Saltar al contenido

Cómo deshabilitar SMB 1.0 en sistemas Windows

No importa si tenemos un equipo parcheado a la última con las actualizaciones de Windows Update. Algo que debemos hacer sí o sí, es deshabilitar protocolos de comunicación inseguros como SMB1. Si tienes un departamento de Gestión de Vulnerabilidades en tu empresa, ya te lo habrán pedido en alguna ocasión, o lo harán pronto.

El protocolo SMB v1.0 ya fue utilizado por amenazas tan conocidas como el mítico Wannacry, así que es de vital importancia cerrar este vector de ataque. Incluso si Microsoft lanzó boletines como MS17-010, es mejor cortar el problema de raíz, porque además no supone un problema de compatibilidad hoy en día.

Reducir la superficie de exposición de los equipos es algo que se realiza en actividades conocidas como de hardening o bastionado de Windows.

SMB o Server Message Block, también conocido como CIFS es un protocolo de red diseñado para compartir ficheros en una red de tipo cliente/servidor. Está pensado como un estándar abierto, que permite la comunicación entre diferentes sistemas operativos a través del puerto 445 TCP.

Desactivar SMB 1.0 en sistemas Windows

Tenemos dos formas de lograrlo. Una es utilizando la interfaz gráfica, la otra, mediante la linea de comandos. Recomiendo esta última porque es más rápida y fácil, a no ser que tengamos restringido el uso del intérprete de comandos.

Vía PowerShell

Identifica el tipo de equipo y escoge el método apropiado. En general, los comandos usados para Windows Server serán válidos igualmente en Windows 10 y versiones modernas de Windows. Si tienes un sistma antiguo, tendrás que buscar alternativas.

Lo bueno de Powershell es que podemos hacerlo en múltiples equipos que soporte este intérprete.

Windows Server

Recuperaremos el estado de la característica con este comando.

Get-WindowsOptionalFeature -Online -Featurename  SMB1Protocol
Cómo deshabilitar SMB 1.0 en sistemas Windows

Para desactivar la característica, escribiremos:

Disable-WindowsOptionalFeature -Online -Featurename  SMB1Protocol
Cómo deshabilitar SMB 1.0 en sistemas Windows

Se nos pedirá un reinicio, que confirmaremos si queremos (por defecto es Sí).

Si queremos revertir la configuración anterior, sustituiremos la palabra Disable al inicio del comando anterior por Enable:

Enable-WindowsOptionalFeature -Online -Featurename  SMB1Protocol

Windows endpoint

Escribiendo lo siguiente (como en el caso anterior) veremos el estado de Server Message Block 1.0 en nuestro equipo de puesto final, siendo Windows 10 el ejemplo.

Get-WindowsOptionalFeature -Online -Featurename  SMB1Protocol
Desactivar SMB v1 en equipos Windows 10

Si ya lo tenemos deshabilitado previamente, al ejecutar el comando anterior nos devolverá lo siguiente:

PS C:\WINDOWS\system32> Disable-WindowsOptionalFeature -Online -Featurename SMB1Protocol
Path :
Online : True
RestartNeeded : False

Mediante la interfaz gráfica

Este método es recomendable sólo si vas a hacerlo en un equipo concreto. Si es un servidor Windows, deberás hacerlo a través del Server Manager.

Abriremos una ventana del Panel de Control y navegaremos por los siguientes submenús, o directamente copiaremos y pegaremos esta ruta en la barra de direcciones del explorador de archivos.

Panel de control\Todos los elementos de Panel de control\Programas y características\

Ahora abriremos el elemento Activar o Desactivar características de Windows.

Desmarcaremos todo lo referente a SMB 1.0 en la lista.

Desactivar SMB 1.0 o CIFS en Windows con interfaz gráfica

Aceptaremos y se habrán aplicado los cambios.

Usar una Política de Grupo

Es posible utilizar una Group Policy o política de grupo de Windows para desactivar este protocolo, aunque por lo que he podido ver no es tan intuitiva como podría esperarse.

Aquí lo explica Microsoft.

Espero que os haya resultado útil el artículo de hoy! 🙂

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

7 comentarios sobre “Cómo deshabilitar SMB 1.0 en sistemas Windows Deja un comentario

  1. Hola he tenido problemas al dejar un me gusta aquí en esta publicación, he intentado entrar con mi cuenta de WordPress a la hora de poner el correo para entrar a WordPress si funciona pero al segunda parte a la hora de que salga para poner la contraseña no sale se queda en blanco lo estoy haciéndolo a través del móvil Android luego lo he intentado con Facebook y en el primer paso bien pero en el segundo paso a la hora de poner la contraseña a salido una página de error diciendo que reinice mi router o el WiFi no se si es problema mio o es del servidor de WordPress de tu página o me equivoco, bueno de todas formas gracias por el articulo se que es importante ya hablaste de esta vulnerabilidad otra vez, quisiera preguntar si también es para sistemas domésticos hace falta también o solo para empresas gracias Alejandro.

