Configuración del limitador de velocidad de autenticación SMB para Windows

El limitador de velocidad de autenticación SMB es una característica del servidor SMB para Windows Server y el cliente de Windows diseñado para abordar los ataques de autenticación por fuerza bruta. Los ataques de autenticación por fuerza bruta bombardean el servidor SMB con varios intentos de nombre de usuario y de adivinación de contraseña por segundo. A partir de Windows Server 2025 y Windows 11, versión 24H2, el limitador de velocidad de autenticación SMB está habilitado de forma predeterminada. El retraso predeterminado entre cada intento de autenticación basado en NTLM o PKU2U con errores es de 2 segundos y se puede configurar. En este artículo, Obtenga información sobre cómo funciona el limitador de velocidad de autenticación SMB y cómo configurarlo.

Si un administrador permite acceder al servicio del servidor SMB a través del Firewall de Windows para abrir o copiar archivos remotos, un actor malintencionado puede usar el acceso SMB como una manera de intentar la autenticación. Conociendo un nombre de usuario, un atacante puede enviar inicios de sesión NTLM locales o basados en Active Directory a una máquina utilizando varios métodos. La frecuencia con la que se adivina la contraseña puede oscilar entre decenas y miles de intentos de inicio de sesión por segundo. Para obtener más información sobre NTLM, consulte Información general sobre NTLM.

Si su organización no tiene ningún software de detección de intrusiones o no establece una directiva de bloqueo de contraseña, un atacante puede adivinar la contraseña de un usuario. Aunque el servidor SMB se ejecuta de forma predeterminada en todas las versiones de Windows, no se puede acceder a él de forma predeterminada a menos que se permita la regla de firewall. Un usuario final que desactiva el firewall y une un dispositivo a una red no segura se enfrenta a un problema similar.

Funcionamiento del limitador de velocidad de autenticación SMB

El servicio de servidor SMB usa el limitador de velocidad de autenticación para implementar un retraso de 2 segundos entre cada intento de autenticación basado en NTLM o PKU2U con errores. Es decir, si un atacante envió previamente 300 intentos por fuerza bruta por segundo desde un cliente durante 5 minutos (90 000 contraseñas), el mismo número de intentos ahora tardaría 50 horas o más. Al igual que con técnicas similares de defensa en profundidad, el propósito del limitador de velocidad de autenticación SMB es hacer que una máquina Windows sea un objetivo no atractivo aumentando el costo del ataque.

Requisitos previos

Para poder configurar el limitador de velocidad de autenticación SMB, necesita lo siguiente:

• Un servidor SMB que se ejecute en uno de los siguientes sistemas operativos.
  • Windows Server 2025.
  • Windows 11, versión 24H2 o posterior.
• Privilegios administrativos en el equipo.
• Si usa la directiva de grupo en un dominio, necesita privilegios para crear o editar un objeto de directiva de grupo (GPO) y vincularlo a la unidad organizativa (OU) adecuada.

Configuración del limitador de velocidad de autenticación SMB

Con el limitador de velocidad de autenticación SMB, puede establecer un retraso entre intentos de autenticación con errores. También puede habilitar o deshabilitar el limitador de velocidad SMB manualmente en PowerShell o mediante la directiva de grupo. Para habilitar el limitador de velocidad de autenticación SMB, siga los pasos.

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

El limitador de velocidad de autenticación SMB no afecta a Kerberos; Kerberos se autentica antes de que se conecte un protocolo de aplicación como SMB. El limitador de velocidad de autenticación SMB está diseñado para ser otra capa de defensa en profundidad, especialmente para dispositivos que no están unidos a dominios.

Contenido relacionado

• Limitador de velocidad de autenticación SMB en compilaciones de Insider