En aquest context apareix SMB sobre QUIC, una mena de “VPN SMB” moderna que encapsula el protocol clàssic de compartició d'arxius de Windows dins de QUIC, amb xifrat TLS 1.3 i millor tolerància a xarxes poc fiables, canviant per complet la forma en què accedim als recursos compartits des d'Internet. Al llarg d'aquest article veuràs, amb força nivell de detall, com funciona, què necessites per muntar-lo, com gestionar-lo i com reforçar encara més la seguretat del teu entorn.
Què és SMB sobre QUIC i per què canvia les regles del joc
SMB sobre QUIC és l'evolució del transport de SMB que reemplaça el clàssic TCP 445 per QUIC sobre UDP 443. En lloc d'exposar el port SMB de tota la vida a Internet, s'estableix un túnel segur amb TLS 1.3 a sobre de QUIC, de manera que tots els paquets sempre van xifrats i autenticats des del primer moment.
El protocol QUIC, estandarditzat per l'IETF, ofereix avantatges molt clars davant TCP: el xifratge és obligatori en tots els paquets, el protocol d'enllaç utilitza TLS 1.3 autenticat, permet fluxos paral·lels fiables i no fiables a la mateixa connexió, envia dades d'aplicació a 0-RTT per reduir la latència inicial, millora el control de congestió i la recuperació de pèrdues, i suporta canvis d'IP o de port sense llençar.
quan fem servir SMB dins aquest túnel QUIC, el trànsit SMB -incloent-hi autenticació, autorització i dades- mai queda exposat en clar a la xarxa subjacent. El client veu un recurs compartit SMB estàndard, amb multicanal, signatura, compressió, alta disponibilitat, lísing de directori i la resta de característiques habituals, però tot viatja encapsulat i xifrat a través del port UDP 443, molt més amigable amb firewalls i xarxes públiques.
A la pràctica, SMB sobre QUIC proporciona una VPN específica per a fitxers pensada per a teletreballadors, dispositius mòbils, sucursals i organitzacions amb requisits de seguretat elevats. L'usuari treballa exactament igual que si fos a la xarxa interna, però sense muntar una VPN generalista i sense obrir el port 445 a l'exterior.
Un punt important: SMB sobre QUIC no s'activa només. És l'administrador qui l'ha d'habilitar al servidor de fitxers. Els clients de SMB a Windows continuen usant TCP per defecte i només intenten QUIC si l'accés TCP falla primer, o si es força explícitament el transport amb ordres com NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC.
Requisits previs per desplegar SMB sobre QUIC
Abans d'activar res, cal revisar els requisits bàsics d'infraestructura. No és especialment complicat, però sí que convé tenir-ho clar per evitar errors ximples en producció.
Per al servidor SMB, necessites que executi alguna edició que suporti QUIC, com Windows Server 2022 Datacenter: Azure Edition o posteriors, i que estigui configurat com a servidor de fitxers perimetral o similar. També es pot fer servir en escenaris d'Azure Local i en futures versions com Windows Server 2025.
Al costat del client , es requereix Windows 11 en edicions orientades a empresa, ja que les capacitats SMB sobre QUIC estan pensades per a entorns corporatius. El dispositiu ha de poder resoldre el nom públic del servidor a través de DNS o, si no, tenir-lo definit al fitxer HOSTS.
A nivell d'identitat, l'escenari recomanat és que servidor SMB i client estiguin units a un domini d'Active Directory. El servidor ha de poder contactar com a mínim amb un controlador de domini per a l'autenticació, encara que aquests controladors no necessiten accés a Internet. També se suporten configuracions en grup de treball amb comptes locals i NTLM, així com servidors units a Microsoft Entra a IaaS d'Azure, però amb certes limitacions en operacions de seguretat remotes.
Pel que fa a connectivitat, el servidor ha de ser accessible des d'Internet per la interfície pública, amb una regla de tallafocs que permeti trànsit entrant UDP/443. És crucial no exposar el port TCP 445 des d'Internet; si necessites ports alternatius, Microsoft permet canviar la configuració de ports SMB, però la filosofia general és: UDP 443 sí, TCP 445 no.
