Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Resumen

Bloque de mensajes de servidor (SMB) es un protocolo de uso compartido de archivos de red y de tejido de datos. SMB es usado por miles de millones de dispositivos en un conjunto diverso de sistemas operativos, incluidos Windows, MacOS, iOS, Linux y Android. Los clientes usan SMB para obtener acceso a los datos de los servidores. Esto permite el uso compartido de archivos, la administración centralizada de datos y las necesidades de capacidad de almacenamiento más bajas para dispositivos móviles. Los servidores también usan SMB como parte del Centro de datos definido por software para cargas de trabajo como agrupación y replicación.

Como SMB es un sistema de archivos remoto, requiere protección frente a ataques en los que un equipo Windows podría estar en contacto con un servidor malintencionado que se ejecuta dentro de una red de confianza o a un servidor remoto fuera del perímetro de red. Los procedimientos recomendados y las configuraciones del firewall pueden mejorar la seguridad y evitar que el tráfico malintencionado abandone el equipo o su red.

Efecto de los cambios

Bloquear la conectividad a SMB podría impedir que varias aplicaciones o servicios funcionen. Para obtener una lista de Windows y Windows y servicios del servidor que pueden dejar de funcionar en esta situación, vea Información general del servicio y requisitos de puerto de red para Windows

Más información

Enfoques de firewall perimetral

Los firewalls de hardware perimetral y de dispositivo que se encuentran en el borde de la red deben bloquear la comunicación no solicitada (desde Internet) y el tráfico saliente (a Internet) a los puertos siguientes.
 

Protocolo de aplicación

Protocolo

Puerto

 SMB

 TCP

445

Resolución de nombres de NetBIOS

 UDP

137

Servicio de datagramas de NetBios

 UDP

138

Servicio de sesión de NetBIOS

 TCP

139


Es poco probable que cualquier comunicación SMB procedente de Internet o destinada a Internet sea legítima. El caso principal puede ser para un servidor o servicio basado en la nube, como Azure Files. Debe crear restricciones basadas en direcciones IP en el firewall perimetral para permitir solo esos puntos de conexión específicos. Las organizaciones pueden permitir el acceso del puerto 445 a determinados intervalos IP de Azure Datacenter y O365 para habilitar escenarios híbridos en los que los clientes locales (detrás de un firewall empresarial) usan el puerto SMB para hablar con el almacenamiento de archivos de Azure. También debe permitir solo SMB 3.x tráfico y requieren cifrado SMB AES-128. Vea la sección"Referencias"para obtener más información.

Nota El uso de NetBIOS para el transporte SMB terminó en Windows Vista, Windows Server 2008 y en todos los sistemas operativos de Microsoft posteriores cuando Microsoft introdujo SMB 2.02. Sin embargo, es posible que tenga software y dispositivos que no Windows en su entorno. Debe deshabilitar y quitar SMB1 si aún no lo ha hecho porque sigue usando NetBIOS. Las versiones posteriores de Windows Server y Windows ya no instalan SMB1 de forma predeterminada y la quitarán automáticamente si se permite.

Windows Defender de firewall

Todas las versiones compatibles de Windows y Windows server incluyen el Firewall de Windows Defender (anteriormente denominado Windows firewall). Este firewall proporciona protección adicional para los dispositivos, especialmente cuando los dispositivos se mueven fuera de una red o cuando se ejecutan dentro de uno.

El Firewall de Windows Defender tiene perfiles distintos para determinados tipos de redes: Dominio, Privado y Invitado/Público. La red pública o de invitado normalmente obtiene configuraciones mucho más restrictivas de forma predeterminada que las redes privadas o de dominio más confiables. Es posible que tenga restricciones de SMB diferentes para estas redes en función de su evaluación de amenazas frente a las necesidades operativas.

Conexiones entrantes a un equipo

Para Windows y servidores que no hospedan recursos compartidos SMB, puede bloquear todo el tráfico SMB entrante mediante el Firewall de Windows Defender para evitar conexiones remotas de dispositivos malintencionados o en peligro. En el Firewall de Windows Defender, se incluyen las siguientes reglas de entrada.

