Microsoft vuole limitare lo sfruttamento di alcune funzionalità del protocollo SMB di Windows per evitare problemi di sicurezza.
24 AGOSTO 2024 | In vista del rilascio di Windows 11 24H2 nelle prossime settimane Microsoft ha voluto fornire maggiori informazioni sui cambiamenti nel rafforzamento della sicurezza del protocollo SMB che ha portato a dei possibili errori nella configurazione di NAS o dischi collegati ai router comunicati in precedenza – trovate tutti i dettagli tecnici a questo indirizzo.
Modifiche al protocollo SMB
Dopo aver disabilitato SMB1 con le precedenti versioni del sistema operativo Microsoft sta apportando altre modifiche di sicurezza al protocollo SMB, utilizzato per connettersi a NAS e HDD collegati al router. Con la nuova versione Windows 11 24H2 Microsoft ha reso obbligatoria la firma e disabilitato l’accesso Guest tramite SMB.
In Windows 11 24H2, abbiamo apportato due importanti modifiche alla sicurezza che possono influire sulla mappatura delle unità su NAS consumer o router di terze parti con archiviazione USB:
- Per impostazione predefinita, la firma SMB è richiesta su tutte le connessioni. Ciò aumenta la tua sicurezza impedendo la manomissione della rete e blocca gli attacchi di inoltro che inviano le tue credenziali a server dannosi.
- Il fallback guest è disabilitato nell’edizione Windows 11 Pro. Ciò aumenta la tua sicurezza quando ti connetti a dispositivi non affidabili. Guest ti consente di connetterti a un server SMB senza nome utente o password. Sebbene sia conveniente per il produttore del tuo NAS, significa che il tuo dispositivo può essere indotto con l’inganno a connettersi a un server dannoso senza richiedere le credenziali, quindi ricevere un ransomware o farsi rubare i dati.
Per tanto se utilizzaste dispositivi di archiviazione in rete potreste ricevere un errore di connessione dovuto a queste modifiche che potrebbero influire nella mappatura delle unità NAS o HDD di rete.
Se hai installato Windows 11 24H2 Release Preview e visualizzi uno di questi errori durante il tentativo di connessione al tuo dispositivo di terze parti che in precedenza funzionava correttamente, sei nel posto giusto.
Se la firma non è supportata dal tuo dispositivo di terze parti, potresti ricevere l’errore:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- La firma crittografica non è valida
Se l’accesso guest è richiesto da terze parti, potresti ricevere l’errore:
- Non puoi accedere a questa cartella condivisa perché i criteri di sicurezza della tua organizzazione bloccano l’accesso ospite non autenticato. Questi criteri aiutano a proteggere il PC da dispositivi non sicuri o dannosi sulla rete
- 0x80070035
- 0x800704f8
- Il percorso di rete non è stato trovato
- Si è verificato l’errore di sistema 3227320323
A questo proposito, Microsoft ha pubblicato un workaround per tentare di risolvere eventuali problemi di connessione e gli errori riportati.
Per risolvere questi problemi, ti consigliamo di eseguire le seguenti operazioni in questo ordine. È ordinato dall’approccio più sicuro a quello meno sicuro e il nostro obiettivo è proteggere i tuoi dati, non aiutare terze parti a venderti prodotti non sicuri.
- Abilita l’accesso SMB nel NAS di terze parti. Il tuo fornitore disporrà dei passaggi per eseguire questa operazione online, se possibile nel software di gestione del dispositivo.
- Disabilita l’accesso ospite nel NAS di terze parti. Il tuo fornitore disporrà dei passaggi per eseguire questa operazione online, se possibile nel software di gestione del dispositivo.
- Abilita un nome utente e una password nel NAS di terze parti. Il tuo fornitore disporrà dei passaggi per eseguire questa operazione online, se possibile nel software di gestione del dispositivo.
- Aggiorna il tuo NAS se non puoi abilitare la firma, non puoi disabilitare guest o non puoi utilizzare un nome utente e una password. Il NAS avrà solitamente un’opzione di aggiornamento nel suo software di gestione, possibilmente etichettato come “aggiornamento firmware”.
- Sostituisci il NAS se non riesci ad aggiornare il software NAS per supportare la firma e le credenziali (dovrai prima utilizzare i passaggi 6 e successivi per copiare i dati sul nuovo NAS)
Ora passiamo ai passaggi meno consigliati, poiché renderanno il tuo dispositivo Windows e i tuoi dati molto meno sicuri. Tuttavia, ti consentiranno di accedere a questo NAS non sicuro.
- Disabilitare il requisito di firma del client SMB:
- UN. Nella ricerca del menu Start, digita gpedit e avvia l’app Modifica criteri di gruppo (ad esempio Editor criteri di gruppo locali).
- Nella struttura della console selezionare Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
- Fare doppio clic su Client di rete Microsoft: firma digitale alle comunicazioni (sempre).
- Selezionare Disabilitato > OK.
- Disabilitare la protezione fallback del guest:
- Nella ricerca del menu Start, digita gpedit e avvia l’app Modifica criteri di gruppo (ad esempio Editor criteri di gruppo locali).
- Nella struttura della console, selezionare Configurazione computer > Modelli amministrativi > Rete > Lanman Workstation.
- Fare doppio clic su Abilita accessi Guest non sicuri.
- Selezionare Abilitato > OK.
Che ne pensate di questa scelta di Microsoft? Utilizzate dispositivi di archiviazione di rete su Windows 11? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | Microsoft