Protezione avanzata SMB

Le funzionalità SMB (Server Message Block) più recenti introdotte in Windows 11 24H2 e Windows Server 2025 sono progettate per migliorare la sicurezza dei dati, degli utenti e dell'organizzazione. La maggior parte di queste funzionalità è abilitata automaticamente per impostazione predefinita. Queste funzionalità SMB mirano a fornire un ambiente di elaborazione più sicuro e sicuro riducendo il rischio di attacchi informatici e violazioni dei dati nell'ambiente in uso.

Gli utenti possono scaricare le versioni seguenti per visualizzare in anteprima le funzionalità di sicurezza prima della release principale del nostro sistema operativo:

• Windows 11, versione 24H2 o successiva

• Windows Server 2025 o versione successiva

Funzionalità di sicurezza della rete SMB

Comprendere le funzionalità di sicurezza SMB può aiutare gli utenti a proteggere i dati sensibili e impedire l'accesso non autorizzato alle risorse condivise. Nella sezione successiva viene fornita una breve panoramica di queste funzionalità.

Firma SMB

A partire da Windows 11 24H2 e Windows Server 2025, tutte le connessioni SMB in uscita e in ingresso devono essere firmate per impostazione predefinita. In precedenza, la firma SMB era necessaria solo per impostazione predefinita per le connessioni alle condivisioni denominate SYSVOL e NETLOGON e per i client dei controller di dominio AD.

La firma SMB impedisce l'alterazione dei dati e gli attacchi di tipo relay che rubano le credenziali. Rendendo obbligatoria la firma per impostazione predefinita, gli amministratori e gli utenti non devono essere esperti nella sicurezza del protocollo di rete SMB per abilitare questa importante funzionalità di sicurezza. L'abilitazione della firma SMB fa sì che i client e i server accettino solo pacchetti firmati e rifiutino tutti quelli che non lo sono. I pacchetti degli utenti guest vengono rifiutati, il che significa che la funzionalità che consente agli utenti di connettersi a un server senza fornire credenziali (fallback guest) è disabilitata. Questa misura di sicurezza consente di impedire accessi non autorizzati e violazioni dei dati richiedendo agli utenti di eseguire l'autenticazione prima di accedere a un server, garantendo che solo gli utenti autorizzati possano accedere al server e alle relative risorse.

Per altre informazioni, vedere Controllare il comportamento di firma SMB.

Porte alternative SMB

Si può usare il client SMB per stabilire connessioni con porte alternative per TCP, QUIC e RDMA. Queste porte possono differire dalle porte predefinite assegnate dall'IANA (Internet Assigned Numbers Authority) e dall'IETF (Internet Engineering Task Force), che sono rispettivamente 445, 443 e 5445 per TCP, QUIC e RDMA.

In Windows Server è possibile ospitare una connessione SMB su QUIC su una porta del firewall consentita, ma non necessariamente la porta predefinita 443. Tuttavia, è importante notare che la connessione alle porte alternative è possibile solo se il server SMB è configurato per l'ascolto su tale porta specifica. Inoltre, è possibile configurare la distribuzione per impedire l'uso di porte alternative o limitarne l'utilizzo a determinati server.

Per altre informazioni, vedere Configurare porte SMB alternative.

Miglioramenti del controllo SMB

Ora SMB ha la possibilità di controllare l'uso di SMB su QUIC e supporta la crittografia e la firma di terze parti. Queste funzionalità possono essere usate sia a livello di server che di client SMB. Se si usano dispositivi Windows o Windows Server, ora è ora più semplice determinare se usano SMB su QUIC. È anche possibile verificare più facilmente se un software di terze parti supporta la firma e la crittografia prima di renderle obbligatorie.

Per altre informazioni, vedere:

• Controllo del client SMB su QUIC

• Controllo della firma e della crittografia SMB

Limite della frequenza di autenticazione SMB

Ora il servizio server SMB limita il numero di tentativi di autenticazione non riusciti. Questo limite è applicabile alla condivisione file SMB sia in Windows Server che in Client Windows. Gli attacchi di forza bruta tentano di indovinare nomi utente e password e possono bombardare il server SMB con tentativi al secondo che vanno da decine a migliaia. Ora il limite di velocità di autenticazione SMB è abilitato per impostazione predefinita, con un ritardo di 2 secondi tra ogni tentativo di autenticazione NTLM o basata su Kerberos KDC locale non riuscito. Di conseguenza, un attacco che invia 300 ipotesi al secondo per 5 minuti (90.000 tentativi) richiederebbe 50 ore per il completamento. Ciò rende molto meno probabile che un utente malintenzionato insista con questo metodo.

Per altre informazioni, vedere:

• Configurare il limite della frequenza di autenticazione SMB per Windows

• Video dimostrativo sul limite della frequenza di autenticazione SMB

Ora il mandato di crittografia client SMB è supportato

Ora il client SMB può imporre la crittografia per tutte le connessioni SMB in uscita. Questa misura garantisce il massimo livello di sicurezza di rete e porta la firma SMB allo stesso livello di gestione. Una volta abilitato, il client SMB si connette solo a un server SMB che supporta la crittografia SMB e quella 3.0 o versioni successive. È possibile che un server SMB di terze parti supporti la crittografia SMB 3.0, ma non la crittografia SMB. A differenza della firma SMB, la crittografia non è obbligatoria per impostazione predefinita.

Per altre informazioni, vedere Configurazione del client SMB per richiedere la crittografia in Windows.

