Assinatura SMB desativada: por que ainda permite NTLM relay

O que é assinatura SMB desativada?

Assinatura SMB desativada normalmente significa que clientes Windows, servidores Windows ou ambos não exigem tráfego SMB assinado. Em sistemas Windows modernos, o controle efetivo é RequireSecuritySignature na configuração do cliente SMB e do servidor SMB.

A documentação da Microsoft é clara sobre a função. SMB signing adiciona uma assinatura a cada mensagem SMB usando a chave de sessão e a suíte criptográfica negociada. Se alguém altera a mensagem em trânsito, a assinatura deixa de corresponder. A Microsoft também afirma que essa proteção ajuda contra ataques de relay e spoofing.

Portanto, o problema não é apenas “compartilhamento de arquivos sem assinatura”. Quando a assinatura SMB não é exigida em caminhos onde deveria ser, o ambiente fica mais exposto a intercepção adversary-in-the-middle e oportunidades de NTLM relay.

O escopo deste artigo é SMB 2.x e 3.x em ambientes Windows Active Directory, com foco em exposição a relay, verificação e hardening prático. A assinatura SMB não resolve sozinha toda a superfície de NTLM relay. Mas não exigi-la remove uma proteção de protocolo que a Microsoft documenta contra adulteração e relay em SMB.

Como a assinatura SMB funciona

Segundo a Microsoft, SMB signing usa a chave de sessão e a suíte criptográfica para adicionar uma assinatura à mensagem SMB. A assinatura contém um hash da mensagem completa no cabeçalho SMB. Se a mensagem for alterada durante a transmissão, a verificação falha.

Para SMB 2.x e 3.x, o ponto importante é se a assinatura é obrigatória. A lógica antiga de SMB1 em torno de EnableSecuritySignature não basta. A Microsoft documenta que, para SMB 2.02 e versões posteriores, EnableSecuritySignature é ignorado e o comportamento depende de a assinatura ser exigida.

Essa nuance evita um erro comum: achar que SMB signing está ativo porque existe uma configuração antiga, enquanto a exigência efetiva continua desligada.

Quando a assinatura é realmente usada

O comportamento operacional pode ser resumido assim:

• a assinatura é usada se o cliente SMB a exige
• a assinatura é usada se o servidor SMB a exige
• a assinatura só não é usada quando cliente e servidor não a exigem

O estado vulnerável não é apenas um servidor de arquivos mal configurado. Se nenhum lado recusa sessões sem assinatura, a conexão pode prosseguir sem assinatura.

Por que isso importa no Active Directory

SMB não é apenas compartilhamento de arquivos. Active Directory usa SMB para SYSVOL, NETLOGON, compartilhamentos administrativos e fluxos operacionais entre estações, servidores e controladores de domínio.

A Microsoft observa que controladores de domínio exigem assinatura SMB em caminhos sensíveis como SYSVOL e NETLOGON. Esse padrão existe porque tráfego SMB sem assinatura na infraestrutura de identidade é mais fácil de adulterar ou relayar.

Desativada versus não exigida

Em auditorias, “assinatura SMB desativada” e “assinatura SMB não exigida” costumam aparecer juntas. A diferença técnica é importante.

• Desativada normalmente significa que RequireSecuritySignature está False no cliente, no servidor ou em ambos.
• Não exigida significa que o host pode assinar se o outro lado exigir, mas também pode aceitar uma sessão sem assinatura se ninguém a exigir.

Do ponto de vista de risco, os dois estados podem gerar o mesmo resultado: sessões SMB permitidas sem assinatura.

A pergunta correta não é se uma caixa parece habilitada. A pergunta correta é se o cliente ou o servidor realmente rejeita SMB sem assinatura.

Por que esse risco ainda importa

A Microsoft continua descrevendo SMB signing como defesa contra adulteração, spoofing e relay. Muitos caminhos de relay se tornam práticos quando um serviço aceita autenticação por um canal insuficientemente protegido.

SMB sem assinatura enfraquece o caminho de protocolo

Se cliente e servidor podem negociar uma sessão sem assinatura, um atacante capaz de influenciar o caminho de rede tem mais espaço para interferir no tráfego ou relayar autenticação.

NTLM ainda existe em ambientes reais

Mesmo em organizações que preferem Kerberos, a Microsoft ainda documenta bloqueio de NTLM em SMB como uma medida separada para Windows 11 24H2 e Windows Server 2025. O problema legacy de NTLM continua operacional.

