Cómo habilitar o deshabilitar SMB 1.0 en Windows 10/11 y Windows Server

Cómo habilitar o deshabilitar SMB 1.0 en Windows 10 y 11

Trabajar con SMB 1.0 en versiones recientes de Windows puede ser un poco extraño. De forma predeterminada, a partir de Windows 10 1709, Microsoft deshabilitó SMBv1 porque estaba muy desactualizado y lleno de vulnerabilidades de seguridad. Pero si tienes equipos antiguos (como dispositivos NAS antiguos, impresoras antiguas o equipos con Windows XP/2003), es posible que aún necesites ese protocolo antiguo. El problema es que habilitarlo no es tan sencillo como pulsar un botón, sobre todo con todas las advertencias de seguridad, pero funciona si sabes dónde buscar.

En algunas configuraciones, SMBv1 viene deshabilitado de fábrica, pero al intentar conectarse a un dispositivo o recurso compartido heredado, Windows muestra errores 0x80070035o advierte sobre protocolos inseguros. Es un poco extraño, ya que Windows bloquea el acceso a SMBv1; sin embargo, en otras máquinas, habilitarlo solo requiere unos pocos clics o comandos. Recuerde que, dado que SMBv1 es vulnerable, activarlo solo debería ser un último recurso y temporal.

Compruebe si SMBv1 está habilitado mediante DISM

  • Abra el símbolo del sistema como administrador (haga clic derecho y ejecute como administrador)
  • Escribe:Dism /online /Get-Features /format:table | find "SMB1Protocol"

Normalmente, aparece algo como «todas las funciones deshabilitadas», lo cual es normal en Windows reciente. Así es como podría verse:

SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled

Habilitar SMB 1.0 desde las características de Windows

Una forma sencilla es desde el Panel de Control ( optionalfeatures.exe), ya que, por supuesto, Windows tiene que complicar las cosas. Simplemente busque «Características de Windows», inicie la utilidad y desplácese hasta » Compatibilidad con uso compartido de archivos SMB 1.0/CIFS». Despliegue la opción y verá tres opciones:

  • Eliminación automática de SMB 1.0/CIFS (principalmente una configuración de limpieza)
  • Cliente SMB 1.0/CIFS: necesario si su PC necesita acceder a recursos compartidos antiguos
  • Servidor SMB 1.0/CIFS: necesario si su PC actúa como servidor de archivos para dispositivos heredados

Seleccione los que necesite y haga clic en Aceptar. Espere un breve periodo de actualización de Windows. A veces, el cliente SMB se elimina automáticamente después de 15 días de inactividad, así que, si lo habilitó, esté atento y vuelva a habilitarlo si desaparece. En equipos donde SMBv1 es fundamental (como algunas impresoras de red antiguas), es necesario habilitar la parte del servidor.

Habilitación de SMBv1 con comandos y PowerShell

Si la interfaz gráfica no te convence o prefieres usar scripts, aquí tienes los comandos: abre el Símbolo del sistema o PowerShell como administrador.

  • Para habilitar el cliente y el servidor SMB1:
DISM /online /Enable-Feature /FeatureName:"SMB1Protocol" DISM /online /Enable-Feature /FeatureName:"SMB1Protocol-Client" DISM /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"

O bien, con PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

En algunas computadoras, podría solicitar un reinicio, así que planifique con anticipación. Solo un aviso: habilitar SMBv1 podría generar advertencias de seguridad y exponerlo si no se gestiona correctamente.

Deshabilitar SMB 1.0 nuevamente cuando haya terminado

Para desactivarlo (lo cual es muy recomendable una vez que se solucionen los problemas o ya no se necesite el soporte heredado), ejecute:

Dism /online /Disable-Feature /FeatureName:"SMB1Protocol" Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client" Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"

Y para PowerShell:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

A veces, Windows puede mostrarse molesto y requerir un reinicio después de estos comandos. Si SMBv1 está deshabilitado, intentar acceder a recursos compartidos antiguos que aún lo usan generará errores y verá advertencias en el Visor de eventos. Por lo tanto, prepárese para solucionar problemas si esos dispositivos antiguos aún existen.

Otras notas basadas en la experiencia

En algunas configuraciones, habilitar SMBv1 causa problemas con la detección de red o interrumpe el servicio Computer Browser, ya que SMBv1 es antiguo y está eclipsado por protocolos más nuevos y mejores. Por lo tanto, si algo sale mal, considere deshabilitarlo de nuevo. Además, algunos dispositivos de red inusuales podrían solo usar SMBv1, lo que significa que habilitarlo es un arma de doble filo.

