Microsoft descrive in dettaglio la soluzione alternativa per l’accesso guest “vecchio non sicuro” dopo aver impostato la firma SMB come predefinita
All’inizio di questo mese, Microsoft ha reso obbligatoria la firma Server Message Block (SMB) per impostazione predefinita su tutte le connessioni al fine di migliorare la sicurezza di Windows e dei server Windows. La società, in un post sul blog separato , ha spiegato in modo più dettagliato il cambiamento. Questo faceva parte di uno sforzo continuo del gigante di Redmond, iniziato lo scorso anno . Come conseguenza della modifica, anche l’accesso degli ospiti non è possibile, qualcosa che è stato considerato un comportamento “vecchio non sicuro” in quanto non vi è alcun modo per la convalida.
Oggi, Ned Pyle, che è Principal Program Manager nel gruppo di ingegneri di Windows Server, ha pubblicato un nuovo post sul blog della Tech Community discutendo il problema dell’autenticazione guest e le relative soluzioni.
Quando si tenta l’accesso ospite, verrà accolto da uno di questi due messaggi:
- Non puoi accedere a questa cartella condivisa perché i criteri di sicurezza della tua organizzazione bloccano l’accesso guest non autenticato. Questi criteri aiutano a proteggere il tuo PC da dispositivi non sicuri o dannosi sulla rete.
- Codice di errore: 0x80070035
Il percorso di rete non è stato trovato.
Pyle aggiunge che l’unico per risolvere veramente questo problema è smettere di usare le credenziali dell’ospite poiché non c’è modo di aggirare il cambiamento. Quindi, non è davvero una “correzione” e più simile a un’accettazione. Spiegano:
Aggiustare
La correzione consigliata da Microsoft consiste nell’interrompere l’accesso ai dispositivi di terze parti utilizzando le credenziali guest. Chiunque, chiunque, possa vedere quel dispositivo può accedere a tutti i tuoi dati senza password o audit trail. I produttori di dispositivi configurano l’accesso ospite in modo che non debbano avere a che fare con i clienti che dimenticano le password o richiedono un processo di configurazione più complesso. Questi sono luoghi non sicuri per archiviare la tua vita personale o professionale. Molti di questi dispositivi hanno la possibilità di configurare un nome utente e una password: consulta i documenti del fornitore. Altri potrebbero avere la possibilità con un aggiornamento del software. E altri potrebbero semplicemente non essere sicuri: per quelli, dovresti sostituirli con un prodotto affidabile e spostare tutti i tuoi dati dal vecchio dispositivo, assicurarti di pulire le sue unità, quindi riciclarlo.
Tuttavia, nel caso in cui non sia possibile accedere al di fuori dell’autenticazione dell’ospite, è necessario disabilitare il requisito per il canto SMB, ma ciò porterà presumibilmente a un ambiente più vulnerabile. Nella sezione della soluzione alternativa citata di seguito, Ned Pyle ha esposto tutti i modi per disabilitare la firma SMB predefinita:
Soluzione alternativa
Se non puoi disabilitare l’uso di guest per la tua terza parte, devi disabilitare il requisito della firma SMB. Ovviamente, ciò significa che ora non solo stai utilizzando l’accesso ospite, ma stai anche impedendo al tuo client di garantire l’accesso a un dispositivo attendibile. Ecco perché questa è solo una soluzione alternativa e non la consigliamo.
Puoi disabilitare il requisito di firma SMB in tre modi:
Grafico (criterio di gruppo locale su un dispositivo)
- Apri l’Editor Criteri di gruppo locali (gpedit.msc) sul tuo dispositivo Windows.
- Nella struttura della console selezionare Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
- Fare doppio clic su Client di rete Microsoft: firmare digitalmente le comunicazioni (sempre).
- Selezionare Disabilitato > OK.
Riga di comando (PowerShell su un dispositivo)
- Apri una console PowerShell con privilegi elevati di amministratore.
- Esegui: Set-SmbClientConfiguration – RequireSecuritySignature $false
Criteri di gruppo basati sul dominio (su parchi istanze gestiti dall’IT)
- Individua il criterio di sicurezza che applica questa impostazione ai tuoi dispositivi Windows (puoi utilizzare GPRESULT /H su un client per generare un set risultante di report sui criteri per mostrare quale criterio di gruppo richiede la firma SMB.
- In GPMC.MSC, modifica Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
- Impostare Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre) su Disabilitato.
- Applica il criterio aggiornato ai dispositivi Windows che richiedono l’accesso guest tramite SMB.
È possibile visualizzare il post del blog ufficiale nel post del blog della Tech Community sul sito di Microsoft .
Lascia un commento