Nombre

Perfil

Habilitada

Uso compartido de archivos e impresoras (SMB-In)

Todo

No

Netlogon Service (NP-In)

Todo

No

Administración remota de registros de eventos (NP-In)

Todo

No

Administración remota de servicios (NP-In)

Todo

No


También debe crear una nueva regla de bloqueo para invalidar cualquier otra regla de firewall de entrada. Use la siguiente configuración sugerida para cualquier Windows o servidores que no hospedan recursos compartidos SMB:

  • Nombre:Bloquear todas las SMB 445 entrantes

  • Descripción:Bloquea todo el tráfico ENTRANTE DE SMB TCP 445. No se debe aplicar a controladores de dominio o equipos que hospedan recursos compartidos SMB.

  • Acción:Bloquear la conexión

  • Programas:Todos

  • Equipos remotos:Cualquiera

  • Tipo de protocolo:TCP

  • Puerto local:445

  • Puerto remoto:Cualquiera

  • Perfiles:Todos

  • Ámbito (dirección IP local):Cualquiera

  • Ámbito (dirección IP remota):Cualquiera

  • Recorrido perimetral:recorrido de borde de bloque

No debe bloquear globalmente el tráfico SMB entrante a controladores de dominio o servidores de archivos. Sin embargo, puedes restringir el acceso a ellos desde rangos IP y dispositivos de confianza para reducir su superficie de ataque. También deben restringirse a los perfiles de firewall de dominio o privado y no permitir el tráfico público o de invitados.

Nota El Windows de seguridad ha bloqueado todas las comunicaciones SMB entrantes de forma predeterminada desde Windows XP SP2 y Windows Server 2003 SP1. Windows dispositivos permitirán la comunicación SMB de entrada solo si un administrador crea un recurso compartido SMB o modifica la configuración predeterminada del firewall. No debe confiar en que la experiencia predeterminada fuera de la caja sigue estando en su lugar en los dispositivos, independientemente de lo que sea. Compruebe siempre y administre activamente la configuración y su estado deseado mediante la directiva de grupo u otras herramientas de administración.

Para obtener más información, vea Diseñar una Firewall de Windows Defender con estrategia de seguridad avanzada y Firewall de Windows Defender con guía de implementación de seguridad avanzada

Conexiones salientes desde un equipo

Windows clientes y servidores requieren conexiones SMB salientes para aplicar la directiva de grupo desde controladores de dominio y para que los usuarios y aplicaciones accedan a datos en servidores de archivos, por lo que debe tenerse cuidado al crear reglas de firewall para evitar conexiones laterales o de Internet malintencionadas. De forma predeterminada, no hay bloques de salida en un cliente Windows servidor o cliente que se conecta a recursos compartidos SMB, por lo que tendrá que crear nuevas reglas de bloqueo.

También debe crear una nueva regla de bloqueo para invalidar cualquier otra regla de firewall de entrada. Use la siguiente configuración sugerida para cualquier Windows o servidores que no hospedan recursos compartidos SMB.

Redes de invitado/público (que no son de confianza)

  • Nombre:Bloquear el invitado saliente/SMB público 445

  • Descripción:Bloquea todo el tráfico TCP 445 de SMB saliente cuando se encuentra en una red que no es de confianza

  • Acción:Bloquear la conexión

  • Programas:Todos

  • Equipos remotos:Cualquiera

  • Tipo de protocolo:TCP

  • Puerto local:Cualquiera

  • Puerto remoto:445

  • Perfiles:Invitado/Público

  • Ámbito (dirección IP local):Cualquiera

  • Ámbito (dirección IP remota):Cualquiera

  • Recorrido perimetral:recorrido de borde de bloque

Nota Los usuarios pequeños de oficinas y oficinas domésticas, o los usuarios móviles que trabajan en redes corporativas de confianza y luego se conectan a sus redes domésticas, deben tener cuidado antes de bloquear la red pública saliente. Esto puede impedir el acceso a sus dispositivos NAS locales o a determinadas impresoras.