Per al plànol de seguretat, es requereix una infraestructura de clau pública (PKI) que emeti certificats vàlids per al servidor QUIC. Pot ser Active Directory Certificate Services o una entitat externa de confiança (DigiCert, GlobalSign, Let's Encrypt amb el perfil adequat, etc.). I, per descomptat, l'administrador que configurarà SMB sobre el QUIC ha de tenir privilegis administratius sobre el servidor.
Instal·lació i preparació del certificat de servidor
El nucli de la seguretat a SMB sobre QUIC és el certificat TLS del servidor. Sense un certificat ben emès i ben instal·lat, el túnel QUIC no s'estableix correctament i el client no confiarà en la connexió.
Aquest certificat n'ha de complir diversos requisits tècnics concrets: ús de clau de signatura digital, propòsit d'autenticació de servidor (EKU 1.3.6.1.5.5.7.3.1), algoritme de signatura almenys SHA256RSA, hash SHA256 o superior i clau pública preferiblement ECDSA_P256 (encara que s'admet RSA amb un mínim de 2048. A més, heu de contenir al Subject Alternative Name (SAN) totes les entrades DNS completes que s'utilitzaran per accedir al servidor SMB.
El certificat ha d'incloure la clau privada associada i estar emès per una entitat que els clients considerin de confiança. El camp CN de l'emissor pot ser flexible, però la cadena de confiança ha de ser vàlida i completa. En entorns amb una CA corporativa de Microsoft, és habitual crear una plantilla específica per a SMB sobre QUIC i permetre que els administradors indiquin els noms DNS quan sol·liciten el certificat.
En escenaris amb CA de Microsoft Enterprise, el procés típic implica obrir MMC al servidor, afegir el complement de certificats per al compte d'equip i, al magatzem Personal, llançar-ne una sol·licitud de nou certificat. S'escull la directiva d'inscripció d'Active Directory, se selecciona la plantilla apropiada i s'emplenen els camps d'Assumpte i SAN amb els noms DNS que faran servir els clients.
Un cop finalitzada la inscripció, el certificat apareixerà al magatzem d'equip local. A partir d'aquell moment, ja es pot fer servir tant a SMB sobre QUIC com en funcions complementàries com el proxy de KDC si es decideix implementar més endavant.
Configuració de SMB sobre QUIC al servidor
Un cop tens el certificat llest, arriba el moment de activar i configurar SMB sobre QUIC. Microsoft permet fer-ho tant des de Windows Admin Center (WAC) com des de PowerShell, segons preferències i versió del sistema.
En habilitar la característica, el servidor associa el certificat TLS seleccionat a l'endpoint QUIC que escoltarà a UDP 443. Des d'aquell moment, els clients capaços de fer servir SMB sobre QUIC podran establir un túnel xifrat cap al servidor sempre que resolguin el nom DNS del certificat i puguin arribar al port 443/UDP.
Al Windows Admin Center sol haver-hi un botó de “Configurar” o similar per a SMB sobre QUIC. No obstant això, hi ha casos reportats en què el botó no respon, normalment per versions desactualitzades de WAC, extensions trencades o requisits no complerts (per exemple, que la màquina no sigui Azure Edition, que faltin rols o que el certificat no sigui vàlid). En aquests casos, el més recomanable és revisar versions, comprovar que el servidor compleix els requisits i, si cal, passar a la configuració via PowerShell.
A més de la configuració bàsica, és possible aplicar polítiques d'accés per limitar quins clients poden utilitzar QUIC, combinar-lo amb Azure Automanage per gestionar certificats i supervisar l'estat de la configuració, i enllaçar-lo amb altres funcionalitats avançades com el control d'accés de clients i el servidor intermediari de KDC.
Connexió de clients a recursos compartits SMB sobre QUIC
Per a lusuari final, la idea és que laccés sigui el més transparent i familiar possible, com si fos dins de la xarxa corporativa. No obstant això, hi ha diversos punts de configuració que cal revisar.
El primer és unir el dispositiu Windows 11 al domini (si escau) i assegurar-se que els noms DNS del servidor definits al SAN del certificat corresponen amb entrades vàlides en DNS o al fitxer HOSTS. Des de fora de la xarxa interna, el client ja no veurà les IP privades, així que cal utilitzar el nom extern publicat, o, com a alternativa, utilitzar OneDrive per compartir fitxers a escenaris on no sigui viable publicar SMB.
