Microsoft ha realizado algunos cambios en el comportamiento del firewall SMB y la posibilidad de utilizar puertos alternativos en la última versión 25992 de Windows 11 Canary.
Conclusiones clave
- La compilación de Windows 11 Insider Preview cambia el comportamiento predeterminado del recurso compartido SMB para mejorar la seguridad de la red, habilitando automáticamente un grupo de reglas de firewall restrictivo sin los antiguos puertos SMB1.
- Microsoft pretende hacer que la conectividad de las PYMES sea aún más segura abriendo sólo los puertos obligatorios y cerrando los puertos entrantes ICMP, LLMNR y Spooler Service en el futuro.
- Los clientes SMB ahora pueden conectarse a servidores a través de puertos alternativos a través de TCP, QUIC y RDMA, lo que brinda mayor flexibilidad para la configuración y personalización por parte de los administradores de TI.
Microsoft ha estado haciendo varias mejoras al bloque de mensajes del servidor (SMB) durante los últimos años. Windows 11 Home ya no se envía con SMB1
Windows 11 Insider Preview Canary build 25992, que comenzó a implementarse hace apenas unas horas, cambia el comportamiento predeterminado de Windows Defender cuando se trata de crear un recurso compartido SMB. Desde el lanzamiento de Windows XP Service Pack 2, la creación de un recurso compartido SMB habilitó automáticamente el grupo de reglas "Compartir archivos e impresoras" para los perfiles de firewall seleccionados. Esto se implementó pensando en SMB1 y se diseñó para mejorar la flexibilidad de implementación y la conectividad con dispositivos y servicios de SMB.
Sin embargo, cuando crea un recurso compartido SMB en la última versión de Windows 11 Insider Preview, el sistema operativo habilitar automáticamente un grupo "Compartir archivos e impresoras (restrictivo)", que no contendrá los puertos NetBIOS entrantes 137, 138 y 139. Esto se debe a que SMB1 aprovecha estos puertos y no los utiliza SMB2 o posterior. Esto también significa que si habilita SMB1 por algún motivo heredado, deberá volver a abrir estos puertos en su Firewall.
Microsoft dice que este cambio de configuración garantizará un mayor nivel de seguridad de la red, ya que de forma predeterminada solo se abren los puertos requeridos. Dicho esto, es importante tener en cuenta que esta es solo la configuración predeterminada, los administradores de TI aún pueden modificar cualquier grupo de firewall según sus gustos. Sin embargo, tenga en cuenta que la firma de Redmond busca hacer que la conectividad de las PYMES sea aún más segura abriendo solo los puertos obligatorios y cerrar los puertos entrantes del Protocolo de mensajes de control de Internet (ICMP), la Resolución de nombres de multidifusión local de enlace (LLMNR) y el Servicio de cola de impresión en el futuro.
Hablando de ports, Microsoft también ha publicado otro entrada en el blog para describir cambios de puertos alternativos en la conectividad SMB. Los clientes SMB ahora pueden conectarse a servidores SMB a través de puertos alternativos a través de TCP, QUIC y RDMA. Anteriormente, los servidores SMB exigían el uso del puerto TCP 445 para las conexiones entrantes, y los clientes TCP SMB se conectaban salientes al mismo puerto; esta configuración no se pudo cambiar. Sin embargo, con SMB sobre QUIC, el puerto UDP 443 puede ser utilizado tanto por los servicios de cliente como de servidor.
Los clientes SMB también pueden conectarse a servidores SMB a través de otros puertos, siempre que este último admita un puerto en particular y escuche en él. Los administradores de TI pueden configurar puertos específicos para servidores específicos e incluso bloquear completamente puertos alternativos a través de la Política de grupo. Microsoft ha proporcionado instrucciones detalladas sobre cómo asignar puertos alternativos con NET USE y New-SmbMapping, o controlar el uso de puertos a través de la Política de grupo.
Es importante tener en cuenta que Windows Server Insiders actualmente no puede cambiar el puerto TCP 445 por otro. Sin embargo, Microsoft permitirá a los administradores de TI configurar SMB a través de QUIC para usar otros puertos además del puerto UDP predeterminado 443.