SMB a través de QUIC

  • Artículo

Aplicable a: Windows Server 2022 Datacenter: Azure Edition, Windows 11

SMB a través de QUIC presenta una alternativa al transporte de red TCP, la cual proporciona una conectividad segura y fiable a los servidores de archivos perimetrales a través de redes que no son de confianza, como Internet. QUIC es un protocolo estandarizado de IETF con muchas ventajas en comparación con TCP:

  • Todos los paquetes están siempre cifrados y el protocolo de enlace se autentica con TLS 1.3
  • Flujos paralelos de datos de aplicación fiables y no fiables
  • Intercambia datos de aplicación en el primer recorrido de ida y vuelta (0-RTT)
  • Mejora del control de congestión y recuperación de pérdidas
  • Sobrevive a un cambio en la dirección IP o el puerto de los clientes.

SMB a través de QUIC ofrece una "VPN SMB" para teletrabajadores, usuarios de dispositivos móviles y organizaciones de alta seguridad. El certificado de servidor crea un túnel cifrado TLS 1.3 a través del puerto UDP 443 compatible con Internet en lugar del puerto TCP 445 heredado. Todo el tráfico SMB, incluidas la autenticación y la autorización dentro del túnel, nunca se expone a la red subyacente. SMB se comporta con normalidad en el túnel de QUIC, lo que significa que la experiencia del usuario no cambia. Las características de SMB como el multicanal, la firma, la compresión, la disponibilidad continua, la concesión del directorio, etc. funcionan con normalidad.

Un administrador del servidor de archivos debe optar por habilitar SMB a través de QUIC. De forma predeterminada no está activado y los clientes no pueden forzar que ningún servidor de archivos habilite SMB a través de QUIC. Los clientes de SMB de Windows siguen usando TCP de forma predeterminada y solo probarán con SMB a través de QUIC si previamente se ha producido un error al intentar usar TCP, o bien si intencionadamente se requiere QUIC mediante NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC.

Requisitos previos

Para usar SMB sobre QUIC, se necesita:

  • Un servidor de archivos en el que se ejecute Windows Server 2022 Datacenter: Azure Edition (sistemas operativos de Microsoft Server)
  • Un equipo con Windows 11 (Windows para empresas)
  • Windows Admin Center (página principal)
  • Una infraestructura de clave pública que permita emitir certificados como Active Directory Certificate Server o acceder a un emisor de certificado de terceros de confianza, como Verisign, Digicert, Let's Encrypt, etc.

Implementación de SMB a través de QUIC

Paso 1: Instalación de un certificado de servidor

  1. Cree un certificado emitido por una entidad de certificación que tenga las siguientes propiedades:

    • Uso de claves: firma digital
    • Propósito: autenticación del servidor (EKU  1.3.6.1.5.5.7.3.1)
    • Algoritmo de firma: SHA256RSA (o superior)
    • Hash de firma: SHA256 (o superior)
    • Algoritmo de clave pública: ECDSA_P256 (o superior. También se puede usar RSA con una longitud mínima de 2048)
    • Nombre alternativo del firmante (SAN): (una entrada de nombre DNS para cada nombre DNS completo que se use para acceder al servidor SMB)
    • Firmante: (CN= cualquier cosa, pero debe existir)
    • Clave privada incluida: sí

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    Si usa una entidad de certificación de Microsoft Enterprise, puede crear una plantilla de certificado y dejar que el administrador del servidor de archivos indique los nombres DNS al solicitarlo. Para más información sobre cómo crear una plantilla de certificado, consulte Diseño e implementación de una PKI: parte III, plantillas de certificado. En este vídeo verá una demostración de cómo crear un certificado para SMB a través de QUIC mediante una entidad de certificación de Microsoft Enterprise:

    Para solicitar un certificado de terceros, consulte la documentación del proveedor.

