Condividi tramite

Panoramica della firma di Server Message Block

  • Articolo

Questo articolo descrive la firma SMB (Server Message Block) 2.x e 3.x e come determinare se è necessaria la firma SMB.

Introduzione

La firma SMB (nota anche come firme di sicurezza) è un meccanismo di sicurezza nel protocollo SMB. La firma SMB significa che ogni messaggio SMB contiene una firma generata tramite la chiave di sessione. Il client inserisce un hash dell'intero messaggio nel campo della firma dell'intestazione SMB.

La firma SMB è apparsa per la prima volta in Microsoft Windows 2000, Microsoft Windows NT 4.0 e Microsoft Windows 98. Gli algoritmi di firma si sono evoluti nel tempo. La firma SMB 2.02 è stata migliorata grazie all'introduzione del codice HMAC (Hash-Authentication Code) SHA-256, sostituendo il vecchio metodo MD5 dalla fine degli anni '90 usato in SMB1. SMB 3.0 ha aggiunto algoritmi AES-CMAC. In Windows Server 2022 e Windows 11 è stata aggiunta l'accelerazione della firma AES-128-GMAC. Se vuoi la migliore combinazione di prestazioni e protezione, prendi in considerazione l'aggiornamento alle versioni più recenti di Windows.

Come la firma SMB protegge la connessione

Se un utente modifica un messaggio durante la trasmissione, l'hash non corrisponde e SMB saprà che qualcuno ha manomesso i dati. La firma conferma anche le identità del mittente e del destinatario. In questo modo si evitano gli attacchi di inoltro. Idealmente, si usa Kerberos invece di NTLMv2 in modo che la chiave di sessione inizi con sicurezza. Non connettersi alle condivisioni usando indirizzi IP e non usare record CNAME oppure si userà NTLM anziché Kerberos. In alternativa, usare Kerberos. Per altre informazioni, vedere Uso degli alias dei nomi computer al posto dei record CNAME DNS.

Posizioni dei criteri per la firma SMB

I criteri per la firma SMB si trovano in Configurazione computer>Impostazioni di Windows>Impostazioni di sicurezza>Criteri locali>Opzioni di sicurezza.

  • Client di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
    Chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Valore di registro: RequireSecuritySignature
    Tipo di dati: REG_DWORD
    Dati: 0 (disabilita), 1 (abilita)
  • Client di rete Microsoft: firma digitale delle comunicazioni (se il server accetta)
    Chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
    Valore del Registro di sistema: EnableSecuritySignature
    Tipo di dati: REG_DWORD
    Dati: 0 (disabilita), 1 (abilita)
  • Server di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
    Chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Valore di registro: RequireSecuritySignature
    Tipo di dati: REG_DWORD
    Dati: 0 (disabilita), 1 (abilita)
  • Server di rete Microsoft: firma digitale delle comunicazioni (se il client accetta)
    Chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
    Valore del Registro di sistema: EnableSecuritySignature
    Tipo di dati: REG_DWORD
    Dati: 0 (disabilita), 1 (abilita)

Nota In questi criteri, "always" indica che la firma SMB è obbligatoria e "se il server accetta" o "se il client accetta" indica che la firma SMB è abilitata.

Informazioni su "RequireSecuritySignature" e "EnableSecuritySignature"

L'impostazione del Registro di sistema EnableSecuritySignature per il client SMB2+ e il server SMB2+ viene ignorata. Pertanto, questa impostazione non esegue alcuna operazione, a meno che non si usi SMB1. La firma SMB 2.02 e versioni successive viene controllata esclusivamente se è obbligatoria o meno. Questa impostazione viene usata quando la firma SMB è richiesta dal server o dal client. Solo se la firma è impostata su 0 non verrà eseguita.

- Server : RequireSecuritySignature=1 Server : RequireSecuritySignature=0
Client : RequireSecuritySignature=1 Signed Signed
Client : RequireSecuritySignature=0 Signed Non firmato

Riferimenti

Configurare la firma SMB con attendibilità

Come difendere gli utenti dagli attacchi di intercettazione tramite la difesa client SMB

Sicurezza SMB 2 e SMB 3 in Windows 10: anatomia delle chiavi di firma e crittografia

SMBv1 non è installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive

Nomecomputer Netdom