Evitar el tráfico SMB desde las conexiones laterales, y evitar que este entre o salga de la red

Se aplica a: Windows Server version 1909Windows Server version 1903Windows Server 2019

Resumen


El bloque de mensajes de servidor (SMB) es un protocolo de uso compartido de archivos de red y de tejido de datos. Millones de dispositivos con un amplio abanico de sistemas operativos (como Windows, MacOS, iOS, Linux y Android) usan SMB. Los clientes utilizan SMB para acceder a los datos de los servidores. Esto permite el uso compartido de archivos, la administración centralizada de datos y menores requisitos de capacidad de almacenamiento en los dispositivos móviles. En el caso de cargas de trabajo, como las agrupaciones en clúster y la replicación, los servidores también usan SMB como parte del centro de datos definido por software.

Dado que SMB es un sistema de archivos remoto, es necesario contar con protección contra ataques en los que se podría engañar a un equipo Windows para que se pusiera en contacto con un servidor malintencionado que se ejecute dentro de una red de confianza o con un servidor remoto fuera del perímetro de red. Las prácticas y configuraciones recomendadas de firewall pueden mejorar la seguridad e impedir que el tráfico malintencionado salga del equipo o de su red.

Impacto de los cambios

Bloquear la conectividad a SMB puede impedir el funcionamiento de distintas aplicaciones o servicios. Para obtener una lista de las aplicaciones y servicios de Windows y Windows Server que podrían dejar de funcionar, consulte Introducción a los servicios y requisitos de puerto de red para Windows
 

Más información


Enfoques para los firewalls perimetrales

Los firewalls perimetrales de hardware y dispositivo que se encuentren en el extremo de la red deberían bloquear en los siguientes puertos la comunicación no solicitada (de Internet) y el tráfico saliente (a Internet).
 

Protocolo de aplicación

Protocolo

Puerto

SMB

TCP

445

Resolución de nombres de NetBIOS

UDP

137

Servicio de datagramas de NetBios

UDP

138

Servicio de sesión de NetBIOS

TCP

139


Es poco probable que toda comunicación SMB procedente de Internet o con destino a Internet sea legítima. El principal uso de este tipo de comunicación podría ser para un servidor o servicio basado en la nube como Azure Files. Por ello, debería crear restricciones basadas en direcciones IP en el firewall perimetral que permitan solo esos puntos de conexión específicos. Las organizaciones pueden permitir el acceso al puerto 445 a algunos intervalos de IP específicos del centro de datos de Azure y de O365 para permitir escenarios de entornos híbridos en los que los clientes locales (protegidos por un firewall empresarial) usen el puerto SMB para conectarse con Azure File Storage. Tenga en cuenta que solo debería permitir el tráfico SMB 3.x y solicitar un cifrado SMB AES-128. Para obtener más información, consulte la sección Referencias.

Nota El uso de NetBIOS para el transporte SMB finalizó en Windows Vista, en Windows Server 2008 y en todos los sistemas operativos Microsoft posteriores cuando Microsoft introdujo SMB 2.02. Sin embargo, es posible que tenga en su entorno software y dispositivos que no sean de Windows. Debe deshabilitar y quitar SMB1 si aún no lo ha hecho, ya que todavía utiliza NetBIOS. Las versiones posteriores de Windows Server y Windows ya no instalan SMB1 de forma predeterminada y lo quitarán automáticamente si se les concede permiso.

Enfoques de firewall de Windows Defender

Todas las versiones con soporte de Windows y Windows Server incluyen el Firewall de Windows Defender (cuyo nombre anterior era Firewall de Windows). Este firewall proporciona protección adicional a los dispositivos, especialmente cuando se sacan de una red o cuando se ejecutan dentro de una.

El Firewall de Windows Defender tiene perfiles distintos para ciertos tipos de redes: Redes de dominios, redes privadas y redes públicas/de invitado Una red pública/de invitado suele tener de manera predeterminada una configuración mucho más restrictiva que la de las redes privadas o de dominios, que son más confiables. Es posible que tenga diferentes restricciones de SMB para estas redes en función de su evaluación de amenazas frente a las necesidades operativas.

