EtcSecBeta
🏢Active DirectoryNetworkMonitoringConfig

Firma SMB deshabilitada: por qué aún permite NTLM relay

La firma SMB deshabilitada, o no obligatoria, sigue dejando tráfico Windows expuesto a manipulación y NTLM relay. Aprende cómo verificar RequireSecuritySignature y endurecer SMB sin romper dependencias legacy a ciegas.

ES
EtcSec Security Team
11 min read
Firma SMB deshabilitada: por qué aún permite NTLM relay

¿Qué significa tener la firma SMB deshabilitada?

Firma SMB deshabilitada suele significar que los clientes Windows, los servidores Windows o ambos no exigen que el tráfico SMB esté firmado. En sistemas Windows modernos, el control efectivo es RequireSecuritySignature en la configuración del cliente SMB y del servidor SMB.

La documentación de Microsoft explica la función con precisión. SMB signing añade una firma a cada mensaje SMB usando la clave de sesión y el conjunto criptográfico negociado. Si alguien modifica el mensaje en tránsito, la firma deja de coincidir. Microsoft también indica que esta protección ayuda frente a ataques de relay y spoofing.

Por eso el problema no es solo “compartición de archivos sin firma”. Cuando la firma SMB no es obligatoria en rutas donde debería serlo, el entorno queda más expuesto a intercepción adversary-in-the-middle y a oportunidades de NTLM relay.

El alcance de este artículo es SMB 2.x y 3.x en entornos Windows Active Directory, con foco en exposición a relay, verificación y endurecimiento práctico. La firma SMB no resuelve por sí sola toda la superficie NTLM relay. Pero no exigirla elimina una protección de protocolo que Microsoft documenta específicamente contra manipulación y relay en SMB.

Cómo funciona la firma SMB

Microsoft describe SMB signing como una característica que usa la clave de sesión y la suite criptográfica para añadir una firma al mensaje SMB. La firma contiene un hash del mensaje completo en la cabecera SMB. Si el mensaje cambia durante la transmisión, la comprobación falla.

Para SMB 2.x y 3.x, lo importante es si la firma es obligatoria. La lógica antigua de SMB1 alrededor de EnableSecuritySignature no basta. Microsoft documenta que, para SMB 2.02 y posteriores, EnableSecuritySignature se ignora y la firma depende de si se exige o no.

Esta diferencia evita un error común: asumir que SMB signing está activo porque existe un parámetro heredado, aunque la exigencia efectiva siga desactivada.

Cuándo se usa realmente la firma

El comportamiento operativo se resume así:

  • se usa la firma si el cliente SMB la exige
  • se usa la firma si el servidor SMB la exige
  • no se usa la firma solo cuando cliente y servidor no la exigen

El estado vulnerable no se limita a un único servidor de archivos mal configurado. Si ninguna de las dos partes rechaza sesiones sin firma, la conexión puede continuar sin firmarse.

Por qué importa en Active Directory

SMB no es solo un protocolo de archivos. Active Directory lo usa para SYSVOL, NETLOGON, recursos administrativos y flujos operativos entre estaciones, servidores y controladores de dominio.

Microsoft señala que los controladores de dominio exigen firma SMB por defecto para rutas sensibles como SYSVOL y NETLOGON. Ese diseño existe porque el tráfico SMB sin firma en infraestructura de identidad es mucho más fácil de manipular o relayar.

Deshabilitada frente a no obligatoria

En auditorías, “firma SMB deshabilitada” y “firma SMB no obligatoria” se mezclan a menudo. La diferencia técnica importa.

  • Deshabilitada suele indicar que RequireSecuritySignature está en False en el cliente, el servidor o ambos.
  • No obligatoria significa que el host puede firmar si la otra parte lo exige, pero también puede aceptar una sesión sin firma si nadie la exige.

Desde el punto de vista del riesgo, ambos estados pueden producir el mismo resultado: sesiones SMB permitidas sin firma.

La pregunta correcta no es si una casilla parece activada. La pregunta correcta es si el cliente o el servidor rechaza realmente SMB sin firmar.

Por qué este riesgo sigue siendo relevante

Microsoft sigue describiendo SMB signing como una defensa frente a manipulación, spoofing y relay. Muchas rutas de relay se vuelven prácticas cuando un servicio acepta autenticación a través de un canal insuficientemente protegido.

SMB sin firma debilita el camino de protocolo

Si cliente y servidor pueden negociar una sesión sin firma, un atacante con capacidad de influir en la ruta de red tiene más margen para interferir con el tráfico o relayar autenticación.

