Miglioramenti della sicurezza SMB
Questo articolo illustra i miglioramenti della sicurezza SMB in Windows Server e Windows.
Crittografia SMB
Crittografia SMB fornisce la crittografia end-to-end dei dati SMB e protegge i dati dalle intercettazioni che possono verificarsi su reti non attendibili. Puoi distribuire Crittografia SMB con il minimo sforzo, ma ciò potrebbe comportare costi aggiuntivi per hardware o software specializzato. Non sono previsti requisiti per gli acceleratori WAN o Internet Protocol Security (IPsec). La crittografia SMB può essere configurata per ogni condivisione, per l'intero file server o quando si esegue il mapping delle unità.
Nota
Crittografia SMB non copre la sicurezza nei momenti di inattività, aspetto in genere gestito da Crittografia unità BitLocker.
È possibile prendere in considerazione la Crittografia SMB per qualsiasi scenario in cui i dati sensibili devono essere protetti da intercettazioni. Gli scenari possibili includono i seguenti:
- I dati sensibili di un information worker vengono spostati usando il protocollo SMB. La crittografia SMB offre una garanzia di privacy e integrità end-to-end tra il file server e il client. Offre questa sicurezza indipendentemente dalle reti attraversate, ad esempio connessioni WAN (Wide Area Network) gestite da provider non Microsoft.
- SMB 3.0 consente ai file server di fornire continuamente spazio di archiviazione disponibile per le applicazioni server, ad esempio SQL Server o Hyper-V. L'abilitazione di Crittografia SMB offre la possibilità di proteggere tali informazioni da attacchi snooping. Crittografia SMB è più semplice da usare rispetto alle soluzioni hardware dedicate che sono necessarie per la maggior parte delle reti di archiviazione (SAN).
Windows Server 2022 e Windows 11 introducono le suite crittografiche AES-256-GCM e AES-256-CCM per la crittografia SMB 3.1.1. Windows negozia automaticamente questo metodo di crittografia più avanzato quando si connette a un altro computer che lo supporta. È inoltre possibile imporre questo metodo tramite Criteri di gruppo. Windows supporta ancora AES-128-GCM e AES-128-CCM. Per impostazione predefinita, AES-128-GCM viene negoziato con SMB 3.1.1, offrendo il miglior equilibrio tra sicurezza e prestazioni.
Windows Server 2022 e Windows 11 SMB Direct supportano ora la crittografia. In precedenza, l'abilitazione della crittografia SMB disabilitava il posizionamento diretto dei dati, rendendo RDMA lento come TCP. Ora i dati vengono crittografati prima del posizionamento, con conseguente riduzione relativamente minore delle prestazioni e l'aggiunta della privacy dei pacchetti protetti da AES-128 e AES-256. È possibile abilitare la crittografia usando Windows Admin Center, Set-SmbServerConfiguration o Criteri di gruppo protezione avanzata UNC.
Inoltre, i cluster di failover di Windows Server supportano ora un controllo granulare della crittografia e della firma delle comunicazioni di archiviazione all'interno dei nodi per i volumi condivisi cluster (Cluster Shared Volumes, CSV) e il livello del bus di archiviazione (Storage Bus Layer, SBL). Questo supporto significa che, quando si usano Spazi di archiviazione diretta e SMB diretto, è possibile crittografare o firmare le comunicazioni east-west all'interno del cluster stesso per una maggiore sicurezza.
Importante
Qualsiasi forma di protezione con crittografia end-to-end comporta un notevole costo operativo per le prestazioni rispetto a una forma non crittografata.
Abilitare Crittografia SMB
Puoi abilitare Crittografia SMB per l'intero file server o solo per specifiche condivisioni file. Per abilitare Crittografia SMB, usa una delle procedure descritte di seguito.
Abilitare la crittografia SMB con Windows Admin Center
- Scaricare e installare Windows Admin Center.
- Connettersi al file server.
- Selezionare File & condivisione file.
- Selezionare la scheda Condivisioni file.