    Le gusta a 1 persona

  2. Hola Alejandro, muy bueno el articulo para ponerlo en practica en nuestro equipos de manera preventiva. Consulta, si desactivo el SMB 1.0 en un Windows server 2016 que comparte archivos por LAN y usa Terminal Server, esto podría generar algún conflicto con las conexiones?
    Gracias.

    Le gusta a 1 persona

    • Hola Leandro. En absoluto, no debería dar ningún problema a no ser que, manualmente, se haya asignado una directiva para utilizar el servicio en versión vulnerable, algo que no tendría mucho sentido. Si al enviar el comando “Get-WindowsOptionalFeature -Online -FeatureName smb1protocol” obtienes que está inactivo, es seguro continuar. El resto de clientes tendrán que utilizar el protocolo especificado por el servidor. De todas formas, ya ves que se tarda poco en habilitarlo de nuevo.

      Le gusta a 1 persona

  3. Estimado Alejandro, el año pasado tuvimos un ataque en nuestra red del tipo Botnet, cuyo trafico hacia internet era notoriamente excesivo por el puerto 445, y la red se vio perjudicada, ya que se volvio lenta en general, a raiz de eso se bloqueo dicho puerto en el firewall y se formatearon las maquinas que tenian ese comportamiento y trafico anormal, pero a la fecha aun el admin de red nos envia reportes por maquinas que tienen conexiones por el puerto 445, nos envia el reporte y debemos revisar dichas maquinas, no encontrando infecciones con antivirus. cuando se revisan los reportes casi todo el trafico es interno por el puerto 445 como por ej hacia los servidores active directory, tambien tenemos servidores nas storage v2012 y maquinas cliente con win10 y aun algunas con win7. nuestra duda y es ahi donde cuestiono al reporte del admin de red, es si realmente todo el trafico por el puerto 445 seria anormal o es normal que dentro de la red exista trafico por ese puerto, el trafico reportado ahora es de unas pocas conexiones por maquina y no hacia internet.
    ¿es valido bloquear este puerto en las maquinas finales o servidores como el nas storage?, o ¿solo se deberia desactivar el servicio smb v1 y v2?.
    te agradesco de antenamo por tu respusta y espero me puedas aclarar mi duda

    Le gusta a 1 persona

    • Hola Cristian,
      El TCP 445 es MS-DS y es con bastante seguridad tráfico legítimo originado en tu propia red, típico de redes Windows con protocolo SMB. https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?search=445
      Lo que no debería haber nunca, repito, nunca, es tráfico por el puerto 445 hacia el exterior, esto debería estar bloqueado en el firewall interno y/o externo (dependiendo del tamaño/diseño de tu red).

      Por lo demás, es momento de revisar que los orígenes de tráfico y sus destinos dentro de la red interna tienen sentido (son equipos inventariados por vosotros, su rol requiere esta comunicación, etc) desactivando mediante el firewall de Windows (o si utilizáis otro, con este) las conexiones entrantes a cualquier equipo en el puerto 445/TCP, a no ser que sea un equipo con rol de SERVIDOR DE FICHEROS/CONTROLADOR DE DOMINIO, que lo justifique.

      ¿Por qué pongo en mayúsculas dichos roles? porque no se debe bloquear indiscriminamente en estos este tipo de comunicación con tu red corporativa o podrías tener problemas. Ten cuidado siempre que se trate de bloquear apps o funciones legítimas, hazlo fuera de horario productivo y si es posible en equipos no productivos o en despliegue muy limitado, y ve observando los resultados. No queremos que los jefes se enfaden si una aplicación necesaria deja de funcionar!

      Por otro lado, sería bueno fijarse si las conexiones siguen siempre el esquema cliente–> servidor. Es decir, quizá haya que indagar más si vemos conexiones entre cliente cliente o servidor —> cliente (podría ser un movimiento lateral). Si utilizas el comando “net view” con permisos de super administrador podrías identificar potenciales shares anormales, que podrían haberse creado en equipos remotos desde ese sistema para exfiltrar información. Con el comando “net session” puedes identificar conexiones smb entrantes hacia esta máquina. Si no arrojan información, probablemente todo esté bien. Siempre puedes usar puntualmente Wireshark para cerciorarte mejor.

      Igual te interesa revisar este artículo: https://protegermipc.net/2018/03/20/apps-hardening-en-windows/

      Más información: https://support.microsoft.com/en-us/topic/preventing-smb-traffic-from-lateral-connections-and-entering-or-leaving-the-network-c0541db7-2244-0dce-18fd-14a3ddeb282a

      Saludos!

      Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: