Configurare il client SMB per richiedere la crittografia in Windows
A partire da Windows 11, versione 24H2 e Windows Server 2025, il client SMB supporta la crittografia di tutte le connessioni SMB in uscita. Gli amministratori possono richiedere che tutti i server di destinazione supportino la crittografia con SMB 3.0 o versione successiva. Questo articolo illustra come configurare il client SMB in modo che richieda la crittografia per tutte le connessioni in uscita.
La crittografia di tutte le connessioni client SMB in uscita applica il massimo livello di sicurezza di rete e fornisce parità di gestione alla firma SMB, che consente requisiti client e server. Quando è abilitata, il client SMB non si connetterà a un server SMB che non supporta SMB 3.0 o versione successiva o che non supporta la crittografia SMB. Ad esempio, un server SMB di terze parti potrebbe supportare SMB 3.0 ma non la crittografia SMB.
La crittografia SMB fornisce protezione end-to-end dei dati SMB da attacchi di intercettazione e snooping. Il client SMB può richiedere la crittografia per ogni unità mappata, tramite la protezione avanzata UNC o in un'impostazione per ogni computer, come descritto in questo articolo. Il server SMB può anche richiedere la crittografia SMB per ogni condivisione o per l'intero file server. Per ulteriori informazioni sulla crittografia SMB per il server SMB e sulla protezione avanzata UNC, vedere Crittografia SMB.
Prerequisiti
Prima di poter configurare il client SMB per richiedere la crittografia, è necessario:
- Un client SMB in esecuzione in uno dei sistemi operativi seguenti.
- Windows 11, versione 24H2 o successiva.
- Windows Server 2025 o versioni successive.
- Privilegi di amministratore sul computer.
- Se si usa Criteri di gruppo in un dominio, sono necessari privilegi per creare o modificare un oggetto Criteri di gruppo e collegarlo all'unità organizzativa appropriata.
Configurazione del mandato di crittografia SMB mediante Criteri di gruppo
È possibile configurare il client SMB in modo che richieda sempre la crittografia indipendentemente dai requisiti di server, condivisione, protezione avanzata UNC o unità mappata. Un amministratore può imporre a livello globale a un computer Windows di usare la crittografia SMB (e quindi SMB 3.x) in tutte le connessioni, rifiutando la connessione se il server SMB non la supporta.
Suggerimento
La crittografia SMB presenta un carico in termini di prestazioni e compatibilità. La firma SMB offre prestazioni migliori e protezione antimanomissione, ma non offre protezione dello snooping. L'esclusione completa di crittografia e firma offre le prestazioni migliori ma, ovviamente, non fornisce alcuna sicurezza al di fuori dell'autorizzazione alla connessione e della protezione dell'integrità pre-autenticazione. La crittografia SMB sostituisce la firma SMB e fornisce lo stesso livello di protezione antimanomissione. Se il client SMB richiede la firma, la crittografia SMB lo disattiva.
È possibile configurare il client SMB per richiedere la crittografia per le connessioni in uscita mediante Criteri di gruppo o PowerShell.
Di seguito è illustrato come configurare il client SMB in modo che richieda la crittografia per tutte le connessioni in uscita mediante Criteri di gruppo.
Per configurare il client SMB per la crittografia necessaria in tutti i server SMB (ossia per le connessioni in uscita):
- Aprire il Console Gestione criteri di gruppo.
- Modificare o creare un oggetto Criteri di gruppo da usare.
- Nell'albero della console selezionare Configurazione computer > Modelli amministrativi > Rete > Workstation Lanman.
- Per l'impostazione, fare clic con il pulsante destro del mouse su Richiedi crittografia e selezionare Modifica.
- Selezionare Abilita, quindi selezionare OK.
L'impostazione del criterio su Disabilitato o Non configurato rimuove il requisito di crittografia.
Importante
Prestare attenzione quando si distribuisce la crittografia SMB nell'intera organizzazione. I server SMB legacy, ad esempio Windows Server 2008 R2, non supportano SMB 3.0. I server SMB di terze parti meno recenti in alcuni casi possono supportare SMB 3.0, ma potrebbero non supportare la crittografia.