Proteger el tráfico SMB en Windows Server

Como medida de defensa intensiva, puede usar técnicas de segmentación y aislamiento para proteger el tráfico SMB y reducir las amenazas entre dispositivos de su red.

SMB se usa para el compartir archivos, imprimir y comunicar entre procesos, como canalizaciones con nombre y RPC. También se usa como tejido de datos de la red para tecnologías como Espacios de almacenamiento directo, réplica de almacenamiento, migración en vivo de Hyper-V y volúmenes compartidos de clúster. Use las secciones siguientes para configurar la segmentación del tráfico SMB y el aislamiento de los puntos de conexión para ayudar a evitar las comunicaciones de red salientes y laterales.

Bloquear el acceso SMB de entrada

Bloquee el puerto TCP 445 entrante de Internet en los firewalls de hardware de la empresa. Al bloquear el tráfico SMB entrante, se protegen los dispositivos de la red evitando el acceso desde Internet.

Si desea que los usuarios accedan a los archivos entrantes en el perímetro de la red, puede usar SMB a través de QUIC. Esta operación usa el puerto UDP 443 de forma predeterminada y proporciona un túnel de seguridad cifrado tls 1.3 como una VPN para el tráfico SMB. La solución requiere Windows 11 y Windows Server 2022 Datacenter: servidores de archivos de Azure Edition que se ejecutan en Azure Local. Para más información, consulte SMB a través de QUIC.

Bloquear el acceso SMB saliente

Bloquee el puerto TCP 445 saliente a Internet en el firewall de la empresa. Al bloquear el tráfico SMB saliente, se impide que los dispositivos dentro de la red envíen datos a Internet empleando SMB.

Es poco probable que deba permitir cualquier SMB saliente mediante el puerto TCP 445 a Internet a menos que lo necesite como parte de una oferta de nube pública. Los escenarios principales incluyen Azure Files y Office 365.

Si va a usar Azure Files SMB, use una VPN para el tráfico VPN saliente. Al emplear una VPN, se restringe el tráfico saliente a los intervalos IP de servicio necesarios. Para más información sobre los intervalos de direcciones IP y la nube de Azure Office 365, consulte:

• Intervalos IP y etiquetas de servicio de Azure:

  • Nube pública
  • Nube del Gobierno de EE. UU
  • Nube de Alemania
  • Nube de China.

  Los archivos JSON se actualizan todas las semanas e incluyen el control de versiones para el archivo completo y cada etiqueta de servicio individual. La etiqueta AzureCloud proporciona los intervalos IP para la nube (pública, administración pública de EE. UU., Alemania o China) y se agrupa por región dentro de esa nube. Las etiquetas de servicio del archivo aumentarán a medida que se añadan los servicios de Azure.

• Intervalos de direcciones IP y URL de Office 365.

Con Windows 11 y Windows Server 2022 Datacenter: Azure Edition, puede usar SMB a través de QUIC para conectarse a servidores de archivos en Azure. Esta operación usa el puerto UDP 443 de forma predeterminada y proporciona un túnel de seguridad cifrado tls 1.3 como una VPN para el tráfico SMB. Para más información, consulte SMB a través de QUIC.

Uso y recursos compartidos del SMB del inventario

Al inventariar el tráfico SMB de la red, obtendrá información sobre el tráfico que se está produciendo y podrá determinar si es necesario. Use la lista de comprobación de preguntas siguiente para ayudarle a identificar el tráfico SMB innecesario.

Para puntos de conexión de servidor:

1. ¿Qué puntos de conexión de servidor requieren acceso al SMB de entrada para realizar su rol? ¿Precisan acceso entrante desde todos los clientes, determinadas redes o determinados nodos?
2. Para los puntos de conexión de servidor restantes, ¿es preciso el acceso SMB de entrada?

Para puntos de conexión de cliente:

1. ¿Qué puntos de conexión de cliente (por ejemplo, Windows 10) requieren acceso SMB de entrada? ¿Precisan acceso entrante desde todos los clientes, determinadas redes o determinados nodos?
2. Para los puntos de conexión de cliente restantes, ¿es preciso el acceso SMB de entrada?
3. De los puntos de conexión de cliente restantes, ¿precisan ejecutar el servicio de servidor SMB?