Dispositivos de terceiros frequentemente reduzem a baseline

A Microsoft alerta contra desativar SMB signing como workaround para servidores SMB de terceiros. Se um NAS, scanner ou appliance não suporta assinatura corretamente, trate isso como dívida técnica ou exceção isolada, não como razão para enfraquecer toda a baseline Windows.

Condições que tornam a exposição real

Um achado SMB_SIGNING_DISABLED fica mais relevante quando estas condições se combinam.

1. Nenhum lado exige assinatura em um caminho relevante

O núcleo da exposição é que cliente e servidor SMB podem continuar sem assinatura obrigatória.

2. NTLM ainda está disponível nesse caminho

A Microsoft recomenda Kerberos em vez de NTLMv2 e desencoraja acessos SMB por endereço IP ou padrões de nomes que desviem de Kerberos. SMB sem assinatura combinado com NTLM é uma combinação clássica que facilita relay.

3. O atacante pode influenciar o tráfego

Relay não é mágica remota. O atacante precisa coagir autenticação, posicionar-se em um caminho ou direcionar tráfego para um sistema sob controle dele.

4. Os alvos têm valor operacional

Relay para um compartilhamento irrelevante tem impacto diferente de relay para servidor de gestão, share administrativa ou serviço sensível. Por isso vale revisar Contas Obsoletas e Superprivilegiadas no AD junto com essa finding.

5. Ainda existem clientes, appliances ou fluxos guest legacy

NAS antigos, appliances, scanners e acessos guest costumam ser a razão para a assinatura não ser exigida. Devem ser exceções isoladas e documentadas.

Cadeia de ataque

Um caminho prático com assinatura SMB desativada geralmente se parece com isto.

Etapa 1 - Encontrar um caminho SMB sem assinatura

O atacante identifica uma combinação cliente/servidor na qual nenhum lado exige assinatura.

Etapa 2 - Coagir ou interceptar autenticação

O atacante faz um sistema ou usuário autenticar via SMB em um caminho que pode observar ou influenciar.

Etapa 3 - Relayar a autenticação

Se as demais condições permitirem, a autenticação é relayada para outro serviço SMB ou outro endpoint que aceita essa identidade.

Etapa 4 - Usar o acesso imediatamente

Relay é útil porque não exige quebrar a senha. Se funcionar, o atacante age com os direitos da vítima em tempo real.

Por isso esse achado deve ser lido com Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas. Assinatura SMB desativada não é toda a história, mas é um dos fatores mais claros que tornam SMB relay mais prático.

Detecção

A detecção tem duas partes: configuração e correlação operacional.

Detecção de configuração

A verificação direta é confirmar se cliente ou servidor exige assinatura:

Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature

Se o valor for False, a assinatura não é exigida nesse lado.

Em Group Policy, as configurações relevantes ficam em:

• Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
• Microsoft network client: Digitally sign communications (always)
• Microsoft network server: Digitally sign communications (always)

Isso transforma uma finding genérica em um estado verificável.

Auditar compatibilidade antes de exigir

A Microsoft documenta controles úteis de auditoria em plataformas recentes:

• Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
• Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Os eventos relacionados ficam em:

• Microsoft-Windows-SMBClient/Audit, eventos 31998 e 31999
• Microsoft-Windows-SMBServer/Audit, eventos 3021 e 3022

Eles ajudam a encontrar dependências de terceiros antes de tornar a assinatura obrigatória em larga escala.

Detecção operacional

Se você suspeita de abuso real, correlacione:

• hosts onde a assinatura não é exigida
• tráfego SMB com uso pesado de NTLM
• padrões de relay cobertos em Monitoramento de Seguranca AD: Os Eventos que Importam
• acessos inesperados a shares administrativas ou sensíveis
• acessos SMB por IP ou nomes que evitam Kerberos

Não existe um único evento Windows que prove “NTLM relay por assinatura SMB desativada”. O modelo correto é identificar o caminho sem assinatura e correlacionar autenticação e acesso ao redor dele.

Remediação

A mitigação principal é exigir SMB signing onde deve ser exigido e reduzir comportamentos adjacentes que mantêm relay viável.

