Windows 11 Pro pronto deshabilitará la autenticación de invitado SMB insegura de forma predeterminada

Hace unos meses, nos enteramos de que Microsoft está mejorando significativamente la autenticación del bloque de mensajes del servidor (SMB) en Windows 11. En ese momento, la empresa habilitó el limitador de velocidad de autenticación SMB de forma predeterminada para que sea una superficie de ataque menos atractiva para los actores malintencionados. Ahora, ha anunciado otro cambio en la autenticación SMB.

En una publicación de blog técnica, el gerente principal de programas de Microsoft, Ned Pyle, declaró que Windows 11 Pro pronto comenzará a deshabilitar los respaldos de autenticación de invitados SMB inseguros. De hecho, las compilaciones recientes de Insider Preview 25267 y 25276 ya implementaron esta mejora de seguridad.

La justificación de Microsoft para este cambio es que la autenticación de invitados no admite registros de auditoría ni mecanismos de seguridad, como la firma y los certificados. Como tales, son un vector de ataque muy atractivo para los ataques de intermediarios (MITM) e incluso se pueden aprovechar en escenarios de servidor. En el peor de los casos, un actor malicioso podría usar el inicio de sesión de invitado para obtener acceso de lectura o copia en toda su red y no dejaría ningún rastro de auditoría.

Es importante tener en cuenta que los inicios de sesión de invitados no se han permitido de forma predeterminada desde Windows 2000. De manera similar, Windows 10 Education y Enterprise no permiten que SMB2 y SMB3 recurran al inicio de sesión de invitados después de intentos de contraseña incorrectos. Sin embargo, curiosamente, mientras que Windows 11 Pro Insider deshabilita la autenticación de invitados de forma predeterminada, Windows 10 Pro no lo hace.

Microsoft dice que el único escenario en el que solicitaría acceso de invitado sería a través de un dispositivo de almacenamiento remoto legítimo de terceros. Sin embargo, no encontrará errores al intentar hacerlo en Windows 11 Pro. La solución consiste en buscar la documentación del dispositivo remoto y descubrir cómo dejar de requerir la autenticación de invitado. Si esto no es posible, puede habilitar temporalmente el respaldo de invitado SMB2 o SMB3 para permitir el acceso . Sin embargo, SMB1 no debe usarse debido a las vulnerabilidades de seguridad presentes en el protocolo heredado.

Microsoft ha mencionado que este comportamiento está habilitado de forma predeterminada en las compilaciones recientes de Windows 11 Pro Insider y que estará disponible en general en la «próxima versión principal» del sistema operativo. El movimiento parece un plan más amplio para hacer que Windows sea más seguro, ya que el gigante tecnológico de Redmond también planea acabar con la herramienta de diagnóstico de soporte de Microsoft (MSDT) en un par de años.