Alterar o nível de criptografia do compartilhamento de arquivos no Windows

O recurso de compartilhamento de arquivos do Windows permite trocar arquivos e usar impressoras em uma rede local. Por padrão, o Windows usa criptografia de 128 bits para conexões locais, mas é possível alterar esse nível quando necessário para compatibilidade com equipamentos mais antigos.

Por que reduzir ou aumentar o nível de criptografia?

128-bit é o padrão e é mais seguro. No entanto, alguns equipamentos antigos podem suportar apenas 56-bit ou 40-bit (algoritmos DES legados). Se um dispositivo remoto exigir um nível inferior, o compartilhamento falhará até que a configuração seja ajustada.

Quando reduzir a criptografia pode ser necessário:

• Integrar antiguidades como scanners, impressoras ou NAS antigos.
• Sistemas legados em redes isoladas onde a atualização do firmware não é possível.

Riscos ao reduzir:

• 40/56-bit são considerados frágeis hoje. Use somente em redes confiáveis e temporariamente.
• Sistemas expostos à Internet NUNCA devem operar com criptografia fraca.

Veja também: tipos comuns de criptografia para entender a diferença entre 40/56/128 bits.

Como alterar pelo Painel de Controle — Configurações Avançadas de Compartilhamento

Siga estes passos para alterar o nível usando as opções do Windows:

1. Abra o menu Iniciar e digite “Configurações avançadas de compartilhamento”.
2. Clique em “Gerenciar Configurações Avançadas de Compartilhamento” no resultado. (Também é possível pesquisar por “compartilhamento” no app Configurações.)
3. O Painel de Controle abrirá em Configurações Avançadas de Compartilhamento. Expanda a seção “Todas as redes”.
4. Localize a seção “Conexões de compartilhamento de arquivos”.
5. Selecione a opção que permite usar criptografia de 40 ou 56 bits em vez da recomendada 128 bits.
6. Clique em “Salvar alterações” e feche o Painel de Controle.

Importante: essa opção pode não estar disponível em algumas edições do Windows ou em sistemas gerenciados por políticas corporativas.

Como alterar pelo Editor do Registro (Regedit)

Se a opção no Painel de Controle não estiver disponível, é possível ajustar a criptografia via Registro do Windows. Faça backup do Registro antes de prosseguir.

Passos:

1. Faça backup do Registro: abra o Editor do Registro, selecione “Arquivo” → “Exportar” e salve uma cópia.
2. No menu Iniciar, digite “regedit” e abra o Editor do Registro.
3. Navegue até a chave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

4. Com MSV1_0 selecionado, localize o DWORD NtlmMinClientSec no painel direito e dê um duplo-clique.
5. Altere o dado do valor de 20000000 (padrão para 128-bit) para 0. Clique em OK.
6. Faça o mesmo para o DWORD NtlmMinServerSec, alterando de 20000000 para 0.
7. Feche o Editor do Registro. Reinicie o computador para garantir que as alterações entrem em vigor.

Observação: para voltar a 128-bit, repita os passos e troque os valores 0 por 20000000.

Quando isso não resolve (contraexemplos)

• Se o dispositivo remoto usa protocolos proprietários ou não implementa NTLM para compartilhamento, alterar a criptografia do Windows não ajudará.
• Se houver políticas de segurança de domínio (GPO) que forçam 128-bit, o ajuste local será sobrescrito.
• Conexões sobre VPN com re-encriptação podem exigir configurações adicionais.

Abordagens alternativas

• Atualizar o firmware do dispositivo antigo para suportar criptografia mais forte.
• Usar métodos alternativos: SFTP, FTPS, ou transferência via unidade USB em vez de SMB com criptografia fraca.
• Colocar o dispositivo antigo em uma rede isolada (VLAN) e controlar o acesso por firewall.

Caixa de fatos — Números chave

• Padrão Windows: 128 bits (mais seguro).
• Legado: 56 bits / 40 bits (DES).
• Risco: 40/56-bit são considerados inseguros para redes não confiáveis.