NTLM sigue existiendo en entornos reales

Aunque muchas organizaciones empujan Kerberos, Microsoft sigue documentando el bloqueo de NTLM en SMB como una medida independiente para Windows 11 24H2 y Windows Server 2025. El problema legacy de NTLM sigue siendo operativo.

Dispositivos de terceros suelen rebajar la baseline

Microsoft advierte contra deshabilitar SMB signing como workaround para servidores SMB de terceros. Si un NAS, escáner o appliance no soporta firma correctamente, debe tratarse como deuda técnica o excepción aislada, no como razón para debilitar toda la configuración Windows.

Condiciones que convierten el hallazgo en riesgo real

Un hallazgo SMB_SIGNING_DISABLED importa más cuando se combinan estas condiciones.

1. Ninguna parte exige firma en una ruta relevante

El núcleo de la exposición es que cliente y servidor SMB pueden continuar sin exigir firmas.

2. NTLM sigue disponible en esa ruta

Microsoft recomienda Kerberos en lugar de NTLMv2 y desaconseja accesos SMB por dirección IP o patrones de nombres que empujen la autenticación fuera de Kerberos. SMB sin firma combinado con NTLM es una combinación clásica que facilita relay.

3. El atacante puede influir en el tráfico

Relay no es magia remota. El atacante debe poder coaccionar autenticación, colocarse en una ruta o dirigir tráfico hacia un sistema bajo su control.

4. Los recursos objetivo tienen valor

Relayar contra un recurso irrelevante no tiene el mismo impacto que relayar hacia un servidor de administración, un recurso administrativo o un servicio sensible. Por eso conviene revisar también Cuentas Obsoletas y Sobreprivilegiadas en AD.

5. Todavía existen clientes, appliances o flujos guest legacy

NAS antiguos, appliances, escáneres y flujos guest suelen ser la razón de que la firma no sea obligatoria. Deben tratarse como excepciones diseñadas y aisladas.

Cadena de ataque

Una ruta práctica alrededor de firma SMB deshabilitada suele verse así.

Paso 1 - Encontrar una ruta SMB sin firma

El atacante identifica una combinación cliente-servidor en la que ninguna parte exige firma.

Paso 2 - Coaccionar o interceptar autenticación

El atacante provoca que un sistema o usuario se autentique por SMB en una ruta que puede observar o influir.

Paso 3 - Relayar la autenticación

Si el resto de condiciones lo permite, la autenticación se relaya hacia otro servicio SMB u otro endpoint que acepta esa identidad.

Paso 4 - Usar el acceso inmediatamente

El relay es útil porque no requiere crackear la contraseña. Si tiene éxito, el atacante opera con los derechos de la víctima en tiempo real.

Por eso este hallazgo debe leerse junto a Ataques NTLM Relay: Deteccion y Prevencion. La firma SMB deshabilitada no es toda la historia, pero es uno de los factores más claros que hacen más realista el relay SMB.

Detección

La detección tiene dos partes: configuración y correlación operativa.

Detección de configuración

La comprobación directa es verificar si cliente o servidor exige firma:

Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature

Si el valor es False, la firma no es obligatoria en ese lado.

En Group Policy, los parámetros relevantes están en:

  • Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
  • Microsoft network client: Digitally sign communications (always)
  • Microsoft network server: Digitally sign communications (always)

Esto convierte un hallazgo genérico en un estado verificable.

Auditar compatibilidad antes de exigir

Microsoft documenta controles de auditoría útiles en plataformas recientes:

  • Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
  • Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Los eventos relacionados se registran en:

  • Microsoft-Windows-SMBClient/Audit, eventos 31998 y 31999
  • Microsoft-Windows-SMBServer/Audit, eventos 3021 y 3022

Son útiles para descubrir dependencias de terceros antes de exigir firma de forma amplia.

Detección operativa

Si sospechas abuso real, correlaciona:

  • hosts donde la firma no es obligatoria
  • tráfico SMB con alta dependencia de NTLM
  • patrones de relay cubiertos en Supervision Seguridad AD: Event IDs y SIEM
  • accesos inesperados a recursos administrativos o sensibles
  • accesos SMB por IP o nombres que evitan Kerberos

No existe un evento Windows único que pruebe “NTLM relay por firma SMB deshabilitada”. El modelo correcto es identificar la ruta sin firma y correlacionarla con autenticación y acceso.

Remediación

La mitigación principal es exigir SMB signing donde debe exigirse y reducir los comportamientos que mantienen viable el relay.