Redes privadas o de dominio (de confianza)

  • Nombre:Permitir el dominio saliente/SMB privado 445

  • Descripción:Permite el tráfico TCP 445 de SMB saliente solo a los EQUIPOS y servidores de archivos cuando se encuentra en una red de confianza

  • Acción:Permitir la conexión si es segura

  • Personalizar permitir si Configuración:seleccione una de las opciones, establezca Invalidar reglas de bloque = ACTIVADO

  • Programas:Todos

  • Tipo de protocolo:TCP

  • Puerto local:Cualquiera

  • Puerto remoto:445

  • Perfiles:Privado/Dominio

  • Ámbito (dirección IP local):Cualquiera

  • Ámbito (dirección IP remota):<lista de direcciones IP del controlador de dominio y del servidor de archivos>

  • Recorrido perimetral:recorrido de borde de bloque

Nota También puede usar los equipos remotos en lugar de las direcciones IP remotas de ámbito, si la conexión protegida usa la autenticación que lleva la identidad del equipo. Revise la documentación del Firewall de Defender para obtener más información sobre "Permitir la conexión si es segura" y las opciones de Equipo remoto.

  • Nombre:Bloquear el dominio saliente/SMB privado 445

  • Descripción:Bloquea el tráfico SALIENTE DE SMB TCP 445. Invalidar mediante la regla "Permitir el dominio saliente/SMB privado 445"

  • Acción:Bloquear la conexión

  • Programas:Todos

  • Equipos remotos:N/A

  • Tipo de protocolo:TCP

  • Puerto local:Cualquiera

  • Puerto remoto:445

  • Perfiles:Privado/Dominio

  • Ámbito (dirección IP local):Cualquiera

  • Ámbito (dirección IP remota):N/A

  • Recorrido perimetral:recorrido de borde de bloque

No debe bloquear globalmente el tráfico SMB saliente de los equipos a controladores de dominio o servidores de archivos. Sin embargo, puedes restringir el acceso a ellos desde rangos IP y dispositivos de confianza para reducir su superficie de ataque.

Para obtener más información, vea Diseñar una Firewall de Windows Defender con estrategia de seguridad avanzada y Firewall de Windows Defender con guía de implementación de seguridad avanzada

Reglas de conexión de seguridad

Debe usar una regla de conexión de seguridad para implementar las excepciones de la regla de firewall saliente para las opciones "Permitir la conexión si es segura" y "Permitir que la conexión use encapsulación nula". Si no establece esta regla en todos los equipos basados Windows y Windows basados en servidor, se producirá un error en la autenticación y se bloqueará la salida de SMB. 

Por ejemplo, se requieren las siguientes opciones de configuración:

  • Tipo de regla:Aislamiento

  • Requisitos:Solicitar autenticación para conexiones entrantes y salientes

  • Método de autenticación:Equipo y usuario (Kerberos V5)

  • Perfil:Dominio, Privado, Público

  • Nombre:Autenticación ESP de aislamiento para invalidaciones de SMB

Para obtener más información sobre las reglas de conexión de seguridad, vea los artículos siguientes:

Windows Estación de trabajo y servicio de servidor

Para los equipos administrados de consumidores o altamente aislados que no requieren SMB en absoluto, puede deshabilitar los servicios del servidor o de la estación de trabajo. Puede hacerlo manualmente mediante el complemento "Servicios" (Services.msc) y el cmdlet Set-Service de PowerShell, o mediante preferencias de directiva de grupo. Cuando detiene y deshabilita estos servicios, SMB ya no puede realizar conexiones salientes ni recibir conexiones entrantes.

No debe deshabilitar el servicio servidor en controladores de dominio o servidores de archivos o ningún cliente podrá aplicar la directiva de grupo o conectarse a sus datos. No debe deshabilitar el servicio Estación de trabajo en equipos que son miembros de un dominio de Active Directory o ya no aplicarán directiva de grupo.

Referencias

Diseñar una Firewall de Windows Defender estrategia de seguridad avanzada
Firewall de Windows Defender con guía de implementación de seguridad avanzada
Aplicaciones remotas
de Azure Direcciones IP del centro de datos de
Azure Direcciones IP de Microsoft O365

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×