Matriz de compatibilidade (exemplo rápido)

Checklist por função

Administrador de rede:

• Fazer backup do Registro antes de qualquer mudança.
• Validar políticas de domínio (GPO).
• Registrar alterações e janela de manutenção.

Usuário final:

• Informar qual dispositivo precisa de acesso.
• Não usar a alteração em redes públicas.

Técnico de suporte:

• Testar acesso antes e depois da alteração.
• Reverter se houver falhas de autenticação em outros sistemas.

Procedimento padrão (SOP) — passo a passo curto

1. Agendar janela de manutenção.
2. Exportar e salvar backup do Registro.
3. Tentar via Configurações Avançadas de Compartilhamento. Se indisponível, usar Regedit.
4. Alterar NtlmMinClientSec e NtlmMinServerSec para 0.
5. Reiniciar e testar o compartilhamento com o dispositivo legado.
6. Monitorar logs por 24–48 horas.
7. Reverter para 20000000 se houver impacto negativo.

Plano de reversão (rollback)

1. Reabrir Regedit e restaurar os valores originais: NtlmMinClientSec = 20000000 e NtlmMinServerSec = 20000000.
2. Reiniciar o sistema.
3. Verificar acesso e registrar o incidente.

Critérios de aceitação / casos de teste

• Teste 1: O dispositivo legado consegue mapear a unidade SMB e listar arquivos.
• Teste 2: Usuários que usam apenas 128-bit continuam acessando recursos críticos.
• Teste 3: Logs do Windows não registram erros de NTLM após a alteração.

Hardening de segurança (recomendações)

• Limite a alteração a VLANs ou sub-redes confiáveis.
• Use regras de firewall para restringir tráfego SMB apenas a IPs necessários.
• Monitorize logs e habilite alertas para autenticações suspeitas.
• Planeje atualização ou substituição dos dispositivos que ainda exigem criptografia fraca.

Privacidade e conformidade (GDPR e dados pessoais)

Reduzir a criptografia não altera por si só as regras de proteção de dados pessoais, mas aumenta o risco de exposição. Antes de aplicar alterações:

• Avalie se dados pessoais trafegam por essas conexões.
• Documente as justificativas técnicas e o período de uso reduzido.
• Prefira soluções que mantenham a confidencialidade (SFTP, VPN) quando dados sensíveis estiverem envolvidos.

Notas sobre migração e compatibilidade

• Priorize atualizar firmware/softwares do equipamento legado.
• Verifique se a edição do Windows (Home/Pro/Enterprise) e as GPOs permitem alterações locais.

Resumo

Reduzir o nível de criptografia do compartilhamento de arquivos no Windows pode ser necessário para compatibilidade com equipamentos legados. Use primeiro as Configurações Avançadas de Compartilhamento e, se necessário, altere os valores no Editor do Registro (NtlmMinClientSec e NtlmMinServerSec). Sempre faça backup do Registro, aplique as mudanças em uma janela controlada e tenha um plano de rollback. Sempre pese o risco de segurança e prefira atualizar os dispositivos ou usar alternativas seguras quando possível.

Importante: não permita criptografia fraca em redes não confiáveis nem em sistemas expostos à Internet.

Breve anúncio (100–200 palavras):

Se você tem dispositivos antigos que não conseguem se conectar ao compartilhamento de arquivos do Windows, agora sabe como ajustar o nível de criptografia. O Windows usa 128-bit por padrão, mas é possível permitir 56-bit ou 40-bit temporariamente para compatibilidade. Primeiro tente a opção nas Configurações Avançadas de Compartilhamento. Se essa opção estiver ausente, edite o Registro nas chaves NtlmMinClientSec e NtlmMinServerSec — mas faça backup antes. Sempre limite o uso de criptografia fraca a redes internas seguras e planeje atualizar ou substituir dispositivos que dependem de algoritmos obsoletos.