  2. Si usa una entidad de certificación de Microsoft Enterprise:

    1. Inicie MMC.EXE en el servidor de archivos.
    2. Agregue el complemento Certificados y seleccione la cuenta Equipo.
    3. Expanda Certificados (equipo local), Personal, haga clic con el botón derecho en Certificados y, después, en Solicitar un nuevo certificado.
    4. Haga clic en Siguiente.
    5. Seleccione Directiva de inscripción de Active Directory.
    6. Haga clic en Siguiente.
    7. Seleccione la plantilla de certificado para SMB a través de QUIC que se publicó en Active Directory.
    8. Haga clic en Se necesita más información para inscribirse para este certificado. Haga clic aquí para configurar los valores.
    9. Para que los usuarios puedan buscar el servidor de archivos, rellene el valor Firmante con un nombre común y Nombre alternativo del firmante con uno o varios nombres DNS.
    10. Haga clic en Aceptar y, después, en Inscribir.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

Nota:

No use direcciones IP para SMB a través de nombres alternativos del firmante del servidor QUIC.

  1. Las direcciones IP requerirán el uso de NTLM, incluso si Kerberos está disponible desde un controlador de dominio o mediante el proxy KDC.
  2. Las máquinas virtuales IaaS de Azure que ejecutan SMB a través de QUIC usan NAT para una interfaz pública de vuelta a una interfaz privada. SMB a través de QUIC no admite el uso de la dirección IP para el nombre del servidor a través de una NAT, debe usar un nombre DNS completo que se resuelva en la dirección IP de la interfaz pública solo en este caso.

Nota:

Si utiliza un archivo de certificado emitido por una entidad de certificación de terceros, puede usar el complemento Certificados o Windows Admin Center para importarlo.

Paso 2: Configuración de SMB a través de QUIC

  1. Implemente un servidor con Windows Server 2022 Datacenter: Azure Edition.
  2. Instale la versión más reciente de Windows Admin Center en un equipo de administración o en el servidor de archivos. Necesita la versión más reciente de la extensión Archivos y uso compartido de archivos. Windows Admin Center la instala automáticamente si la opción Actualización automática de extensiones está habilitadas en Configuración > Extensiones.
  3. Replique el servidor de archivos de Windows Server 2022 Datacenter: Azure Edition al dominio de Active Directory y haga que los clientes de Windows Insider puedan acceder a él en la interfaz pública de Azure mediante la adición de una regla de permiso de firewall para la entrada UDP/443. No permita el puerto TCP/445 de entrada al servidor de archivos. El servidor de archivos debe tener acceso al menos a un controlador de dominio para que se realice la autenticación, pero ningún controlador de dominio requiere acceso a Internet.

Nota:

Se recomienda usar SMB a través de QUIC con dominios de Active Directory, pero no es obligatorio. También se puede usar en un servidor unido a un grupo de trabajo con credenciales de usuario local y NTLM.

  1. Conéctese al servidor con Windows Admin Center y haga clic en el icono Configuración de la parte inferior izquierda. En la sección Recursos compartidos de archivos (servidor SMB), en Uso compartido de archivos a través de Internet con SMB a través de QUIC, haga clic en Configurar.

  2. Haga clic en un certificado en Seleccionar un certificado de equipo para este servidor de archivos, haga clic en los clientes de direcciones de servidor a los que puede conectarse, o bien haga clic en Seleccionar todo y, después, en Habilitar.

    image showing the steps for configure SMB over QUIC1

  3. Asegúrese de que tanto el certificado como el informe de SMB sobre QUIC son correctos.

    image showing the steps for configure SMB over QUIC2

  4. Haga clic en la opción de menú Archivos y uso compartido de archivos. Anote los recursos compartidos de SMB existentes o cree uno.

En este vídeo puede ver una demostración de cómo configurar y usar SMB a través de QUIC:

Paso 3: Conexión a recursos compartidos de SMB

  1. Una su dispositivo de Windows 11 a su dominio. Asegúrese de que los nombres de los nombres alternativos del firmante del certificado del servidor de archivos de SMB a través de QUIC se publican en DNS y están completos, O BIEN se agregan a los archivos del HOST de Windows 11. Asegúrese de que los nombres alternativos del firmante del certificado del servidor se publican en DNS O se agregan a los archivos de HOSTS de Windows 11.

  2. Mueva su dispositivo de Windows 11 a una red externa donde ya no tenga acceso de red a los controladores de dominio o las direcciones IP internas del servidor de archivos.