Para todos los puntos de conexión, determine si permite SMB de salida de la forma más segura y menos invasiva.

Revise los roles y las características que están integrados del servidor que requieren entrada SMB. Por ejemplo, los servidores de archivos y los controladores de dominio requieren SMB entrante para desempeñar su rol. Para más información sobre los requisitos de puerto de red de las características y los roles integrados, consulte Introducción a los servicios y requisitos de puerto de red para Windows.

Revise los servidores a los que se debe tener acceso desde la red. Por ejemplo, es probable que sea necesario tener acceso a controladores de dominio y servidores de archivos desde cualquier parte de la red. Sin embargo, el acceso al servidor de aplicaciones puede estar limitado a un conjunto de otros servidores de aplicaciones en la misma subred. Puede usar las herramientas y características siguientes para ayudarle a inventariar el acceso SMB:

• Use el comando Get-FileShareInfo del módulo AZSBTools establecido para examinar los recursos compartidos en servidores y clientes.
• Habilite una pista de auditoría del acceso entrante de SMB mediante la clave de registro Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Dado que el número de eventos puede ser elevado, considere la posibilidad de habilitarla durante un período de tiempo concreto o usar Azure Monitor.

Examinar los registros de SMB permite saber qué nodos se comunican con los puntos de conexión a través de SMB. Puede decidir si los recursos compartidos de un punto de conexión están en uso y entender cuáles existen.

Configurar el firewall de Windows Defender

Use reglas de firewall para agregar más seguridad de conexión. Configure reglas para bloquear las comunicaciones entrantes y salientes que incluyen excepciones. Una directiva de firewall de salida que impide el uso de conexiones SMB tanto fuera como dentro de la red administrada, al tiempo que permite el acceso al conjunto mínimo de servidores y ningún otro dispositivo es una medida intensiva de defensa lateral.

Para obtener información sobre las reglas del firewall de SMB que debe establecer para las conexiones entrantes y salientes, consulte el artículo de soporte técnico Impedir que el tráfico SMB realice conexiones laterales y se introduzca en la red o la abandone.

El artículo de soporte técnico incluye plantillas para los elementos siguientes:

• Reglas de entrada basadas en cualquier tipo de perfil de red.
• Reglas de salida para redes privadas o de dominio (de confianza).
• Reglas de salida para redes invitadas o públicas (que no son de confianza). Esta plantilla es importante para aplicar en dispositivos móviles y personal que hace teletrabajo que no están detrás del firewall que bloquea el tráfico saliente. Aplicar estas reglas en equipos portátiles reduce las probabilidades de ataques de suplantación de identidad que envían a los usuarios a servidores malintencionados para recopilar credenciales o ejecutar códigos de ataque.
• Reglas de salida que contienen una lista de permitidos de invalidación para controladores de dominio y servidores de archivos denominados Permitir la conexión si es segura.

Para usar la autenticación IPSEC de encapsulación nula, debe crear una regla de conexión de seguridad en todos los equipos de la red que participan en las reglas. De lo contrario, las excepciones del firewall no funcionarán y realizará bloqueos arbitrariamente.

Precaución

Debe probar la regla de conexión de seguridad antes de realizar una implementación amplia. Una regla incorrecta podría impedir que los usuarios accedieran a sus datos.

Para crear una regla de seguridad de conexión, use el firewall de Windows Defender con el panel de control de seguridad avanzada o el complemento:

1. En el firewall de Windows Defender, seleccione Reglas de seguridad de conexión y elija una regla nueva.
2. En Tipo de regla, seleccione Aislamiento y, luego, Siguiente.
3. En Requisitos, seleccione Solicitar autenticación para las conexiones entrantes y salientes y, a continuación, seleccione Siguiente.
4. En Método de autenticación, seleccione Equipo y usuario (Kerberos V5) y, a continuación, seleccione Siguiente.
5. En Perfil, compruebe todos los perfiles (Dominio, Privado, Público) y seleccione Siguiente.
6. Asigne un nombre a la regla y, a continuación, seleccione Finalizar.