- Per richiedere la crittografia in una condivisione, selezionare il nome della condivisione e scegliere Abilita crittografia SMB.
- Per richiedere la crittografia nel server, selezionare Impostazioni file server.
- In Crittografia SMB 3, selezionare Obbligatorio per tutti i client (altri vengono rifiutati), quindi scegliere Salva.
Abilitare la crittografia SMB con protezione avanzata UNC
Protezione avanzata UNC consente di configurare i client SMB per richiedere la crittografia indipendentemente dalle impostazioni di crittografia del server. Questa funzionalità consente di evitare attacchi di intercettazione. Per configurare la protezione avanzata UNC, consultare la sezione MS15-011: Vulnerabilità nei Criteri di gruppo potrebbe consentire l'esecuzione di codice remoto. Per maggiori informazioni sulle difese di attacco di intercettazione, consultare la sezione Come difendere gli utenti dagli attacchi di intercettazione tramite la difesa client SMB.
Abilitare Crittografia SMB con Windows PowerShell
Accedere al server ed eseguire PowerShell nel computer in una sessione con privilegi elevati.
Per abilitare la crittografia SMB per una singola condivisione file, eseguire il comando seguente.
Set-SmbShare –Name <sharename> -EncryptData $true
Per abilitare la crittografia SMB per l'intero file server, eseguire il comando seguente.
Set-SmbServerConfiguration –EncryptData $true
Per creare una nuova condivisione file SMB con Crittografia SMB abilitata, eseguire il comando seguente.
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
Eseguire il mapping delle unità con la crittografia
Per abilitare la crittografia SMB durante il mapping di un'unità tramite PowerShell, eseguire il comando seguente.
New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
Per abilitare la crittografia SMB durante il mapping di un'unità tramite CMD, eseguire il comando seguente.
NET USE <drive letter> <UNC path> /REQUIREPRIVACY
Considerazioni per la distribuzione di Crittografia SMB
Per impostazione predefinita, quando Crittografia SMB è abilitata per una condivisione file o un server, solo i client SMB 3.0, 3.02 e 3.1.1 sono autorizzati ad accedere alle condivisioni file specificate. Questo limite permette di applicare la finalità dell'amministratore di salvaguardare i dati per tutti i client che accedono alle condivisioni.
In alcune circostanze, tuttavia, un amministratore potrebbe voler consentire l'accesso non crittografato per i client che non supportano SMB 3.x. Questa situazione può verificarsi durante un periodo di transizione quando vengono usate versioni del sistema operativo client misto. Per consentire l'accesso non crittografato per i client che non supportano SMB 3.x, immettere lo script seguente in Windows PowerShell:
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Nota
Non è consigliabile consentire l'accesso non crittografato quando è stata distribuita la crittografia. Aggiornare i client per supportare invece la crittografia.
La funzionalità di integrità preautenticazione nella sezione seguente impedisce a un'intercettazione di effettuare il downgrade di una connessione da SMB 3.1.1 a SMB 2.x (che userebbe l'accesso non crittografato). Non impedisce però un downgrade a SMB 1.0, dando comunque luogo all'accesso non crittografato.
Per essere certo che i client SMB 3.1.1 usino sempre Crittografia SMB per accedere alle condivisioni crittografate, devi disabilitare il server SMB 1.0. Per istruzioni, connettersi al server con Windows Amministrazione Center e aprire l'estensione File & Condivisione file, quindi selezionare la scheda Condivisioni file da disinstallare. Per maggiori informazioni, consultare la sezione Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.
Se l'impostazione –RejectUnencryptedAccess viene lasciata configurata sul valore predefinito $true, solo i client SMB 3.x che supportano la crittografia possono accedere alle condivisioni file (verranno rifiutati anche i client SMB 1.0).