Conexiones entrantes a un equipo

Para los clientes y servidores de Windows que no hospeden recursos compartidos SMB, puede bloquear todo el tráfico SMB entrante mediante el Firewall de Windows Defender para evitar conexiones remotas desde dispositivos malintencionados o comprometidos. En el Firewall de Windows Defender, esto incluye las siguientes reglas de entrada.

Nombre

Perfil

Habilitada

Uso compartido de archivos e impresoras (SMB-In)

todas

No

Servicio Netlogon (NP-In)

todas

No

Administración remota de registro de eventos (NP-In)

todas

No

Administración remota de servicios (NP-In)

todas

No


También debería crear una nueva regla de bloqueo para invalidar cualquier otra regla de entrada de firewall. Utilice la siguiente configuración sugerida para los clientes o servidores de Windows que no hospeden recursos compartidos SMB:

  • Nombre: Bloquear todos los SMB 445 entrantes
  • Descripción: Bloquea todo el tráfico entrante de SMB TCP 445. No se debe aplicar a los controladores de dominio o a los equipos que hospeden recursos compartidos SMB.
  • Acción: Bloquear la conexión
  • Programas: todas
  • Equipos remotos: Cualquiera
  • Tipo de protocolo: TCP
  • Puerto local: 445
  • Puerto remoto: Cualquiera
  • Perfiles: todas
  • Ámbito (dirección IP local): Cualquiera
  • Ámbito (dirección IP remota): Cualquiera
  • Cruce seguro del perímetro: Bloquear el cruce seguro del perímetro

No debe bloquear globalmente el tráfico SMB entrante a los controladores de dominio o a los servidores de archivos. Sin embargo, puede restringir el acceso a estos últimos desde dispositivos e intervalos IP de confianza para reducir su superficie expuesta a ataques. Además, deberían tener únicamente perfiles de firewall de red de dominios o privada, y no deberían permitir el tráfico de redes públicas/de invitado.

Nota El Firewall de Windows bloquea todas las comunicaciones SMB entrantes de forma predeterminada desde Windows XP SP2 y Windows Server 2003 SP1. Los dispositivos Windows permitirán la comunicación SMB entrante solo si un administrador crea un recurso compartido SMB o modifica la configuración predeterminada del firewall. Ahora bien, no dé por sentado que la configuración rápida se siga aplicando en los dispositivos. Compruebe y administre activamente la configuración y sus valores deseados mediante la directiva de grupo u otras herramientas de administración.

Para obtener más información, consulte Diseño de un firewall de Windows Defender con estrategia de seguridad avanzada y la Guía de implementación de Firewall de Windows Defender con seguridad avanzada

Conexiones salientes desde un equipo

Los clientes y servidores de Windows necesitan conexiones SMB salientes para aplicar la directiva de grupo de los controladores de dominio y para que los usuarios y las aplicaciones accedan a los datos en los servidores de archivos, por lo que se deben tomar precauciones y crear reglas de firewall para evitar conexiones laterales o a Internet malintencionadas. De forma predeterminada, no hay reglas de bloqueo de salida en los clientes o servidores de Windows que se conecten a recursos compartidos SMB, por lo que tendrá que crear nuevas reglas de bloqueo.

También debería crear una nueva regla de bloqueo para invalidar cualquier otra regla de entrada de firewall. Use la siguiente configuración sugerida para los clientes o servidores de Windows que no hospeden recursos compartidos SMB.