1. Exigir assinatura SMB nos dois lados quando possível

A Microsoft documenta os comandos:

Set-SmbClientConfiguration -RequireSecuritySignature $true
Set-SmbServerConfiguration -RequireSecuritySignature $true

No nível de política, os controles são:

• Microsoft network client: Digitally sign communications (always)
• Microsoft network server: Digitally sign communications (always)

Se você controla clientes e servidores Windows, esta é a baseline mais limpa.

2. Não normalizar incompatibilidade de terceiros

Se um dispositivo não suporta assinatura, documente, isole e planeje mitigação. Não reduza a baseline Windows global por causa de uma exceção.

3. Preferir Kerberos e reduzir caminhos NTLM

A Microsoft recomenda Kerberos em vez de NTLMv2, evitar shares por IP e evitar nomes que empurrem SMB para NTLM. Esses detalhes reduzem a chance de um caminho SMB fraco virar relay prático. A higiene de senhas também importa, por isso Seguranca de Senhas no Active Directory faz parte da mesma revisão.

4. Usar recursos SMB recentes quando a plataforma suportar

A Microsoft fortaleceu defaults e controles:

• Windows 11 24H2 Enterprise, Pro e Education exigem assinatura SMB de entrada e saída
• Windows Server 2025 exige assinatura SMB de saída por padrão
• Windows 11 24H2 e Windows Server 2025 adicionam auditoria de SMB signing
• Windows 11 24H2 e Windows Server 2025 adicionam bloqueio NTLM no cliente SMB

Hardening não é apenas uma configuração antiga. Em plataformas recentes, é possível auditar primeiro e reduzir NTLM com menos incerteza.

5. Revisar guest access e legacy separadamente

A Microsoft afirma que exigir SMB signing também desativa acesso guest a shares. Se um processo de negócio ainda depende de guest access, isso deve ser isolado e revisado como exceção.

6. Revisar administradores locais nos mesmos hosts

SMB sem assinatura é mais perigoso quando os mesmos hosts também compartilham senhas de administrador local. Revise também Windows LAPS não implantado.

7. Conectar com revisões de NTLM relay

Se SMB signing está desativado, revise também:

• Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas
• Auditar a segurança do Active Directory: checklist prática
• Monitoramento de Seguranca AD: Os Eventos que Importam

O controle é mais útil quando faz parte de um programa de redução de relay, não como um valor isolado.

Validação após hardening

Depois de mudar política, valide o estado real.

• executar Get-SmbClientConfiguration e Get-SmbServerConfiguration para confirmar RequireSecuritySignature = True
• verificar se as GPOs efetivas correspondem à baseline
• ativar eventos de auditoria antes de mudanças amplas se houver dependências de terceiros
• identificar dispositivos que não suportam assinatura
• remover ou isolar fluxos guest ou sem assinatura legacy
• procurar acessos SMB por IP, aliases problemáticos e caminhos SMB com muito NTLM
• incluir o controle em Auditar a segurança do Active Directory: checklist prática

O sucesso não é uma captura de tela de GPO. O sucesso é que clientes e servidores recusam SMB sem assinatura onde relay teria impacto.

Como a EtcSec detecta exposição relacionada

A EtcSec pode modelar esse risco diretamente porque SMB_SIGNING_DISABLED é uma finding concreta de hardening de rede.

Os vínculos mais úteis são:

• SMB_SIGNING_DISABLED para sistemas que aceitam SMB sem assinatura
• NTLM_RELAY_OPPORTUNITY quando pré-requisitos de relay permanecem
• controles AD relacionados a monitoramento, contas privilegiadas e caminhos NTLM

Por isso o tema deve ser lido com Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas e Auditar a segurança do Active Directory: checklist prática, não só como guia genérico de file server.

Controles relacionados

Ao revisar assinatura SMB desativada, revise também Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas, Monitoramento de Seguranca AD: Os Eventos que Importam, Auditar a segurança do Active Directory: checklist prática, Seguranca de Senhas no Active Directory, Windows LAPS não implantado, Contas Obsoletas e Superprivilegiadas no AD e Comparação de ferramentas de auditoria AD. Esses artigos cobrem coerção, relay e monitoramento ao redor de SMB sem assinatura.

Referências principais

• Microsoft Learn: What is Server Message Block signing?
• Microsoft Learn: Control SMB signing behavior
• Microsoft Learn: Protect SMB traffic from interception
• Microsoft Learn: SMB security hardening
• Microsoft Learn: Block NTLM connections on SMB