Bloqueo de conexiones NTLM en SMB

El cliente SMB ahora admite el bloqueo de la autenticación NTLM para conexiones salientes remotas. El bloqueo de la autenticación NTLM impide que los actores malintencionados engañen a los clientes para que envíen solicitudes NTLM a servidores maliciosos, contrarrestando así los ataques por fuerza bruta, el descifrado y pass-the-hash. El bloqueo de NTLM también es necesario para cambiar los protocolos de autenticación de una organización a Kerberos, que es más seguro que NTLM porque puede verificar las identidades de los servidores con su sistema de vales. Sin embargo, las organizaciones también pueden habilitar esta capa de protección sin tener que deshabilitar NTLM por completo.

Requisitos previos

El bloqueo de NTLM para el cliente SMB requiere los siguientes requisitos previos:

• Un cliente SMB que se ejecute en uno de los siguientes sistemas operativos.
  • Windows Server 2025 o posterior.
  • Windows 11, versión 24H2 o posterior.
• Un servidor SMB que permita usar Kerberos.

Sugerencia

El bloqueo de NTLM es solo una funcionalidad del cliente SMB. El cliente SMB está integrado en sistemas operativos cliente de Windows Server y Windows. El servidor SMB de destino puede ser cualquier sistema operativo donde se pueda usar PKU2U o kerberos.

Configuración del bloqueo de NTLM del cliente SMB

A partir de Windows Server 2025 y Windows 11, versión 24H2, tiene la opción de configurar SMB para bloquear NTLM. Para mejorar la seguridad de las implementaciones que ejecutan versiones anteriores de Windows, debe deshabilitar NTLM manualmente, ya sea editando la directiva de grupo pertinente o ejecutando un comando específico en PowerShell.

Para configurar el bloqueo de NTLM:

Directiva de grupo

1. Abra la Consola de administración de directivas de grupo.

2. En el árbol de la consola, vaya a Configuración del equipo>Plantillas administrativas>Red>Estación de trabajo Lanman.

3. Haga clic con el botón derecho en Bloquear NTLM (LM, NTLM, NTLMv2) y seleccione Editar.

4. Seleccione Habilitado.

PowerShell

1. Abre una ventana de PowerShell con privilegios elevados.

2. Para habilitar el bloqueo de NTLM, ejecute el siguiente comando.

   Set-SMbClientConfiguration -BlockNTLM $true 
   

Habilitación de excepciones al bloqueo de NTLM

Es posible que haya escenarios en los que necesite permitir que determinadas máquinas usen NTLM en lugar de bloquearlo globalmente. Por ejemplo, cuando el servidor SMB al que intenta conectarse no está unido a un dominio de Active Directory.

Para habilitar una lista de excepciones al bloqueo de NTLM:

Directiva de grupo

1. En el árbol Consola del Editor de directivas de grupo, vaya a Configuración del equipo>Plantillas administrativas>Red>Estación de trabajo Lanman.

2. Haga clic con el botón derecho en Bloquear lista de excepciones del servidor NTLM y seleccione Editar.

3. Seleccione Habilitado.

4. Escriba las direcciones IP, los nombres de NetBIOS y los nombres de dominio completos (FQDN) de las máquinas remotas a las que desea permitir la autenticación NTLM.

PowerShell

Actualmente no hay un equivalente de PowerShell al objeto Bloquear directiva de grupo de lista de excepciones del servidor NTLM. Para configurar una lista de excepciones, debe ir al Editor de directivas de grupo y configurar los valores manualmente. Sin embargo, una vez que haya completado la configuración manual, puede realizar excepciones individuales para determinadas direcciones IP ejecutando este comando con el nombre DNS, la dirección IP o el nombre de NetBIOS en el parámetro AddToList:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "AddToList" }
Set-ItemProperty @params 

También puede agregar varias variables al parámetro AddToList separándolas con una coma, como se muestra en el siguiente comando de ejemplo:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "192.168.10.10","corp.contoso.com","CORP" }
Set-ItemProperty @params 

Bloqueo de NTLM al asignar unidades SMB

También puede bloquear NTLM al asignar nuevas unidades SMB mediante la ejecución de los siguientes comandos.

Ejecute este comando para especificar el bloqueo de NTLM al asignar una unidad con NET USE:

NET USE \\server\share /BLOCKNTLM

Ejecute este comando para especificar el bloqueo de NTLM al asignar una unidad SMB:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Contenido relacionado

• Protección del tráfico SMB contra la interceptación

• Seguridad de SMB

• Proteger el tráfico SMB en Windows Server