A l'hora de provar, convé moure l'equip a una xarxa externa on no hi hagi accés directe al domini ni a les IP internes. D'aquesta manera es comprova que l'accés es fa realment mitjançant QUIC i no pel camí clàssic de LAN.
Des de l'Explorador de fitxers de Windows es pot teclejar la ruta UNC al recurs compartit, com a \\fsedge1.contoso.com\vendes, i confirmar que s'accedeix sense problema. Si es vol forçar explícitament l'ús de QUIC, es recorre a ordres com NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC, indicant la ruta UNC desitjada.
Per exemple, una ordre de mapatge pot intentar primer TCP i, en cas de fallada, passar a QUIC, o bé limitar-se exclusivament a QUIC. Amb New-SmbMapping també és senzill assignar lletres d'unitat recursos remots, una cosa molt còmoda per a l'usuari que ve de treballar amb unitats de xarxa clàssiques.
Auditoria i administració de SMB a través de QUIC
Quan SMB sobre QUIC està operatiu, és fonamental tenir visibilitat sobre qui es connecta, com i des d'on. Per això, Microsoft ha incorporat capacitats d'auditoria tant al costat client com al servidor.
A Windows 11 (a partir de la versió 24H2), el client SMB incorpora esdeveniments específics per al transport QUIC. El Visor d'esdeveniments permet consultar aquests registres a la ruta Registres d'aplicacions i serveis\Microsoft\Windows\SMBClient\Connectivitat, on es generen esdeveniments com l'ID 30832 relacionats amb connexions SMB sobre QUIC.
Al servidor SMB, es pot activar una auditoria més detallada executant Set-SmbServerConfiguration -AuditClientCertificateAccess $true. A partir d'aquest moment, als registres Registres d'aplicacions i serveis\Microsoft\Windows\SMBServer\Audit apareixen esdeveniments que informen de l'accés permès o denegat, incloent dades del certificat del client (assumpte, emissor, número de sèrie, hash SHA1 i SHA256) i les regles de control d'accés que s'han aplicat.
Aquests esdeveniments incorporen un identificador de connexió que facilita correlacionar el que es veu al client amb el que es registra al servidor, simplificant molt les tasques de troubleshooting quan alguna cosa falla o es vol revisar un comportament sospitós.
Ús opcional del servidor intermediari de KDC per mantenir Kerberos
Per disseny, quan un client es connecta des d'Internet a un servidor SMB sobre QUIC, normalment no teniu accés directe als controladors de domini d'Active Directory. En aquest escenari, l'autenticació tendeix a recórrer a NTLMv2, amb el servidor de fitxers autenticant-se en nom del client, sempre dins del túnel QUIC xifrat amb TLS 1.3.
Tot i que NTLMv2 va protegit dins del túnel i no surt a la xarxa en clar, les bones pràctiques de seguretat recomanen seguir utilitzant Kerberos sempre que sigui possible i no crear noves dependències de NTLMv2. Aquí entra en joc el proxy de KDC (KDC Proxy), que reenvia les sol·licituds de tiquets Kerberos en nom de l'usuari mitjançant un canal HTTPS compatible amb Internet.
Per configurar-lo, al servidor de fitxers es creen primer les reserves d'URL HTTP per al servei de servidor intermediari amb NETSH, s'ajusten els valors de registre del servei KPSSVC per permetre el tipus d'autenticació desitjat i es vincula la petjada digital del certificat de SMB sobre QUIC a l'endpoint HTTPS 0.0.0.0:443 amb Add-NetIPHttpsCertBinding.
També cal afegir noms alternatius del servidor SMB sobre QUIC com a SPN a Active Directory, per exemple mitjançant NETDOM, perquè el servidor pugui representar correctament la identitat de servei a Kerberos. Finalment, s'estableix el servei de servidor intermediari KDC amb inici automàtic i s'arrenca.
Al costat del client, es configura una directiva de grup a Configuració de l'equip\Plantilles administratives\Sistema\Kerbers\Especificar servidors intermediaris KDC per a clients Kerberos, on es mapeja el domini intern (per exemple corp.contoso.com) amb l'URL HTTPS externa del servidor QUIC (per exemple https fxed: /). Així el client sap que, si un usuari d'aquest domini es connecta a un servidor de fitxers publicat externament, ha de utilitzar el proxy KDC per obtenir els tiquets.