  3. En el Explorador de archivos de Windows, en la barra de direcciones, escriba la ruta de acceso UNC a un recurso compartido del servidor de archivos y confirme que puede acceder a los datos del recurso. Como alternativa, puede usar NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC con una ruta de acceso UNC. Ejemplos:

    NET USE * \\fsedge1.contoso.com\sales(intenta automáticamente TCP y, después, QUIC)

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC(solo intenta QUIC)

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC(solo intenta QUIC)

De forma predeterminada, los dispositivos con Windows 11 no tendrán acceso a ningún controlador de dominio de Active Directory al conectarse a un servidor de archivos de SMB a través de QUIC, lo que significa que la autenticación utiliza NTLMv2, donde el servidor de archivos se autentica en nombre del cliente. No se produce ninguna autenticación o autorización de NTLMv2 fuera del túnel QUIC con cifrado TLS 1.3. Sin embargo, es aconsejable seguir usando Kerberos como procedimiento recomendado de seguridad general y no se recomienda crear dependencias de NTLMv2 en las implementaciones. Para permitirlo, puede configurar el proxy de KDC para que reenvíe solicitudes de vales en nombre del usuario, y todo ello mientras usa un canal de comunicación cifrado HTTPS compatible con Internet. El proxy de KDC es totalmente compatible con SMB a través de QUIC y se recomienda encarecidamente su uso.

Nota:

Windows Admin Center (WAC) no se puede configurar en modo de puerta de enlace mediante el puerto TCP 443 en un servidor de archivos en el que se va a configurar el proxy de KDC. Cuando configure WAC en el servidor de archivos, cambie el puerto a uno que no esté en uso y no sea el 443. Si ya ha configurado WAC en el puerto 443, vuelva a ejecutar el MSI de instalación de WAC y elija otro puerto cuando se le solicite.

Método de Windows Admin Center

  1. Asegúrese de que usa, como mínimo, la versión 2110 de Windows Administración Center.

  2. Configure SMB a través de QUIC de la forma habitual. A partir de Windows Admin Center 2110, la opción de configurar el proxy de KDC en SMB a través de QUIC se habilita automáticamente y no es necesario realizar pasos adicionales en los servidores de archivos. El puerto predeterminado del proxy de KDC es el 443 y Windows Administración Center lo asigna automáticamente.

    Nota:

    No se puede configurar ningún servidor de SMB a través del servidor QUIC que esté replicado en un grupo de trabajo mediante Windows Administración Center. El servidor se debe replicar en un dominio de Active Directory, o bien se deben llevar a cabo los pasos que se indican en la sección Método manual.

  3. Configure la siguiente directiva de grupo para que se aplique al dispositivo con Windows 11:

    Equipos > Plantillas administrativas > Sistema > Kerberos > Especificar servidores proxy de KDC para clientes Kerberos

    El formato de esta configuración de directiva de grupo es un nombre/valor que se compone del nombre de dominio completo de Active Directory y el valor será el nombre externo que especificó para el servidor de QUIC. Por ejemplo, donde el dominio de Active Directory se denomina corp.contoso.com y el dominio DNS externo se denomina contoso.com:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Esta asignación de dominio Kerberos significa que si el usuario ned@corp.contoso.com intentó conectarse a un nombre de servidor de archivos fs1edge.contoso.com, el proxy KDC sabrá reenviar los vales de Kerberos a un controlador del dominio corp.contoso.com interno. La comunicación con el cliente se realizará a través de HTTPS en el puerto 443 y las credenciales de usuario no se exponen directamente en la red del servidor de archivos del cliente.

  4. Asegúrese de que los firewalls perimetrales permiten HTTPS en el puerto 443 de entrada del servidor de archivos.

  5. Aplique la directiva de grupo y reinicie el dispositivo con Windows 11.

Método manual

  1. En el servidor de archivos, en un símbolo del sistema de PowerShell con privilegios elevados, ejecute:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. Copie el valor de la huella digital del certificado asociado con el certificado de SMB a través de QUIC (puede haber varias líneas, pero todas tendrán la misma huella digital) y péguelo como valor de Certhash para el siguiente comando:

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Agregue los nombres de SMB a través de QUIC del servidor de archivos como SPN en Active Directory para Kerberos. Por ejemplo:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. Establezca el servicio de proxy de KDC en automático e inícielo:

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. Configure la siguiente directiva de grupo para que se aplique al dispositivo con Windows 11:

    Equipos > Plantillas administrativas > Sistema > Kerberos > Especificar servidores proxy de KDC para clientes Kerberos