Recuerde que la regla de seguridad de conexión debe crearse en todos los clientes y servidores que participan en las reglas de entrada y de salida, de lo contrario, se les bloqueará la conexión de salida de SMB. Es posible que estas reglas ya estén implementadas desde otros trabajos de seguridad en su entorno y, al igual que las reglas de entrada o salida del firewall, se pueden implementar a través de la directiva de grupo.

Al configurar reglas basadas en las plantillas del artículo de soporte técnico Impedir que el tráfico SMB realice conexiones laterales y se introduzca en la red o la abandone, establezca lo siguiente para personalizar la acción Permitir la conexión si es segura:

1. En el paso Acción, seleccione Permitir la conexión si es segura y, a continuación, seleccione Personalizar.
2. En Personalizar configuración de seguridad Permitir si, seleccione Permitir que la conexión use la encapsulación nula.

Mediante la opción Permitir la conexión si es segura se puede invalidar una regla de bloque global. Puede usar la opción Permitir que la conexión use la encapsulación nula, que fácil pero menos segura, con *invalidar reglas de bloque, que se basa en Kerberos y la pertenencia a dominio para la autenticación. El firewall de Windows Defender permite emplear opciones más seguras, como IPSEC.

Para más información sobre cómo configurar el firewall, consulte Introducción a la implementación de Windows Defender Firewall con seguridad avanzada.

Reglas de firewall actualizadas

A partir de Windows 11, versión 24H2 y Windows Server 2025, las reglas de firewall integradas ya no contienen los puertos NetBIOS de SMB. En versiones anteriores de Windows Server, cuando se creaba un recurso compartido, el firewall habilitaba automáticamente determinadas reglas en el grupo Uso compartido de archivos e impresoras. En concreto, el firewall integrado utilizaba automáticamente los puertos NetBIOS de entrada 137 a 139. Los recursos compartidos creados con SMB2 o versiones posteriores no utilizan los puertos NetBIOS 137-139. Si necesita utilizar un servidor SMB1 por motivos de compatibilidad heredada, deberá volver a configurar manualmente el firewall para abrir esos puertos.

Hemos realizado este cambio para mejorar la seguridad de red. Este cambio hace que las reglas de firewall de SMB se ajusten más al comportamiento estándar del rol de Servidor de archivos de Windows Server. De forma predeterminada, la regla de firewall solo abre el número mínimo de puertos necesarios para compartir datos. Los administradores pueden volver a configurar las reglas para restaurar los puertos heredados.

Deshabilitar el servidor SMB si no se usa

Es posible que clientes de Windows y algunos de los servidores de Windows de la red no requieran que se ejecute el servicio de servidor SMB. Si el servicio de servidor SMB no es necesario, puede deshabilitarlo. Antes de deshabilitar el servicio de servidor SMB, asegúrese de que no haya aplicaciones ni procesos en el equipo que lo requieran.

Puede usar preferencias de directiva de grupo para deshabilitar el servicio en un gran número de máquinas cuando lo tenga todo listo para implementarlo. Para más información sobre cómo configurar las preferencias de directiva de grupo, consulte Configurar un elemento de servicio.

Realizar pruebas e implementaciones mediante directivas

Empiece realizando pruebas del uso de implementaciones a pequeña escala y manuales en servidores y clientes seleccionados. Para realizar estos cambios, use implementaciones de directivas de grupo por fases. Por ejemplo, empiece con el usuario con más carga de SMB, como su propio equipo de TI. Si los equipos portátiles, las aplicaciones y el acceso a recursos compartidos de archivos funcionan bien después de implementar las reglas del firewall de entrada y salida, cree una directiva de grupo de prueba en los entornos de prueba y el control de calidad generales. En función de los resultados, inicie el muestreo de algunas máquinas departamentales y, a continuación, siga hacia el exterior.

Pasos siguientes

Vea la conferencia sobre Ignite de Jessica Payne Desmitificando el firewall de Windows