Gestione dei dialetti SMB

Ora è possibile applicare l'uso delle versioni del protocollo SMB 2 e 3. In precedenza, il server e il client SMB supportavano solo la negoziazione automatica del dialetto corrispondente più elevato da SMB 2.0.2 a 3.1.1. Con questa nuova funzionalità, è possibile impedire intenzionalmente la connessione di versioni precedenti del protocollo o dei dispositivi. Ad esempio, è possibile specificare che le connessioni usino solo SMB 3.1.1, il dialetto più sicuro del protocollo. Il valore minimo e quello massimo possono essere impostati in modo indipendente sia sul client SMB che sul server SMB ed è possibile scegliere di impostare solo un valore minimo, se necessario.

Per altre informazioni, vedere:

• Gestire i dialetti SMB in Windows e Windows Server 2025

• Video dimostrativo sul controllo dei dialetti SMB

Modifiche alle porte predefinite del firewall SMB

Le porte NetBIOS SMB non sono più incluse nelle regole del firewall incorporato. Queste porte erano necessarie solo per l'utilizzo di SMB1, ora deprecato e rimosso per impostazione predefinita. Questa modifica allinea le regole del firewall SMB al comportamento standard del ruolo File Server di Windows Server. Gli amministratori sono in grado di riconfigurare le regole per ripristinare le porte legacy.

Per altre informazioni, vedere Regole del firewall aggiornate.

Autenticazione guest non sicura SMB

Per impostazione predefinita, Windows 11 Pro non consente più le connessioni guest dei client SMB o il fallback guest a un server SMB. Ciò allinea Windows 11 Pro al comportamento delle edizioni Windows 10 e Windows 11 Enterprise, Education e Pro for Workstation. Gli accessi guest non richiedono password e non supportano funzionalità di sicurezza standard come la firma e la crittografia.

Se si consente a un client di usare gli accessi guest, l'utente è a rischio di scenari di attacco AITM (adversary-in-the-middle) o di scenari di server dannosi. Ad esempio, un attacco di phishing che inganna un utente nell'apertura di un file in una condivisione remota o in un server soggetto a spoofing che convince un client che è legittimo. L'utente malintenzionato non deve conoscere le credenziali dell'utente e una password debole viene ignorata. Per impostazione predefinita, solo i dispositivi remoti di terze parti possono richiedere l'accesso guest.

Per altre informazioni, vedere Come abilitare gli accessi guest non sicuri in SMB2 e SMB3.

Blocco NTLM SMB

Ora il client SMB può impedire l'autenticazione NTLM per le connessioni remote in uscita. In questo modo viene modificato il comportamento precedente, che prevedeva sempre l'uso dell'autenticazione negoziata, che poteva eseguire il downgrade da Kerberos a NTLM. Bloccando l'autenticazione NTLM, questo protegge i dispositivi client dall'invio di richieste NTLM a server dannosi, riducendo così gli attacchi di forza bruta, il cracking, di tipo relay e Pass-the-Hash.

Il blocco NTLM è necessario per applicare l'autenticazione di un'organizzazione a Kerberos, operazione più sicura perché verifica le identità con il sistema di ticket e la crittografia superiore. Gli amministratori possono specificare eccezioni per consentire l'autenticazione NTLM su SMB a server specifici.

Per altre informazioni, vedere:

• Bloccare le connessioni NTLM in SMB

• Video dimostrativo sul blocco NTLM SMB

Controllo di accesso client SMB su QUIC

Il controllo di accesso client SMB su QUIC consente di limitare i client che possono accedere ai server SMB su QUIC. Il comportamento precedente permetteva tentativi di connessione da qualsiasi client che considerava attendibile la catena di rilascio dei certificati del server QUIC. Con il controllo di accesso client, vengono creati un elenco di elementi consentiti e blocklist per consentire ai dispositivi di connettersi al file server.

Un client deve ora avere un proprio certificato ed essere in un elenco di elementi consentiti per stabilire la connessione QUIC prima che possa verificarsi qualsiasi connessione SMB. Il controllo di accesso client fornisce alle organizzazioni una protezione aggiuntiva senza modificare l'autenticazione usata durante la connessione SMB; in più, l'esperienza utente rimane invariata. Inoltre, è possibile disabilitare completamente il client SMB su QUIC o consentire solo le connessioni a server specifici.

Per altre informazioni, vedere:

• Configurare il controllo di accesso client SMB su QUIC in Windows Server 2022 Azure Edition and Windows Server 2025

• Video dimostrativo sulla configurazione del controllo di accesso client SMB su QUIC

SMB su QUIC in Windows Server

Ora SMB su QUIC è disponibile in tutte le edizioni di Windows Server 2025, mentre era presente solo nell'Azure Edition di Windows Server 2022. SMB su QUIC è un'alternativa al protocollo TCP obsoleto ed è destinato all'uso su reti non attendibili, ad esempio Internet. TLS 1.3 e i certificati vengono usati per garantire che tutto il traffico SMB sia crittografato, consentendo l'uso tramite firewall periferici da parte di utenti di dispositivi mobili e remoti senza la necessità di una VPN. QUIC garantisce anche che, se è necessario NTLM, un utente challenge-response (dati della password) non venga esposto nella rete come con TCP.

Per altre informazioni, vedere:

• Server Message Block (SMB) su QUIC

• Video dimostrativo su SMB su QUIC

Deprecazione di Remote Mailslots SMB

I Remote Mailslots non sono più abilitati per impostazione predefinita per l'utilizzo dei protocolli SMB e DC Locator con Active Directory (AD), in quanto deprecati. Il protocollo Remote Mailslot, originariamente introdotto in MS DOS, è ora considerato obsoleto e inaffidabile. È anche non sicuro, perché non dispone di alcun meccanismo di autenticazione o autorizzazione.

Per altre informazioni, vedere:

• Funzionalità deprecate per il client Windows

• Funzioni rimosse o non più sviluppate a partire da Windows Server 2025

Vedere anche

• Miglioramenti della sicurezza SMB