Configuración del cliente SMB para requerir cifrado en Windows
A partir de Windows 11, versión 24H2 y Windows Server 2025, el cliente SMB admite la necesidad de cifrado de todas las conexiones SMB salientes. Los administradores pueden requerir que todos los servidores de destino admitan el cifrado con SMB 3.0 o posterior. En este artículo, obtendrá información sobre cómo configurar el cliente SMB para que requiera cifrado para todas las conexiones salientes.
El cifrado de todas las conexiones de cliente SMB salientes aplica el nivel más alto de seguridad de red y aporta paridad de administración a la firma SMB, lo que permite los requisitos de cliente y servidor. Cuando está habilitado, el cliente SMB no se conectará a un servidor SMB que no admita SMB 3.0 o posterior, o que no admita el cifrado SMB. Por ejemplo, un servidor SMB de terceros podría admitir el cifrado SMB 3.0, pero no SMB.
El cifrado SMB proporciona protección de un extremo a otro de datos SMB frente a ataques de interceptación y snooping. El cliente SMB puede requerir el cifrado por unidad asignada, mediante la protección UNC o en una configuración por máquina, tal como se describe en este artículo. El servidor SMB también puede requerir el cifrado SMB por recurso compartido o para todo el servidor de archivos. Para obtener más información sobre el cifrado SMB para el servidor SMB y la protección UNC, consulte Cifrado SMB.
Requisitos previos
Para poder configurar el cliente SMB para que requiera cifrado, necesita lo siguiente:
- Un cliente SMB que se ejecute en uno de los siguientes sistemas operativos.
- Windows 11, versión 24H2 o posterior.
- Windows Server 2025 o posterior.
- Privilegios administrativos en el equipo.
- Si usa la directiva de grupo en un dominio, necesita privilegios para crear o editar un objeto de directiva de grupo (GPO) y vincularlo a la unidad organizativa (OU) adecuada.
Configuración del mandato de cifrado de SMB mediante la directiva de grupo
Puede configurar el cliente SMB para que requiera siempre el cifrado independientemente del servidor, el recurso compartido, la protección UNC o los requisitos de la unidad asignada. Un administrador puede forzar globalmente a una máquina Windows a usar el cifrado SMB (y, por tanto, SMB 3.x) en todas las conexiones, rechazando conectarse si el servidor SMB tampoco lo admite.
Sugerencia
El cifrado SMB tiene asociada sobrecarga de rendimiento y compatibilidad. La firma de SMB ofrece un mejor rendimiento y protección contra alteraciones, pero no proporciona protección contra snooping. La sustitución del cifrado y la firma ofrecen por completo el mejor rendimiento, pero, por supuesto, no proporciona ninguna seguridad más allá de la autorización de conexión y la protección de integridad de autenticación previa. El cifrado SMB sustituye a la firma SMB y proporciona el mismo nivel de protección contra alteraciones; si el cliente SMB requiere la firma, el cifrado SMB lo desactiva.
Puede configurar el cliente SMB para que requiera cifrado para las conexiones salientes mediante la directiva de grupo o PowerShell.
Aquí se muestra cómo configurar el cliente SMB para que requiera cifrado para todas las conexiones salientes mediante la directiva de grupo.
Para configurar el cliente SMB para el cifrado necesario en todos los servidores SMB (es decir, para las conexiones salientes):
- Abra la Consola de administración de directivas de grupo.
- Edite o cree un objeto de directiva de grupo (GPO) que quiera usar.
- En el árbol de la consola, seleccione Configuración del equipo > Plantillas administrativas > Red > Estación de trabajo Lanman.
- Para la configuración, haga clic con el botón derecho en Requerir cifrado y seleccione Editar.
- Seleccione Habilitar y, luego, Aceptar.
Al establecer la directiva en deshabilitada o no configurada, se quita el requisito de cifrado.
Importante
Tenga cuidado al implementar el cifrado SMB en toda la organización. Los servidores SMB heredados, como Windows Server 2008 R2, no admiten SMB 3.0. En algunos casos, los servidores SMB de terceros antiguos pueden admitir SMB 3.0, pero es posible que no admitan el cifrado.