Come configurare la firma SMB – SMB Signing not required Vulnerability

Cos’è la SMB?
Server Block Message (SMB) è un protocollo utilizzato per la comunicazione di file e stampe all’interno di una rete generalmente basata su Microsoft. Se non stai utilizzando la firma SMB, sei a rischio che il tuo traffico SMB sia man-in-the-middle. Ciò significa che un utente malintenzionato interno è in grado di sottrarre sostanzialmente tutte le sessioni di condivisione attive sulla rete. In genere, ciò si verifica nelle reti che sono state aggiornate nel tempo o nelle reti legacy che attualmente hanno o erano utilizzate per avere file server o processi che non supportavano la firma SMB.

Che cos’è la firma SMB?
La firma SMB essenzialmente firma ogni pacchetto con una firma digitale in modo che il client e il server possano confermare l’origine e l’autenticità della chiamata. Quando la firma SMB è abilitata, se un utente malintenzionato tenta di rubare una sessione SMB non sarebbe in grado di modificare i pacchetti consentendogli di rubare la sessione.

È importante ricordare che la firma SMB non è crittografia, SMB è ancora in grado di essere catturato ma non riprodotto in un attacco man-in-the-middle. La crittografia SMB è stata aggiunta in SMB3.0 e può essere utile in situazioni in cui è necessario evitare di spiare via cavo ( miglioramenti della sicurezza SMB di Microsoft ).

Abilitazione della firma SMB tramite criteri di gruppo
Per iniziare ad aprire Gestione criteri di gruppo, è possibile farlo tramite Gestione server > Strumenti > Gestione criteri di gruppo o eseguendo “gpmc.msc” in PowerShell o Prompt dei comandi. A questo punto puoi creare una nuova policy per la firma dei pacchetti SMB o modificare una policy esistente in base alle tue esigenze.

All’interno del criterio, vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.

Ci sono 4 voci che possono essere modificate a seconda delle vostre esigenze. Tutti questi elementi della politica possono essere abilitati o disabilitati.

Firma del pacchetto del server SMB
I due criteri seguenti si applicano al server SMB, ovvero ai sistemi Windows che forniscono file o stampanti, ad esempio, tramite SMB ai client all’interno della rete. Tieni presente che ti consigliamo di rivedere l’età delle tue stampanti e se supportano la firma SMB.

Consigliato: server di rete Microsoft: firma digitale delle comunicazioni (sempre)
Questa opzione di criterio controlla se il server che fornisce SMB richiede la firma dei pacchetti, determina se la firma dei pacchetti SMB deve essere negoziata o meno prima che sia consentita un’ulteriore comunicazione con un client SMB. Per impostazione predefinita, questa impostazione è abilitata per i controller di dominio, ma disabilitata per altri server membri all’interno del dominio. L’abilitazione di ciò richiederà una comunicazione con firma digitale su SMB che può interrompere le connessioni SMB se il client non supporta la firma SMB: in tal caso stanno utilizzando client molto vecchi.

Consigliato: server di rete Microsoft: firma digitale delle comunicazioni 
Questa opzione del criterio determina se il server SMB negozierà la firma del pacchetto SMB con i client che lo richiedono. Con questa impostazione abilitata, il server SMB negozierà la firma del pacchetto SMB secondo la richiesta del client. Se la firma del pacchetto SMB è abilitata sul client, verrà negoziata dal server. Per impostazione predefinita, questo criterio è abilitato solo sui controller di dominio.

Firma del pacchetto client SMB
I due criteri seguenti si applicano ai client SMB, in genere si tratta di una macchina Windows che si connette a un server SMB, come i file server.
Client di rete Microsoft: firma digitale delle comunicazioni (sempre)
L’abilitazione di questo criterio garantisce che il client SMB richieda sempre la firma dei pacchetti SMB. Se il server non accetta di supportare la firma di pacchetti SMB con il client, il client non comunicherà con il server. Per impostazione predefinita, questo criterio è impostato su disabilitato, ovvero SMB è consentito per impostazione predefinita senza richiedere la firma del pacchetto. È ancora possibile negoziare la firma dei pacchetti, ma non è necessario per funzionare. Se si abilita questo oggetto Criteri di gruppo, verrà sempre firmato SMB digitalmente, vale a dire se la macchina Windows tenta di connettersi a un server SMB che non supporta la firma SMB fallirà.
Consigliato: client di rete Microsoft: firma digitale delle comunicazioni
Questo criterio è abilitato per impostazione predefinita e determina se il client SMB tenta di negoziare la firma del pacchetto SMB con il server. Se invece è impostato su disabilitato, il client non tenterà affatto di negoziare la firma del pacchetto SMB. Molto probabilmente puoi lasciarlo così com’è se stai utilizzando sistemi operativi Windows più recenti.

Seguici su:

FacebookLinkedInLinkedIn

Per maggiori informazioni, per suggerimenti e ottenere un preventivo gratuito per le tue esigenze, contattaci.
Il nostro staff di professionisti sarà lieto di fornire tutte le informazioni ed i costi riguardanti il servizio.
Attenzione : Sestech non è un servizio di helpdesk “gratuito” a cui chiedere informazioni.

firma SMB, SMB Signing not required, SMB Signing not required Vulnerability, SMB Vulnerability, How to solve SMB Signing not required Vulnerability, Vulnerabilità firma SMB

Commenti disabilitati su Come configurare la firma SMB – SMB Signing not required Vulnerability Read more