Redes públicas/de invitado (que no sean de confianza)

  • Nombre: Bloquear SMB 445 salientes de las redes públicas/de invitado
  • Descripción: Bloquea todo el tráfico saliente SMB TCP 445 de las redes que no sean de confianza
  • Acción: Bloquear la conexión
  • Programas: todas
  • Equipos remotos: Cualquiera
  • Tipo de protocolo: TCP
  • Puerto local: Cualquiera
  • Puerto remoto: 445
  • Perfiles: Red pública/de invitado
  • Ámbito (dirección IP local): Cualquiera
  • Ámbito (dirección IP remota): Cualquiera
  • Cruce seguro del perímetro: Bloquear el cruce seguro del perímetro

Nota Los usuarios que trabajen desde casa o en oficinas pequeñas, así como los usuarios móviles que trabajen en redes corporativas de confianza y que luego se conecten a sus redes domésticas, deberían tener presentes ciertas cuestiones antes de bloquear la red de salida pública. Bloquear esta red podría impedirles el acceso a sus dispositivos NAS locales o a ciertas impresoras.

Redes privadas/de dominio (de confianza)

  • Nombre: Permitir SMB 445 salientes de las redes privadas/de dominio
  • Descripción: Permite el tráfico saliente SMB TCP 445 solo a los controladores de dominio y a los servidores de archivos si se está conectado a una red de confianza.
  • Acción: Permitir la conexión si es segura
  • Personalizar configuración de seguridad Permitir si: elija una de las opciones y establezca "= ON" para "Invalidar reglas de bloqueo"
  • Programas: todas
  • Tipo de protocolo: TCP
  • Puerto local: Cualquiera
  • Puerto remoto: 445
  • Perfiles: Redes privadas/de dominio
  • Ámbito (dirección IP local): Cualquiera
  • Ámbito (dirección IP remota): <lista de las direcciones IP de los controladores de dominio y de los servidores de archivos>
  • Cruce seguro del perímetro: Bloquear el cruce seguro del perímetro

Nota También puede usar los equipos remotos en lugar de las direcciones IP remotas del ámbito si la conexión segura utiliza una autenticación que incluya la identidad del equipo. Consulte la documentación de Firewall de Windows Defender para obtener más información sobre la opción "Permitir la conexión si es segura" y sobre las opciones de Equipo remoto.

  • Nombre: Bloquear los SMB 445 salientes de las redes privadas/de dominios
  • Descripción: Bloquea el tráfico saliente SMB TCP 445. Para invalidarlo, use la regla "Permitir los SMB 445 salientes de las redes privadas/de dominios"
  • Acción: Bloquear la conexión
  • Programas: todas
  • Equipos remotos: N/A
  • Tipo de protocolo: TCP
  • Puerto local: Cualquiera
  • Puerto remoto: 445
  • Perfiles: Redes privadas/de dominio
  • Ámbito (dirección IP local): Cualquiera
  • Ámbito (dirección IP remota): N/A
  • Cruce seguro del perímetro: Bloquear el cruce seguro del perímetro

No bloquee globalmente el tráfico SMB saliente de los equipos a los controladores de dominio o a los servidores de archivos. Sin embargo, puede restringir el acceso a estos últimos desde dispositivos e intervalos IP de confianza para reducir su superficie expuesta a ataques.

Para obtener más información, consulte Diseño de un firewall de Windows Defender con estrategia de seguridad avanzada y la Guía de implementación de Firewall de Windows Defender con seguridad avanzada

Servicio de estación de trabajo y de servidor de Windows

Para equipos de consumidor o equipos muy aislados y administrados que no necesiten en absoluto SMB, puede deshabilitar los servicios Servidor o Estación de trabajo. Puede hacerlo manualmente mediante el complemento "Servicios" (Services.msc) y el cmdlet Set-Service de PowerShell, o mediante las preferencias de directiva de grupo. Cuando haya detenido y deshabilitado estos servicios, SMB ya no podrá realizar conexiones salientes ni recibir conexiones entrantes

No deshabilite el servicio Servidor en los controladores de dominio ni en los servidores de archivos, ya que si lo hace los clientes ya no podrán aplicar la directiva de grupo ni conectarse a sus datos. No deshabilite el servicio Estación de trabajo en los equipos que sean miembros de un dominio de Active Directory, ya que si lo hace ya no podrán aplicar la directiva de grupo.