Bloccare le connessioni NTLM in SMB

Il client SMB supporta ora il blocco dell'autenticazione NTLM per le connessioni remote in uscita. Il blocco dell'autenticazione NTLM impedisce agli utenti malintenzionati di indurre i client all'inviare richieste NTLM a server dannosi, contrastando gli attacchi di forza bruta, violazione e pass-the-hash. Il blocco NTLM è anche necessario per il passaggio dei protocolli di autenticazione di un'organizzazione a Kerberos, che è più sicuro di NTLM perché può verificare le identità del server con il sistema di ticket. Tuttavia, le organizzazioni possono anche abilitare questo livello di protezione senza dover disabilitare completamente NTLM.

Prerequisiti

Il blocco NTLM per il client SMB richiede i prerequisiti seguenti:

• Un client SMB in esecuzione in uno dei sistemi operativi seguenti.
  • Windows Server 2025 o versioni successive.
  • Windows 11, versione 24H2 o successiva.
• Un server SMB che consente l'uso di Kerberos.

Suggerimento

Il blocco NTLM è solo una funzionalità client SMB. Il client SMB è integrato in sistemi operativi Windows Server e client Windows. Il server SMB di destinazione può essere qualsiasi sistema operativo in cui è possibile usare PKU2U o Kerberos.

Configurare il blocco NTLM del client SMB

A partire da Windows Server 2025 e Windows 11 versione 24H2, è possibile configurare SMB per bloccare NTLM. Per migliorare la sicurezza delle distribuzioni che eseguono versioni precedenti di Windows, è necessario disabilitare manualmente NTLM modificando i Criteri di gruppo pertinenti o eseguendo un comando specifico in PowerShell.

Per configurare il blocco NTLM:

Criteri di gruppo

1. Aprire il Console Gestione criteri di gruppo.

2. Nell'albero della console, andare a Configurazione computer>Modelli amministrativi>Rete>Workstation Lanman.

3. Fare clic con il pulsante destro del mouse su Blocca NTLM (LM, NTLM, NTLMv2) e scegliere Modifica.

4. Selezionare Enabled.

PowerShell

1. Aprire una finestra PowerShell con privilegi elevati.

2. Per abilitare il blocco NTLM, eseguire il comando seguente.

   Set-SMbClientConfiguration -BlockNTLM $true 
   

Abilitare le eccezioni al blocco NTLM

In alcuni scenari potrebbe essere necessario consentire a determinati computer di usare NTLM anziché bloccarlo a livello globale. Ad esempio, quando il server SMB a cui si sta tentando di connettersi non è aggiunto a un dominio di Active Directory.

Per abilitare un elenco di eccezioni al blocco NTLM:

Criteri di gruppo

1. Nell'albero della console Editor Criteri di gruppo, andare a Configurazione computer>Modelli amministrativi>Rete>Workstation Lanman.

2. Fare clic con il pulsante destro del mouse su Blocca elenco eccezioni server NTLM e selezionare Modifica.

3. Selezionare Enabled.

4. Immettere gli indirizzi IP, i nomi NetBIOS e i nomi di dominio completi (FQDN) dei computer remoti a cui si vuole consentire l'autenticazione NTLM.

PowerShell

Attualmente non esiste un comando powerShell equivalente all'oggetto Criteri di gruppo Blocca elenco eccezioni server NTLM. Per configurare un elenco eccezioni, è necessario accedere all'Editor Criteri di gruppo e configurare l'impostazione manualmente. Tuttavia, dopo aver completato la configurazione manuale, è possibile creare singole eccezioni per determinati indirizzi IP eseguendo questo comando con il nome DNS, l'indirizzo IP o il nome NetBIOS nel parametro AddToList:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "AddToList" }
Set-ItemProperty @params 

È anche possibile aggiungere più variabili al parametro AddToList separandole con una virgola, come illustrato nel comando di esempio seguente:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "192.168.10.10","corp.contoso.com","CORP" }
Set-ItemProperty @params 

Blocca NTLM durante il mapping di unità SMB

È anche possibile bloccare NTLM quando si esegue il mapping di nuove unità SMB eseguendo i comandi seguenti.

Eseguire questo comando per specificare il blocco NTLM durante il mapping di un'unità con NET USE:

NET USE \\server\share /BLOCKNTLM

Eseguire questo comando per specificare il blocco NTLM durante il mapping di un'unità SMB:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Contenuto correlato

• Proteggere il traffico SMB dall'intercettazione

• Sicurezza SMB

• Proteggere il traffico SMB in Windows Server