Quando si distribuisce la crittografia SMB, considerare i problemi seguenti:
- Crittografia SMB usa l'algoritmo Advanced Encryption Standard (AES)-GCM e CCM per crittografare e decrittografare i dati. AES-CMAC e AES-GMAC forniscono anche la convalida dell'integrità dei dati (firma) per le condivisioni file crittografate, indipendentemente dalle impostazioni di firma SMB. Se si desidera abilitare la firma SMB senza crittografia, è possibile farlo. Per maggiori informazioni, consultare la sezione Configurare la firma SMB con attendibilità.
- Potrebbero verificarsi problemi quando tenti di accedere alla condivisione file o al server se l'organizzazione usa appliance di accelerazione WAN (Wide Area Network).
- Con una configurazione predefinita (in cui non è consentito alcun accesso non crittografato alle condivisioni file crittografate), se i client che non supportano SMB 3.x tentano di accedere a una condivisione file crittografata, l'ID evento 1003 viene registrato nel registro eventi Microsoft-Windows-SmbServer/Operational e il client riceverà il messaggio di errore Accesso negato.
- Crittografia SMB e la tecnologia EFS (Encrypting File System) nel file system NTFS non sono correlate e la prima non richiede o dipende dall'uso della seconda.
- Crittografia SMB e Crittografia unità BitLocker non sono correlate e la prima non richiede o dipende dall'uso della seconda.
Integrità di preautenticazione
SMB 3.1.1 è in grado di rilevare gli attacchi di intercettazione che tentano di eseguire il downgrade del protocollo o delle funzionalità negoziate dal client e dal server utilizzando l'integrità della preautenticazione. L'integrità di preautenticazione è una funzionalità obbligatoria in SMB 3.1.1. Protegge da eventuali manomissioni dei messaggi Negotiate e Session Setup usando l'hash crittografico. L'hash risultante viene usato come input per derivare le chiavi crittografiche della sessione, inclusa la chiave di firma. Questo processo consente al client e al server di considerare attendibili le rispettive proprietà di connessione e sessione. Quando il client o il server rilevano un attacco di questo tipo, la connessione viene interrotta e viene registrato l'ID evento 1005 nel registro eventi Microsoft-Windows-SmbServer/Operational.
Per via di questa protezione e per sfruttare le funzionalità complete di Crittografia SMB, è consigliabile disabilitare il server SMB 1.0. Per istruzioni, connettersi al server con Windows Amministrazione Center e aprire l'estensione File & Condivisione file, quindi selezionare la scheda Condivisioni file da disinstallare. Per maggiori informazioni, consultare la sezione Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.
Nuovo algoritmo di firma
SMB 3.0 e 3.02 usano un algoritmo di crittografia più recente per la firma: Codice CMAC (Advanced Encryption Standard) basato sulla crittografia. SMB 2.0 usa l'algoritmo di crittografia HMAC-SHA256 meno recente. AES-CMAC e AES-CCM possono accelerare in modo significativo la crittografia dei dati sulle CPU più moderne con supporto per le istruzioni AES.
Windows Server 2022 e Windows 11 introducono AES-128-GMAC per la firma SMB 3.1.1. Windows negozia automaticamente questo metodo di crittografia con prestazioni migliori durante la connessione a un altro computer che lo supporta. Windows supporta ancora AES-128-CMAC. Per maggiori informazioni, consultare la sezione Configurare la firma SMB con attendibilità.
Disabilitazione di SMB 1.0
A partire da Windows Server versione 1709 e Windows 10 versione 1709, per impostazione predefinita, SMB 1.0 non è installato. Per istruzioni, connettersi al server con Windows Admin Center e aprire l'estensione File & Condivisione file, quindi selezionare la scheda Condivisioni file da disinstallare. Per maggiori informazioni, consultare la sezione Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.
Se è ancora installato, è consigliabile disabilitare immediatamente SMB1. Per maggiori informazioni sul rilevamento e la disabilitazione dell'utilizzo di SMB 1.0, consultare la sezione Interrompere l'uso di SMB1. Per una clearinghouse di software che in precedenza o attualmente richiede SMB 1.0, consultare la sezione SMB1 Product Clearinghouse.