1. Exigir firma SMB en ambos lados cuando sea posible

Microsoft documenta estos comandos:

Set-SmbClientConfiguration -RequireSecuritySignature $true
Set-SmbServerConfiguration -RequireSecuritySignature $true

A nivel de política, los controles son:

  • Microsoft network client: Digitally sign communications (always)
  • Microsoft network server: Digitally sign communications (always)

Si controlas clientes y servidores Windows, esta es la baseline más limpia.

2. No normalizar incompatibilidades de terceros

Si un dispositivo no soporta firma, documenta la excepción, aíslala y planifica reemplazo o mitigación. No reduzcas la baseline Windows global para todo el estate.

3. Preferir Kerberos y reducir rutas NTLM

Microsoft recomienda usar Kerberos en lugar de NTLMv2, evitar accesos a shares por IP y evitar nombres que empujen SMB hacia NTLM. Estos detalles reducen la probabilidad de que una ruta SMB débil se convierta en relay práctico. La higiene de contraseñas también importa, por eso Seguridad de contrasenas AD: malas configuraciones que siguen abriendo el dominio pertenece a la misma revisión.

4. Usar funciones SMB recientes si la plataforma lo permite

Microsoft endureció defaults y controles recientes:

  • Windows 11 24H2 Enterprise, Pro y Education exigen firma SMB entrante y saliente
  • Windows Server 2025 exige firma SMB saliente por defecto
  • Windows 11 24H2 y Windows Server 2025 agregan auditoría de SMB signing
  • Windows 11 24H2 y Windows Server 2025 agregan bloqueo NTLM en cliente SMB

La mitigación no es solo un parámetro antiguo. En plataformas recientes se puede auditar primero y reducir NTLM con menos incertidumbre.

5. Revisar guest access y dependencias legacy por separado

Microsoft indica que exigir SMB signing también deshabilita guest access a shares. Si un flujo de negocio todavía depende de acceso guest, debe aislarse y revisarse como excepción.

6. Revisar administradores locales en los mismos sistemas

SMB sin firma es más peligroso si los mismos hosts comparten credenciales de administrador local. Revisa también Windows LAPS no implementado.

7. Conectarlo con revisiones de NTLM relay

Si SMB signing está deshabilitado, revisa también:

El control es más útil cuando forma parte de un programa de reducción de relay, no como valor aislado.

Validación tras el endurecimiento

Después de cambiar política, valida el estado real.

  • ejecutar Get-SmbClientConfiguration y Get-SmbServerConfiguration para confirmar RequireSecuritySignature = True
  • comprobar que las GPO efectivas coinciden con la baseline
  • activar eventos de auditoría antes de forzar cambios amplios si hay dependencias de terceros
  • identificar dispositivos que no soportan firma
  • retirar o aislar flujos guest o sin firma antiguos
  • revisar accesos por IP, alias problemáticos y rutas SMB con mucho NTLM
  • incluir el control en Auditar la seguridad de Active Directory: checklist práctica

El éxito no es una captura de GPO. El éxito es que clientes y servidores rechazan SMB sin firma donde el relay tendría impacto.

Cómo EtcSec detecta exposición relacionada

EtcSec puede modelar este riesgo directamente porque SMB_SIGNING_DISABLED es un hallazgo concreto de endurecimiento de red.

Los enlaces de catálogo más útiles son:

  • SMB_SIGNING_DISABLED para sistemas que aceptan SMB sin firma
  • NTLM_RELAY_OPPORTUNITY cuando los prerrequisitos de relay siguen presentes
  • controles AD relacionados con monitorización, cuentas privilegiadas y rutas NTLM

Por eso este tema va junto a Ataques NTLM Relay: Deteccion y Prevencion y Auditar la seguridad de Active Directory: checklist práctica, no solo junto a una guía genérica de servidor de archivos.

Controles relacionados

Al revisar firma SMB deshabilitada, revisa también Ataques NTLM Relay: Deteccion y Prevencion, Supervision Seguridad AD: Event IDs y SIEM, Auditar la seguridad de Active Directory: checklist práctica, Seguridad de contrasenas AD: malas configuraciones que siguen abriendo el dominio, Windows LAPS no implementado, Cuentas Obsoletas y Sobreprivilegiadas en AD y Comparativa de herramientas de auditoría AD. Estos artículos cubren coerción, relay y monitorización alrededor de SMB sin firma.

Referencias principales

🏢 Active DirectoryNetworkMonitoringConfig
Firma SMB deshabilitada: riesgo NTLM relay y mitigación | EtcSec