miércoles, 20 de noviembre de 2019

Deshabilitar SMB versión 1 en Windows Server



Cómo volver a conectar con carpetas compartidas en red. Solucionar error "El nombre de red especificado ya no está disponible", "Este recurso compartido requiere el protocolo SMB1 obsoleto".



Vemos este error en le Windows de un usuario:

No se puede conectar con los recursos compartidos de archivos porque no es seguro. Este recurso compartido requiere el protocolo SMB1 obsoleto, el cual no es seguro y podría exponer su sistema a ataques. Su sistema requiere SMB2 o superior. Para obtener más información sobre cómo solucionar este problema, visite: https://go.microsoft.com/fwlink/?linkid=852747.

Esto ocurre porque, probablemente, el file server al que trata de conectarse el usuario sea un Windows Server 2012 con Samba v1 activo. Y como Microsoft ha aplicado un parche a Windows 10 que impide a esta versión de Windows conectar con servidores que tengan SMBv1 activo, Windows nos muestra un error al tratar de acceder a rutas UNC en estos servidores.

Recordemos que Microsoft desaprobó el uso del protocolo SMBv1 en 2014 y desde 2017, Windows utiliza solo SMBv2 y protocolos posteriores. A partir de Windows 10 Fall Creators Update y Windows Server versión 1709 (RS3), el protocolo de red SMBv1 no viene instalado por defecto


Qué ocurre con SMBv1



Cuando se usa SMB1, se pierden las protecciones que ofrecen SMBv2 y posteriores:

• Integridad previa a la autenticación (SMB 3.1.1+). Protege contra ataques de degradación de seguridad.
• Negociación de dialecto seguro (SMB 3.0, 3.02). Protege contra ataques de degradación de seguridad.
• Cifrado (SMB 3.0+). Evita la inspección de datos, ataques MiTM.
• Bloqueo de autenticación de invitados inseguro (SMB 3.0+). Protege contra los ataques MiTM.
• Firma de mensajes (SMB 2+). MD5 es reemplazado por HMAC SHA-256 (SMBv2) y AES-CMAC SMBv3).

Si un cliente usa SMB1, un atacante puede realizar man-in-the-middle y puede decirle al cliente que ignore todo lo anterior. Todo lo que necesita hacer el atacante es bloquear SMBv2+ en la máquina intermedia y responder al nombre o IP del servidor. El cliente negociará entonces con SMBv1 y compartirá todo, a menos que se requiera cifrado en ese recurso compartido para evitar SMBv1...

Además, fallos de SMBv1 son explotados por varios ransomware para propagarse por la red.

Pero estas razones, es por las que se debe dejar de usar SMBv1 en una red interna.


Cómo desactivar SMBv1



En Windows Server 2012 R2 y 2016 se puede desactivar SMBv1 vía PowerShell (o ver si está activo):

Detectar si SMBv1 está activo:

Get-WindowsFeature FS-SMB1

Deshabilitar:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Habilitar:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

En Windows Server anteriores a 2012 no hace falta mostrar el método porque están fuera de soporte por parte de Microsoft y no debería existir ninguno en nuestra infraestructura.

Una vez deshabilitado SMBv1 en el file server de turno, los clientes que usen Windows 10 ya se podrán volver a conectar a carpetas compartidas sin problema.


Fuentes:

https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Stop-using-SMB1/ba-p/425858
https://support.microsoft.com/es-es/help/4034314/smbv1-is-not-installed-by-default-in-windows
https://support.microsoft.com/es-es/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3...
0

0 comentarios:

Publicar un comentario