Gestió del cicle de vida del certificat a SMB sobre QUIC
Els certificats no viuen per sempre, i en el cas de SMB sobre QUIC, cada renovació comporta una nova empremta digital. Tot i que s'utilitzen mecanismes de renovació automàtica amb Active Directory Certificate Services, el fet que canviï l'empremta implica que cal actualitzar l'assignació del certificat a la configuració de QUIC.
Quan el certificat és a punt de caducar o es renova, cal tornar a seleccionar el certificat al Windows Admin Center per a la configuració existent, o executar el cmdlet PowerShell Set-SMBServerCertificateMapping apuntant a la nova empremta. Si oblidem aquest pas, la connectivitat SMB sobre QUIC es pot interrompre de manera inesperada.
Per evitar ensurts, Microsoft recomana donar suport a aquesta gestió en eines com Azure Automanage per a Windows Server, que supervisa l'estat dels certificats i avisa (o fins i tot corregeix) abans que es produeixi una caiguda del servei. En entorns d'alta disponibilitat i accés remot crític això marca la diferència.
Control d'accés de clients amb certificats
Més enllà de la simple autenticació, SMB sobre QUIC també pot aplicar control d'accés basat en certificats de client. És una capa addicional de seguretat que restringeix quins dispositius poden establir un túnel QUIC amb el servidor, fins i tot encara que coneguin les credencials.
El funcionament és el següent: el servidor exigeix que el client en presenti una cadena de certificats vàlida i de confiança. A partir d'aquesta cadena, es comprova una llista de control d'accés que pot contenir entrades de permís o bloqueig, tant per a certificats concrets (identificats pel vostre hash SHA256) com per a emissors complets (CAs intermèdies o arrel).
Perquè això funcioni, primer s'activa l'exigència d'autenticació de client amb Set-SmbServerCertificateMapping -RequireClientAuthentication $true. A continuació, es comencen a registrar certificats de client permesos o bloquejats mitjançant cmdlets com ara Grant-SmbClientAccessToServer, Revoke-SmbClientAccessToServer, Block-SmbClientAccessToServer i Unblock-SmbClientAccessToServer.
Aquest model permet, per exemple, autoritzar tota una CA corporativa i, alhora, negar accés a un certificat concret que es considera compromès. O al revés: bloquejar una CA sencera però autoritzar un certificat individual molt específic. Les regles de denegació prevalen sobre les de permís, cosa que ajuda a acotar riscos.
Des del punt de vista del client, només cal tenir instal·lat al seu magatzem local un certificat emès per a autenticació de client (EKU 1.3.6.1.5.5.7.3.2) per una CA en què confiï el servidor. L'administrador pot recollir la petjada o el Subject del certificat des de PowerShell (Get-ChildItem Cert:\LocalMachine\My, filtres per Subject, etc.) i fer-lo servir posteriorment per configurar la llista d'accés al servidor.
Proves de connectivitat i depuració de problemes
Una bona pràctica en implantar SMB sobre QUIC és seguir una sèrie de proves controlades abans d'obrir-lo a tota l'organització. D'aquesta manera es detecten a temps problemes de certificats, DNS o firewalls i, quan calgui, consultar guies per resoldre problemes d'accés a fitxers.
Des del client pots començar amb un mapatge explícit usant NET USE \\servidor\recurs /TRANSPORT:QUIC o New-SmbMapping -RemotePath \\servidor\recurs -TransportType QUIC. Si en lloc de connectar reps un missatge que el servidor ha denegat l'accés, probablement la assignació de certificats i la recepció del túnel QUIC estan funcionant, però cal configurar el control d'accés de clients o revisar permisos.
En paral·lel, és important revisar els registres d'esdeveniments de connectivitat del client i audit del servidor comentats abans. Hi veuràs tant els intents exitosos com els fallits, amb informació detallada de la cadena de certificats i de les regles que s'han aplicat en cada cas.
També convé comprovar des del servidor que les regles del tallafocs permeten UDP 443 d'entrada i TCP 443 per a escenaris on s'utilitzi servidor intermediari de KDC o altres serveis HTTPS associats, i que no s'ha deixat exposat TCP 445 a Internet per error.
