Controllare il comportamento di firma SMB
Funzionamento della firma SMB
La firma SMB (Server Message Block) è una funzionalità di sicurezza che usa la chiave di sessione e la suite di crittografia per aggiungere una firma a un messaggio che attraversa una connessione. Questa firma contiene un hash dell'intero messaggio nell'intestazione SMB. Se qualcuno manomette il messaggio in transito, i dati nel messaggio manomesso non corrispondono all'hash nella firma. L'hash include anche le identità del mittente originale e del destinatario desiderato. Le firme non corrispondono avvisano gli utenti di possibili errori di gioco, aiutandoli a proteggere le distribuzioni da attacchi di inoltro e spoofing.
I requisiti di firma SMB possono comportare sia la firma in uscita, che copre il traffico dal client SMB, sia la firma in ingresso, che copre il traffico verso il server. Windows e Windows Server possono richiedere solo la firma in uscita, solo la firma in ingresso, entrambi o nessuno dei due. Ad esempio:
Windows 11, versione 24H2 Enterprise, Pro ed Education richiedono la firma SMB in uscita e in ingresso.
Windows Server 2025 richiede solo la firma SMB in uscita.
Windows 11 versione 24H2 Home Edition non richiede la firma SMB in uscita o in ingresso.
Comportamento di firma SMB
Anche se tutte le versioni di Windows e Windows Server supportano la firma SMB, una terza parte può scegliere di disabilitarla o non supportarla. Se si tenta di connettersi a una condivisione remota in un server SMB di terze parti che non consente la firma SMB, è possibile che venga visualizzato uno dei messaggi di errore seguenti:
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid.
Per risolvere questo problema, modificare le impostazioni nel server SMB di terze parti per consentire (abilitare) la firma SMB.
Quando si tenta di connettersi a dispositivi di terze parti che usano account guest per semplificare l'accesso, è possibile che venga visualizzato uno di questi messaggi di errore:
You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.
Error code: 0x80070035
The network path was not found.
System error 3227320323 has occurred.
La disabilitazione della firma SMB potrebbe essere necessaria se non è possibile disabilitare l'utilizzo guest per la terza parte. Ciò significa tuttavia che si usa l'accesso guest e si impedisce al client di accedere a un dispositivo attendibile.
Attenzione
Non è consigliabile disabilitare la firma SMB come soluzione alternativa per i server di terze parti. Inoltre, non è consigliabile provare a eseguire l'accesso con gli account guest.
Prerequisiti
Per controllare il comportamento di firma SMB e massimizzarne le funzionalità, è necessario che il sistema esegua uno dei due sistemi operativi seguenti:
- Windows 11, versione 24H2 o successiva
- Windows Server 2025 o versione successiva
È inoltre consigliabile seguire queste raccomandazioni per assicurarsi che le firme SMB siano efficaci per proteggere i dati:
- Usare Kerberos anziché NTLMv2.
- Non connettersi alle condivisioni usando indirizzi IP.
- Non usare record DNS CNAME. Assegnare invece nomi di computer alternativi con NETDOM.EXE.
Disabilitare la firma SMB
La firma SMB è necessaria per impostazione predefinita nelle build più recenti di Insider Preview di Windows 11 e Windows Server 2025. Tutti gli ambienti Windows supportano la firma SMB. Tuttavia, se l'ambiente usa server di terze parti e il server di terze parti non supporta la firma SMB, non è possibile connettersi alla condivisione remota.
La richiesta di firma SMB disabilita anche l'accesso guest alle condivisioni. In questi casi, è necessario disabilitare manualmente la firma SMB per ripristinare l'accesso per gli account guest. È possibile disabilitare manualmente la firma SMB tramite Criteri di gruppo, PowerShell e Windows Admin Center.
Nota
Se è necessario modificare i criteri di gruppo basati sul dominio di Active Directory, usare Gestione Criteri di Gruppo (gpmc.msc).
Per disabilitare l'accesso SMB in Criteri di gruppo, seguire questa procedura:
Selezionare Start, digitare gpedit.msc, quindi premere Invio.
Nell'Editor di criteri di gruppo locali, navigare in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza.
Aprire il client di rete Microsoft: firmare digitalmente le comunicazioni (sempre), selezionare Disabilitato, quindi selezionare OK.
Abilitare la firma SMB
La firma SMB garantisce l'integrità dei dati verificando che i dati non vengano manomessi durante la trasmissione. Inoltre, la firma SMB fornisce l'autenticazione verificando l'identità del server e del client, che consente di evitare attacchi antagonisti in-the-middle.
Per abilitare l'accesso SMB in Criteri di gruppo, seguire questa procedura:
Selezionare Start, digitare gpedit.msc, quindi premere Invio.
Nell'Editor di criteri di gruppo locali, navigare in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza.
Aprire il client di rete Microsoft: firmare digitalmente le comunicazioni (sempre), selezionare Abilitato, quindi selezionare OK.
Verificare lo stato della firma SMB
Per verificare se la firma SMB è abilitata o disabilitata nel client SMB o nel server SMB, eseguire il comando seguente:
Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature
Se le informazioni restituite sono True, la firma SMB viene abilitata; in caso contrario, se le informazioni restituite sono False, la firma SMB viene disabilitata.