    El formato de esta configuración de directiva de grupo es un nombre/valor que se compone del nombre de dominio completo de Active Directory y el valor será el nombre externo que especificó para el servidor de QUIC. Por ejemplo, donde el dominio de Active Directory se denomina "corp.contoso.com" y el dominio DNS externo se denomina "contoso.com":

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Esta asignación de dominio Kerberos significa que si el usuario ned@corp.contoso.com intentó conectarse a un nombre de servidor de archivos fs1edge.contoso.com", el proxy KDC sabrá reenviar los vales de Kerberos a un controlador del dominio corp.contoso.com interno. La comunicación con el cliente se realizará a través de HTTPS en el puerto 443 y las credenciales de usuario no se exponen directamente en la red del servidor de archivos del cliente.

  6. Cree una regla de firewall de Windows Defender que permita el puerto 443 entrante de TCP para que el servicio de proxy de KDC reciba solicitudes de autenticación.

  7. Asegúrese de que los firewalls perimetrales permiten HTTPS en el puerto 443 de entrada del servidor de archivos.

  8. Aplique la directiva de grupo y reinicie el dispositivo con Windows 11.

Nota:

La configuración automática del proxy de KDC aparecerá más adelante en SMB a través de QUIC y estos pasos del servidor no serán necesarios.

Expiración y renovación del certificado

Los certificados de SMB a través de QUIC expirados que se reemplacen por certificados del emisor contendrán huellas digitales nuevas. Aunque cuando expiren los certificados de SMB a través de QUIC se pueden renovar automáticamente mediante Servicios de certificados de Active Directory, los certificados renovados también obtienen huellas digitales nuevas. Esto significa que SMB a través de QUIC se debe volver a configurar cuando expire el certificado, ya que se debe asignar una nueva huella digital. Simplemente puede seleccionar en Windows Admin Center el nuevo certificado para la configuración de SMB a través de QUIC existente, o bien usar el comando de PowerShell Set-SMBServerCertificateMapping para actualizar la asignación del nuevo certificado. Para detectar la expiración inminente de certificados y evitar que se produzca una interrupción se puede usar Azure Automanage para Windows Server. Para más información, consulte Azure Automanage para Windows Server.

Notas

  • Para los clientes que no usan la nube pública de Azure, Windows Server 2022 Datacenter: Azure Edition está disponible en Azure Stack HCI a partir de la versión 22H2.
  • Se recomienda usar SMB a través de QUIC con dominios de Active Directory, pero no es obligatorio. También puede usar SMB a través de QUIC en un servidor unido a un grupo de trabajo con credenciales de usuario local y NTLM, o bien, IaaS de Azure con servidores Windows unidos a Microsoft Entra. No es posible unir servidores de Windows a Microsoft Entra en máquinas no basadas en IaaS de Azure. Los servidores de Windows unidos a Microsoft Entra no admiten las credenciales para operaciones de seguridad remotas de Windows porque Microsoft Entra ID no contiene los SID de usuario o grupo. Los servidores de Windows unidos a Microsoft Entra deben usar una cuenta de usuario local o basada en dominio para acceder al recurso compartido de SMB a través de QUIC.
  • SMB a través de QUIC no se puede configurar mediante WAC cuando el servidor SMB esté en un grupo de trabajo (es decir, no esté replicado en un dominio de AD). En ese escenario, se debe usar el cmdlet New-SMBServerCertificateMapping.
  • Se recomienda que los controladores de dominio de solo lectura configurados solo con contraseñas de usuarios móviles estén disponibles en el servidor de archivos.
  • Los usuarios deben tener contraseñas seguras o, idealmente, configurarse mediante una estrategia sin contraseña con Windows Hello para empresas MFA o tarjetas inteligentes. Configure una directiva de bloqueo de cuenta para los usuarios móviles a través de una directiva de contraseña específica y debe implementar software de protección contra intrusiones para detectar ataques de fuerza bruta o de difusión de contraseña.

Más referencias

Blog Storage at Microsoft

Página principal del grupo de trabajo de QUIC

Página principal de GitHub de Microsoft MsQuic

Página de QUIC en Wikipedia

Página principal del grupo de trabajo de TLS 1.3

Paso del protocolo Seguridad de la capa de transporte (TLS) al siguiente nivel con TLS 1.3