Windows 11 Pro disabiliterà presto l’autenticazione guest SMB non sicura per impostazione predefinita

Alcuni mesi fa, abbiamo appreso che Microsoft sta migliorando in modo significativo l’autenticazione Server Message Block (SMB) in Windows 11. A quel tempo, la società ha abilitato il limitatore di velocità di autenticazione SMB per impostazione predefinita per renderlo una superficie di attacco meno attraente per gli attori malintenzionati. Ora ha annunciato un’altra modifica all’autenticazione SMB.

In un post sul blog tecnico, il Principal Program Manager di Microsoft, Ned Pyle, ha dichiarato che Windows 11 Pro inizierà presto a disabilitare i fallback di autenticazione guest SMB non sicuri. In effetti, le recenti build Insider Preview 25267 e 25276 hanno già implementato questo miglioramento della sicurezza.

La motivazione di Microsoft per questa modifica è che l’autenticazione guest non supporta audit trail e meccanismi di sicurezza come firma e certificati. In quanto tali, sono un vettore di attacco molto allettante per gli attacchi man-in-the-middle (MITM) e possono anche essere sfruttati in scenari server. Nel peggiore dei casi, un attore malintenzionato potrebbe utilizzare l’accesso guest per ottenere l’accesso in lettura o copia sull’intera rete e non lascerebbe alcuna traccia di controllo.

È importante notare che gli accessi guest non sono consentiti per impostazione predefinita da Windows 2000. Allo stesso modo, Windows 10 Education ed Enterprise non consentono a SMB2 e SMB3 di eseguire il fallback all’accesso guest dopo tentativi di password errati. È interessante notare che, mentre Windows 11 Pro Insider crea disabilita l’autenticazione guest per impostazione predefinita, Windows 10 Pro no.

Microsoft afferma che l’unico scenario in cui richiederesti l’accesso ospite sarebbe tramite un legittimo dispositivo di archiviazione remota di terze parti. Tuttavia, non riscontrerai errori durante il tentativo di farlo in Windows 11 Pro. La soluzione alternativa è cercare la documentazione del dispositivo remoto e capire come smettere di richiedere l’autenticazione dell’ospite. Se ciò non è possibile, puoi abilitare temporaneamente il fallback guest SMB2 o SMB3 per consentire l’accesso . Tuttavia, SMB1 non deve essere utilizzato a causa delle vulnerabilità di sicurezza presenti nel protocollo legacy.

Microsoft ha affermato che questo comportamento è abilitato per impostazione predefinita nelle recenti build di Windows 11 Pro Insider per impostazione predefinita e che diventerà generalmente disponibile nella “prossima versione principale” del sistema operativo. La mossa sembra un piano più ampio per rendere Windows più sicuro, con il gigante della tecnologia di Redmond che prevede anche di eliminare lo strumento diagnostico di supporto Microsoft (MSDT) tra un paio d’anni.