GPO: deshabilitar SMBv1

En este tutorial, lo guiaré a través de cómo deshabilitar el complemento de soporte SMBv1 usando la Política de grupo.

Para deshabilitar la compatibilidad total con SMBv1, debe actuar en los dos componentes de SMB que son:

  • El servidor que es el que comparte
  • El cliente que permite el uso de recursos compartidos.

La desactivación por política de grupo se realiza mediante una clave de registro o mediante el paquete de seguridad de política de grupo.

Le aconsejo que solo aplique esta estrategia a computadoras anteriores a Windows 10, de manera predeterminada en Windows 10, la compatibilidad con SMBv1 está deshabilitada. Para hacer esto, use los filtros WMI.

Deshabilitar SMBv1 por claves de registro

Abra la consola de administración de directivas de grupo.

Haga clic con el botón derecho en el contenedor Objetos de directiva de grupo 1 y haga clic en Nuevo 2.

Nombre 1 la política de grupo y luego haga clic en Aceptar 2 para crear el objeto.

Haga clic con el botón derecho en Política de grupo 1 y haga clic en Editar 2.

Vaya a la siguiente ubicación: Configuración del equipo/Preferencias/Configuración de Windows/Registro 1.

Aquí aplicaremos las claves de registro a nivel de computadora y de no usuario, porque estamos modificando el comportamiento de la computadora.

Ahora vamos a crear 3 claves de registro, la primera permite desactivar el protocolo SMBv1 de la parte del servidor y las otras dos desactivarán el cliente SMBv1.

Para cada clave de registro que se creará, haga clic derecho en el área central y vaya a Nuevo 1 y haga clic en Elemento de registro 2.

Configuration de la première clé pour désactiver le serveur SMBv1.

ChampValeur
1ValoresPoner al día
2ColmenaHKEY_LOCAL_MACHINE
3Ruta claveSYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
4Nombre del valorSMB1
5Tipo de valorREG_DWORD
6Datos de valor0

Valide haciendo clic en Aceptar.

Los dos siguientes nos permitirán deshabilitar el cliente SMBv1.

ChampValeur
1ValoresMettre à jour
2ColmenaHKEY_LOCAL_MACHINE
3Ruta claveCurrentControlSet\services
4Nombre del valormrxsmb10
5Tipo de valor REG_DWORD
6Datos de valor4
ChampValeur
1ValoresMettre à jour
2ColmenaHKEY_LOCAL_MACHINE
3Ruta claveSYSTEM\CurrentControlSet\Services\LanmanWorkstation
4Nombre del valorDependOnService
5Tipo de valor REG_MULTI_SZ
6Datos de valorBowser
MRxSmb20
NSI

Se crean las 2 claves de registro:

Ahora necesitamos vincular la política de grupo.

Haga clic con el botón derecho donde desee vincularlo y haga clic en Vincular GPO existente 1.

Seleccione Política de grupo 1 que deshabilita SMBv1 y haga clic en Aceptar 2.

La estrategia está vinculada.

Una vez que se aplica la política, el servidor y el cliente SMBv1 se desactivarán. Es necesario reiniciar.

Antes de implementar esta estrategia a nivel de dominio, le aconsejo que pruebe en una computadora de muestra.

Deshabilite SMBv1 con la configuración de credenciales de seguridad de Microsoft

Poco conocido, Microsoft proporciona varias herramientas para fortalecer la seguridad de su entorno bajo el nombre de Microsoft Security Compliance Toolkit 1.0 disponible aquí : Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center

Comience descargando el último archivo de Security Baseline (zip), al momento de escribir este tutorial, el archivo es: Windows 11 Security Baseline.zip

Instale definiciones de directivas de grupo (archivos admx/adml) ubicadas en la carpeta Plantillas en los controladores de dominio o en su tienda central.

Lancer la console Gestion de stratégie de groupe, sur le conteneur Objets de stratégie de groupe 1, faire un clic droit et cliquer sur Nouveau 2.

Nombre la política de grupo 1 y haga clic en Aceptar 2.

Haga clic derecho en el GPO que acaba de crear 1 y haga clic en Modificar 2.

Vaya a la siguiente ubicación: Configuración del equipo/Políticas/Plantillas administrativas/Guía de seguridad de MS 1.

Aquí encontramos diferentes parámetros que aumentan el nivel de seguridad de Windows.

Faire un double clic sur Configure SMB v1 server 1 pour accéder au paramètre.

Seleccione Deshabilitado 1, luego haga clic en Aplicar 2 y Aceptar 3.

Esta configuración le permite deshabilitar el protocolo SMBv1 desde el servidor.

Abra el parámetro Configure SMB v1 client driver 1 haciendo doble clic en él.

Elija Activado 1 y seleccione Desactivar controlador (recomendado) 2, luego haga clic en el botón Aplicar 3 y Aceptar 4.

Este parámetro actúa sobre el cliente SMB.

Los ajustes están configurados.

Cierra el editor.

Ahora es necesario vincular la política de grupo para que se aplique, en cuanto a la clave de registro, le aconsejo que haga una prueba de su política de grupo.

Haga clic con el botón derecho donde debería vincularse y haga clic en Vincular un GPO 1 existente.

Seleccione Política de grupo 1 y haga clic en Aceptar 2.

La directiva de grupo está vinculada.

En el próximo reinicio cuando se aplique el GPO, el protocolo SMBv1 (servidor y cliente) se desactivará.


Ahora sabe cómo deshabilitar el protocolo SMBv1 automáticamente mediante la directiva de grupo en un entorno de Active Directory.