Habilitar o deshabilitar el protocolo SMB 1.0 en Windows Server 2019/2022

¿Estás usando un servidor Windows? SMBv1 también está desactivado por defecto, pero si aún necesitas dar soporte a algún cliente o dispositivo antiguo, tendrás que activarlo manualmente. Es básicamente lo mismo, solo que usando PowerShell o el Administrador del servidor.

En PowerShell, verifique si SMBv1 está instalado con:

Get-WindowsFeature | Where-Object {$_.name -like "*SMB1*"} | ft Name, InstallState

Para instalar el cliente SMBv1:

Install-WindowsFeature FS-SMB1-CLIENT

Y para habilitar el servidor SMBv1:

Install-WindowsFeature FS-SMB1-SERVER

No olvides verificar que esté habilitado:

Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol Set-SmbServerConfiguration -EnableSMB1Protocol $true -Force

Si desea deshabilitar el servidor SMBv1, ejecute:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Forcey reiniciar.
 
Auditoría del acceso SMB 1.0 en servidores de archivos de Windows
 
Antes de deshabilitar SMBv1 por completo, conviene comprobar si algún cliente antiguo sigue intentando usarlo. Habilite la auditoría para el acceso a SMB1 con:
 
Set-SmbServerConfiguration -AuditSmb1Access $true


Luego, espere unos días y revise los registros del Visor de eventos en Aplicaciones y servicios -> Microsoft -> Windows -> SMBServer -> Auditoría. Use Get-WinEvent para revisar los registros fácilmente:


Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit


Si detecta intentos constantes de ciertos dispositivos, le recomendamos contactarlos para actualizarlos o reemplazarlos. De lo contrario, desactive la auditoría cuando esté seguro.


Deshabilitar SMB 1.0 mediante la política de grupo


Si administra varias máquinas y desea asegurarse de que SMBv1 esté bloqueado en todas partes, la mejor solución es configurar una directiva de grupo. Cree una nueva GPO (como "Deshabilitar SMBv1") en la Consola de administración de directivas de grupo ( gpmc.msc), vincúlela a la unidad organizativa correspondiente y edítela para deshabilitar SMBv1 mediante la configuración del registro.


Vaya a Configuración del equipo —> Preferencias —> Configuración de Windows —> Registro. Cree un nuevo elemento de registro con estos datos:


    

  • Acción:Update
    • 

  • Colmena:HKEY_LOCAL_MACHINE
    • 

  • Ruta clave:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • 

  • Nombre del valor:SMB1
    • 

  • Tipo de valor:REG_DWORD
    • 

  • Datos de valor:0
    • 



Esto desactiva efectivamente el componente del servidor SMB en esas máquinas. Para desactivar completamente el cliente SMB, haga lo mismo. Aquí están los ajustes de registro recomendados:


    

  • Establezca Inicio en 4para HKLM\SYSTEM\CurrentControlSet\Services\mrxsmb10deshabilitar el controlador del cliente SMB.
    • 

  • En HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation, configure DependOnService para incluir solo dependencias seguras como Bowser, MRxSmb20, y NSI.
    • 



Finalmente, fuerza la actualización de la directiva de grupo ( gpupdate /force) y reinicia. Después, SMBv1 debería desaparecer de todos esos equipos. Sin embargo, ten en cuenta que deshabilitar SMBv1 puede dañar algunos componentes antiguos, así que revisa cuidadosamente antes de implementarlo en masa.


Resumen


En resumen, usar SMBv1 en sistemas modernos es arriesgado. Está ahí, funciona, pero también es peligroso. Si lo necesitas para equipos antiguos, actívalo temporalmente, vigila tu red y planifica actualizar o reemplazar esos dispositivos antiguos. Una vez que hayas terminado, desactiva SMBv1 o, mejor aún, limita su exposición con la directiva de grupo o las reglas del firewall.


Resumen


    

  • Compruebe el estado de SMBv1 con DISM o PowerShell.
    • 

  • Habilítelo o deshabilítelo a través de las características de Windows, comandos o GPO.
    • 

  • Audite el acceso a SMBv1 para detectar dispositivos heredados que aún están al acecho.
    • 

  • Reconsidere la necesidad de SMBv1: la seguridad supera la conveniencia.
    • 



Cruzo los dedos para que esto ayude.

				



				

					

  

    
    
Cómo restringir el acceso a PowerShell para usuarios no administradores en Windows

  

      

      
      
Cómo suprimir los avisos del UAC para ciertas aplicaciones en Windows