con valor 0.
- Reinicia el PC.
Precauci├│n: Editar el Registro puede causar inestabilidad; crea un punto de restauraci├│n antes.
Verificar la configuraci├│n de firma SMB
- Usa PowerShell:
Get-SmbClientConfiguration | Select RequireSecuritySignature(debe mostrar False si deshabilitado).
- Prueba una conexi├│n:
- Accede a un recurso compartido remoto. Si funciona sin errores como 0x80070035, la firma está configurada correctamente.
- Revisa eventos:
- Abre Visor de eventos > Registros de Windows > Sistema, busca errores relacionados con SMB.
Ejemplo: Si ves ÔÇ£El c├│digo de error de firma criptogr├ífica es inv├ílidoÔÇØ, la firma est├í requerida; deshabil├¡tala con PowerShell.
Beneficios de la firma SMB
- Seguridad: Previene ataques de relay NTLM y alteraciones de datos.
- Integridad: Verifica que los paquetes no hayan sido modificados.
- Compatibilidad: Obligatoria en Windows 11 24H2 para conexiones salientes/entrantes.
Limitaciones y precauciones
- Compatibilidad: Puede bloquear conexiones con servidores de terceros que no admitan firma (error 0x80070035).
- Rendimiento: Añade overhead mínimo, pero deshabilítala solo en redes confiables.
- Auditoría: En Windows 11 24H2, activa auditoría para detectar servidores no compatibles (PowerShell o GPO).
Consejo: En redes dom├®sticas seguras, deshabilitar la firma es aceptable; en empresariales, mantenla activada.
Soluci├│n de problemas comunes
| Problema | Causa | Soluci├│n |
|---|---|---|
| Error 0x80070035 | Firma requerida, servidor no compatible | Deshabilita con PowerShell: Set-SmbClientConfiguration -RequireSecuritySignature $false |
| Conexi├│n denegada | Directiva de firma | Usa GPO o Registro para deshabilitar |
| Firma no se deshabilita | Permisos insuficientes | Ejecuta como administrador |
| Auditoría no funciona | Configuración incorrecta | Verifica GPO en gpedit.msc |
Ejemplo: Si un servidor NAS no se conecta, ejecuta Set-SmbClientConfiguration -RequireSecuritySignature $false y reinicia.
Consejos para 2025
- Mant├®n actualizaciones: Windows 11 24H2 requiere firma SMB por defecto; desact├¡vala solo si es necesario.
- Usa PowerShell para entornos Home: gpedit.msc no está disponible en Home; PowerShell es la alternativa.
- Prueba en red segura: Deshabilita solo en redes locales; mant├®n firma en Wi-Fi p├║blicas.
- Audita conexiones: Activa auditoría para detectar servidores no compatibles.
- Prepárate para Windows 12: Rumores sugieren que la firma SMB será aún más estricta.
Ejemplo: En una red dom├®stica con un NAS antiguo, deshabilita la firma para compatibilidad, pero act├¡vala en oficinas.
Conclusi├│n
Configurar la firma SMB en Windows 11 implica usar GPO, PowerShell o el Registro para habilitar o deshabilitar la firma de paquetes, obligatoria en 24H2 para mayor seguridad. Deshabil├¡tala con Set-SmbClientConfiguration -RequireSecuritySignature $false en redes confiables, pero mant├®nla activada para proteger contra ataques. Verifica con Get-SmbClientConfiguration y prueba conexiones. En 2025, con el fin de soporte de Windows 10, esta configuraci├│n es esencial para redes seguras.
Preguntas frecuentes
- ┬┐La firma SMB es obligatoria en Windows 11?
Sí, por defecto en 24H2 para conexiones salientes/entrantes. - ¿Cómo deshabilitar en Home?
Usa PowerShell:Set-SmbClientConfiguration -RequireSecuritySignature $false. - ┬┐Afecta el rendimiento?
M├¡nimo overhead; deshabil├¡tala solo si causa problemas de compatibilidad. - ┬┐Qu├® hacer si hay errores de firma?
Deshabilita temporalmente y configura el servidor para soportar firma.
