Configuración del control de acceso de cliente SMB a través de QUIC en Windows Server 2022 Azure Edition y Windows Server Insider (versión preliminar)

Importante

Las compilaciones de Windows Insider y Windows Server Insider están en VERSIÓN PRELIMINAR. Esta información está relacionada con un producto en versión preliminar que puede modificarse considerablemente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.

El control de acceso de clientes SMB a través de QUIC permite restringir qué clientes pueden acceder a los servidores SMB a través de QUIC. El control de acceso de clientes crea listas de permitidos y bloqueados para que los dispositivos se conecten al servidor de archivos. El control de acceso de clientes ofrece a las organizaciones más protección sin cambiar la autenticación usada al realizar la conexión SMB, ni alterar la experiencia del usuario final.

El artículo explica cómo se utiliza PowerShell para configurar el control de acceso de clientes para SMB sobre QUIC en Windows 11 y Windows Server 2022 Datacenter: Azure Edition. Para continuar con las instrucciones, debe tener instalada la actualización de marzo KB5035853 o KB5035857, ejecutar una compilación reciente de Windows 11 Insider o una compilación de Windows Server Insider.

Para obtener más información sobre la configuración de SMB a través de QUIC, consulte SMB a través de QUIC.

Funcionamiento del control de acceso de clientes

El control de acceso de clientes comprueba que los clientes que se conectan a un servidor usen un certificado de cliente conocido o tengan un certificado emitido por un certificado raíz compartido. El administrador emite este certificado al cliente y agrega el hash a una lista de permitidos mantenida por el servidor. Cuando el cliente intenta conectarse al servidor, el servidor compara el certificado de cliente con la lista de permitidos. Si el certificado es válido, el certificado del servidor crea un túnel cifrado TLS 1.3 a través del puerto UDP 443 y concede al cliente acceso al recurso compartido. El control de acceso de clientes también admite certificados con nombres alternativos de asunto.

También puede configurar SMB a través de QUIC para bloquear el acceso revocando certificados o denegando explícitamente el acceso a determinados dispositivos.

Requisitos previos

Para poder configurar el control de acceso de cliente, necesita un Servidor SMB con los siguientes requisitos previos.

• Un servidor SMB que ejecuta Windows Server 2022 Datacenter: Azure Edition con la actualización del 12 de marzo de 2024, KB5035857 o Windows Server Insiders, compilación 25977 o posterior. Para desbloquear la característica en vista previa (GB), también debe instalar Vista previa de la característica Windows Server 2022 KB5035857 240302_030531.
• SMB a través de QUIC habilitado y configurado en el servidor. Para obtener información sobre cómo configurar SMB a través de QUIC, consulte SMB a través de QUIC.
• Si usa certificados de cliente emitidos por otra entidad de certificación (CA), debe asegurarse de que el servidor confía en la entidad de certificación.
• Privilegios administrativos para el servidor SMB que está configurando.

También necesita un cliente SMB con los siguientes requisitos previos.

• Un cliente SMB que se ejecute en uno de los siguientes sistemas operativos:
  • Windows Server 2022 Datacenter: Azure Edition con la actualización del 12 de marzo de 2024 KB5035857. Para desbloquear la característica en vista previa (GB), también debe instalar Vista previa de la característica Windows Server 2022 KB5035857 240302_030531.
  • Windows 11 con la actualización del 12 de marzo de 202 KB5035853. Para desbloquear la característica en vista previa (GB), también debe instalar Vista previa de la característica Windows Server 11 KB5035854 240302_030535 (versión original).
  • Windows Server Insiders, compilación 25977 o posterior.
  • Windows 11 Insider Preview Build 25977 (Canary Channel) o una versión posterior.
• Un certificado de cliente que:
  • Emitido para la autenticación del cliente (EKU 1.3.6.1.5.5.7.3.2).
  • Se emite por una entidad de certificación de confianza por el servidor SMB.
  • Se instala en el almacén de certificados del cliente.
• Privilegios administrativos para el servidor SMB que está configurando.

