Fortalecer las estaciones de trabajo: Deshabilite SMB v1

0
51

Server Message Block (SMB) es un servicio fundamental que se ha utilizado durante muchos años. Este protocolo estándar de Internet permite a Windows compartir archivos, impresoras y puertos seriales. SMB se utiliza a través de Internet por encima del protocolo TCP/IP.

SMB v1 ha estado en uso desde Windows 95, y en el 2019, todavía se encuentra y abusa de éste en las redes. Si tiene SMB v1 habilitado en su red, puede usarse en ataques combinados que pueden incluir ransomware y otro malware. En una entrada de blog del 2016, Ned Pyle enumera las protecciones que pierde cuando se usa SMB v1:

“Lo más desagradable es que no importa cómo asegure todas estas cosas, si sus clientes usan SMB1, entonces un intermediario puede decirle a su cliente que ignore todo lo anterior”, señala Pyle.

Cómo detectar y deshabilitar SMB v1
Puede utilizar varios medios para desactivar SMB v1 en su red. Por ejemplo, puede usar la política de grupo para deshabilitarla con una clave de registro, como se indica en una publicación de blog del 2017. Además, puede seguir la guía en KB2696547 con el fin de detectar si SMB v1 sigue en uso dentro su red y para desactivarlo elegantemente.

En Windows 10, puede usar PowerShell para determinar si SMB v1 está habilitado en su computadora. Por ejemplo, el comando Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol en mi sistema Windows 10 proporciona la siguiente información:

Determinando el soporte para SMB v1

Es posible que las fotocopiadoras e impresoras más antiguas, o el almacenamiento accesible a través de la red más antiguo, aún dependan de SMB v1 para funcionar. Debe determinar si el riesgo de SMB v1 es aceptable, o puede comunicarse con las proveedoras de sus dispositivos impactados para determinar si puede obtener una actualización de firmware para admitir SMB v2 y SMB v3 en estos dispositivos más antiguos. Incluso existe una lista de productos que exigen SMB v1. Si tiene problemas para deshabilitar SMB v1 en casa, consulte la guía en el blog Barbs Connected World.

A continuación, según lo recomendado por el U.S. Cert., puede bloquear SMB v1 en el servidor de seguridad e Internet. La mayoría de los firewalls lo hacen de forma predeterminada, pero revise si el suyo bloquea automáticamente todas las versiones SMB en el límite de la red. Lo haría mediante el bloqueo del puerto TCP 445 con protocolos relacionados en los puertos UDP 137-138 y el puerto TCP 139.

Ahora tómese el tiempo para revisar el estado de su SMB v1 y reforzar su Server Message Block.

Susan Bradley, CSOonline.com