Panoramica della firma del blocco dei messaggi del server
Questo articolo descrive la firma SMB (Server Message Block) 2.x e 3.x e come determinare se è necessaria la firma SMB.
Introduzione
La firma SMB (nota anche come firme di sicurezza) è un meccanismo di sicurezza nel protocollo SMB. La firma SMB significa che ogni messaggio SMB contiene una firma generata tramite la chiave di sessione. Il client inserisce un hash dell'intero messaggio nel campo della firma dell'intestazione SMB.
La firma SMB è apparsa per la prima volta in Microsoft Windows 2000, Microsoft Windows NT 4.0 e Microsoft Windows 98. Gli algoritmi di firma si sono evoluti nel tempo. La firma SMB 2.02 è stata migliorata con l'introduzione del codice HMAC (Hash-Based Message Authentication Code) SHA-256, sostituendo il vecchio metodo MD5 dalla fine degli anni '90 usato in SMB1. SMB 3.0 ha aggiunto algoritmi AES-CMAC. In Windows Server 2022 e Windows 11 è stata aggiunta l'accelerazione della firma AES-128-GMAC. Se vuoi ottenere la migliore combinazione di prestazioni e protezione, prendi in considerazione l'aggiornamento alle versioni più recenti di Windows.
Come la firma SMB protegge la connessione
Se qualcuno modifica un messaggio durante la trasmissione, l'hash non corrisponde e SMB saprà che qualcuno ha manomesso i dati. La firma conferma anche le identità del mittente e del destinatario. Ciò impedisce gli attacchi di inoltro. In teoria, si usa Kerberos invece di NTLMv2 in modo che la chiave di sessione inizi in modo sicuro. Non connettersi alle condivisioni usando indirizzi IP e non usare record CNAME oppure si userà NTLM anziché Kerberos. In alternativa, usare Kerberos. Per altre informazioni, vedere Uso degli alias dei nomi di computer al posto dei record CNAME DNS .
Percorsi dei criteri per la firma SMB
I criteri per la firma SMB si trovano in Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Impostazioni>locali Opzioni di>sicurezza.
-
Client di rete Microsoft: firma digitale delle comunicazioni (sempre)
Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valore del Registro di sistema: RequireSecuritySignature
Tipo di dati: REG_DWORD
Dati: 0 (disabilitazione), 1 (abilita) -
Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo)
Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Valore del Registro di sistema: EnableSecuritySignature
Tipo di dati: REG_DWORD
Dati: 0 (disabilitazione), 1 (abilita) -
Server di rete Microsoft: firma digitale delle comunicazioni (sempre)
Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valore del Registro di sistema: RequireSecuritySignature
Tipo di dati: REG_DWORD
Dati: 0 (disabilitazione), 1 (abilita) -
Server di rete Microsoft: firmare digitalmente le comunicazioni (se il client è d'accordo)
Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Valore del Registro di sistema: EnableSecuritySignature
Tipo di dati: REG_DWORD
Dati: 0 (disabilitazione), 1 (abilita)
Nota In questi criteri "always" indica che è necessaria la firma SMB e "se il server è d'accordo" o "se il client accetta" indica che la firma SMB è abilitata.
Informazioni su "RequireSecuritySignature" e "EnableSecuritySignature"
L'impostazione del Registro di sistema EnableSecuritySignature per il client SMB2+ e il server SMB2+ viene ignorata. Pertanto, questa impostazione non esegue alcuna operazione a meno che non si usi SMB1. La firma SMB 2.02 e versioni successive è controllata esclusivamente dal fatto che sia necessaria o meno. Questa impostazione viene usata quando il server o il client richiede la firma SMB. Solo se entrambe le firme sono impostate su 0 , la firma non verrà eseguita.
- | Server - RequireSecuritySignature=1 | Server - RequireSecuritySignature=0 |
---|---|---|
Client - RequireSecuritySignature=1 | Firmato | Firmato |
Client - RequireSecuritySignature=0 | Firmato | Non firmato |
Riferimento
Configurare la firma SMB con attendibilità
Come difendere gli utenti dagli attacchi di intercettazione tramite SMB Client Defense
Sicurezza SMB 2 e SMB 3 in Windows 10: anatomia della firma e delle chiavi crittografiche