Nota:

Se recomienda usar SMB a través de QUIC con dominios de Active Directory, pero no es obligatorio. También se puede usar en un servidor unido a un grupo de trabajo con credenciales de usuario local y NTLM.

Configurar el cliente de SMB

Recopilación de la información del certificado de cliente SMB

Para recopilar el hash de certificado de cliente mediante PowerShell:

1. Abra un símbolo del sistema de PowerShell con privilegios elevados en el cliente SMB.

2. Para enumerar los certificados en el almacén de certificados del cliente, ejecute el siguiente comando.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Ejecute el siguiente comando para almacenar el certificado en una variable. Reemplace <subject name> por el nombre de asunto del certificado que desea usar.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Anote el hash SHA256 del certificado del cliente mediante el comando siguiente. Necesitará este identificador cuando configure el control de acceso de los clientes.

   $clientCert.GetCertHashString("SHA256")
   

Nota:

La huella digital almacenada en el objeto $clientCert usa el algoritmo SHA1. Esto se usa mediante comandos como New-SmbClientCertificateMapping. También necesitará la huella digital SHA256 para configurar el control de acceso de clientes. Estas huellas serán diferentes y se derivan mediante algoritmos diferentes contra el mismo certificado.

Asigne el certificado de cliente al cliente SMB

Para asignar el certificado de cliente al cliente SMB:

1. Abra un símbolo del sistema de PowerShell con privilegios elevados en el cliente SMB.

2. Ejecute el comando New-SmbClientCertificateMapping para asignar el certificado de cliente. Reemplace <namespace> por el nombre de dominio completo (FQDN) del servidor SMB y use la huella digital del certificado de cliente SHA1 que recopiló en la sección anterior mediante la variable.

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

Una vez completado, el cliente SMB usa el certificado de cliente para autenticarse en el servidor SMB que coincide con el FQDN.

Configurar el control de acceso de clientes

Conceder clientes individuales

Siga los pasos para conceder a un cliente específico acceso al servidor SMB mediante el control de acceso de cliente.

1. Inicie sesión en el servidor SMB.

2. Abra un símbolo del sistema de PowerShell con privilegios elevados en el servidor SMB.

3. Ejecute Grant-SmbClientAccessToServer para conceder acceso al certificado de cliente. Reemplace <name> por el nombre de host del servidor SMB y <hash> mediante el identificador de certificado de cliente SHA256 que recopiló en la sección Recopilación de la información del certificado de cliente SMB.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Ahora ha concedido acceso al certificado de cliente. Para comprobar el acceso al certificado de cliente, ejecute el comando Get-SmbClientAccessToServer.

Conceder entidades de certificación específicas

Siga los pasos para conceder a los clientes de una entidad de certificación específica, también conocida como emisor, mediante el control de acceso de clientes.

1. Inicie sesión en el servidor SMB.

2. Abra un símbolo del sistema de PowerShell con privilegios elevados en el servidor SMB.

3. Ejecute Grant-SmbClientAccessToServer para conceder acceso al certificado de cliente. Reemplace <name> por el nombre de host del servidor SMB y <subject name> por el nombre distintivo X.500 completo del certificado del emisor. Por ejemplo, CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

Deshabilitación de SMB a través de QUIC

A partir de la compilación 26090 de Windows 11 Insider, los administradores ahora pueden deshabilitar SMB a través de QUIC para el cliente ejecutando el siguiente comando:

Set-SmbClientConfiguration -EnableSMBQUIC $false

De forma similar, esta operación se puede realizar en la directiva de grupo deshabilitando la directiva Habilitar SMB a través de QUIC en la siguiente ruta de acceso:

• Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman

Conexión al servidor SMB Server

Cuando haya terminado, pruebe si puede conectarse al servidor ejecutando uno de los siguientes comandos:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Or

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Si puede conectarse al servidor, habrá configurado correctamente SMB a través de QUIC mediante el control de acceso de cliente.

Contenido relacionado

• SMB a través de QUIC
• Blog Storage at Microsoft
• Página principal del grupo de trabajo de QUIC
• Página principal de GitHub de Microsoft MsQuic
• Página de QUIC en Wikipedia
• Página principal del grupo de trabajo de TLS 1.3