Bones pràctiques de segmentació i aïllament de trànsit SMB
Tot i que SMB sobre QUIC protegeix de manera molt robusta el trànsit d'arxius a través d'Internet, continua sent recomanable aplicar tècniques de segmentació i aïllament per reduir la superfície datac entre dispositius de la xarxa.
Una directriu bàsica és bloquejar el port TCP 445 entrant des d'Internet als tallafocs perimetrals. Si necessites exposar recursos de fitxers al perímetre, l'opció segura és publicar-los mitjançant SMB sobre QUIC a UDP 443, no obrint directament SMB clàssic.
En sentit invers, bloquejar el port TCP 445 sortint cap a Internet evita que equips interns enviïn dades SMB a servidors externs no controlats. Només en escenaris molt concrets com Azure Files o Office 365 pot ser necessari permetre aquest trànsit, i així i tot es recomana canalitzar-lo mitjançant VPNs o regles molt estrictes per rangs IP.
En xarxes amb molts equips, val la pena fer un inventari de lús real de SMB, analitzant quins servidors realment necessiten SMB entrant, quins clients requereixen compartir i des de quines subxarxes s'accedeix a cadascú. Per això es poden utilitzar eines com Get-FileShareInfo, així com habilitar auditories de “File Share” durant un temps fitat per observar quins recursos estan en ús.
A partir d'aquesta anàlisi, es poden dissenyar regles de tallafocs d'entrada i sortida molt més ajustades, que bloquegin l'SMB innecessari i limitin els moviments laterals d'un possible atacant dins la xarxa.
Reforç amb Firewall de Windows Defender i IPsec
El Firewall de Windows Defender amb seguretat avançada actua com segona línia de defensa al voltant del trànsit SMB. Es poden crear regles per bloquejar connexions entrants i sortints per defecte, permetent únicament les excepcions necessàries per a controladors de domini, servidors de fitxers i serveis crítics.
Una estratègia habitual és definir regles de sortida que impedeixin lús de SMB cap a qualsevol destinació excepte una llista de permesos basada en IPs o noms, amb lacció “Permetre la connexió si és segura”. Aquesta opció es pot personalitzar per utilitzar autenticació Kerberos i encapsulació nul·la en IPsec, cosa que obliga que només equips i usuaris de domini autoritzats puguin aprofitar aquestes excepcions.
Perquè aquest enfocament funcioni, és imprescindible crear regles de seguretat de connexió en tots els equips implicats, de manera que les excepcions del tallafocs es fonamentin en IPsec. En cas contrari, el bloqueig podria acabar sent arbitrari o inconsistent.
En versions recents com Windows 11 24H2 i Windows Server 2025, Microsoft ha ajustat les regles de tallafocs integrades per deixar d'obrir automàticament els ports NetBIOS (137-139) quan es creen recursos compartits SMB2 o superiors, reflectint una política més estricta i alineada amb els desplegaments moderns.
En entorns on ja no es depèn de SMB1, és molt recomanable tancar aquests ports heretats. Només en casos de compatibilitat excepcional s'haurien de reobrir manualment, preferentment limitant-ne l'abast mitjançant regles molt concretes.
Deshabiliteu el servidor SMB on no sigui necessari
Molts clients de Windows i alguns servidors a la xarxa no necessiten en realitat el servei de servidor SMB actiu, ja que mai comparteixen arxius cap a altres equips. Mantenir el servei habilitat sense motiu només amplia la superfície datac.
Abans de desactivar-lo, convé revisar si hi ha aplicacions o processos que en depenguin. Un cop verificat, es pot deshabilitar el servei de servidor SMB en equips seleccionats, per exemple amb preferències de directiva de grup que apliquin aquesta configuració de forma massiva i controlada.
Aquesta mesura, combinada amb SMB sobre QUIC per a l'accés remot i regles de tallafocs ben ajustades, ajuda a construir-ne una arquitectura de compartició de fitxers molt més robusta, on només els nodes que han d'exposar SMB ho fan, i de la manera més segura possible.
SMB sobre QUIC permet oferir a usuaris remots, sucursals i dispositius mòbils un accés a fitxers xifrat, resistent a xarxes inestables i sense necessitat de VPN tradicionals, mentre que les eines de certificats, control d'accés de clients, proxy de KDC, firewall i segmentació de xarxa proporcionen la bastida necessària perquè aquesta “VPN SMB” funcioni de manera fiable i amb garanties de seguretat en entorns reals.
