Data di pubblicazione originale: ID KB del 9 settembre 2025: 5066913
Riepilogo
Il server SMB supporta già due meccanismi per la protezione avanzata dagli attacchi relay:
-
Firma del server SMB
-
Protezione estesa del server SMB per l'autenticazione (EPA)
In alcuni ambienti dei clienti, l'applicazione di uno di questi meccanismi di protezione avanzata comporta rischi di compatibilità in quanto alcuni sistemi legacy e implementazioni di terze parti potrebbero non supportare la firma SMB Server o SMB Server EPA.
Nell'ambito degli aggiornamenti di Windows rilasciati il 9 settembre 2025 (CVE-2025-55234) e dopo il 9 settembre 2025, il supporto è abilitato per il controllo della compatibilità del client SMB per la firma del server SMB e per L'EPA del server SMB. In questo modo i clienti possono valutare l'ambiente e identificare eventuali problemi di incompatibilità tra dispositivi o software prima di implementare le misure di protezione avanzata già supportate dal server SMB.
Contesto
Il server SMB potrebbe essere suscettibile agli attacchi di inoltro a seconda della configurazione. Per prevenire questa vulnerabilità, Microsoft ha rilasciato le misure di prevenzione seguenti:
SMB Server EPA
Firma del server SMB
I clienti devono configurare SMB Server per richiedere la firma del server SMB o abilitare SMB Server EPA per la protezione avanzata dei sistemi da questa classe di attacco.
Il server SMB con crittografia abilitata a livello globale, oltre a non consentire l'accesso non crittografato, è anche protetto dagli attacchi di inoltro. Per ulteriori informazioni, vedi Miglioramenti della sicurezza SMB.
Abilitazione del supporto di controllo per la firma del server SMB
Per impostazione predefinita, il controllo della firma del server SMB è disabilitato. Questa opzione può essere abilitata sia per il server SMBv1 che per il server SMB2/3 tramite Criteri di gruppo o l'impostazione del Registro di sistema.
Criteri di gruppo
|
Percorso dei criteri |
Configurazione computer\Modelli amministrativi\Rete\Lanman Server |
|
Nome del criterio |
Il client di controllo non supporta la firma |
|
Stati dei criteri |
|
Registro
|
Posizione del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Dati |
|
Eventi di controllo firma server SMB
|
Registro eventi |
Microsoft-Windows-SMBServer/Audit |
|
Tipo di evento |
Avviso |
|
Origine evento |
Microsoft-Windows-SMBServer |
|
ID evento |
3021 |
|
Testo evento |
Il server SMB ha osservato che il client non supporta la firma. Nome client: <> Nome utente: <> Il server richiede la firma: <> |
|
Registro eventi |
Microsoft-Windows-SMBServer/Audit |
|
Tipo di evento |
Avviso |
|
Origine evento |
Microsoft-Windows-SMBServer |
|
ID evento |
3027 |
|
Testo evento |
Il server SMBv1 ha osservato che il client SMBv1 non ha la firma abilitata. Nome client: <> Il server richiede la firma: <> |
Linee guida: Questo evento indica che il client SMBv1 potrebbe non supportare l'abilitazione del supporto di controllo per la firma SMB, ma a causa di limitazioni del protocollo, questo non può essere determinato con certezza. È consigliabile effettuare ulteriori valutazioni per verificare le funzionalità di firma del client.
Prima di Windows Vista, i client SMBv1 che non avevano la firma esplicitamente abilitata non potevano eseguire l'abilitazione del supporto di controllo per la firma SMB.
Questo comportamento è stato modificato con il rilascio di Windows Vista ed è stato anche sottoposto a backport in Windows XP e Windows Server 2003 tramite aggiornamenti. Con queste modifiche, i client SMB possono supportare la firma anche se non è abilitata esplicitamente, a condizione che il server lo richieda.
Note
-
I client che implementano correttamente la firma, ma non annunciano tale supporto, si tradurrà in falsi positivi.
-
I client che annunciano il supporto per la firma ma non implementano correttamente il supporto produranno falsi negativi.
Abilitazione del supporto di controllo per SMB Server EPA
Per impostazione predefinita, il controllo per SMB Server EPA è disabilitato. Questa opzione può essere abilitata sia per il server SMBv1 che per il server SMB2/3 tramite Criteri di gruppo o l'impostazione del Registro di sistema.
Criteri di gruppo
|
Percorso dei criteri |
Configurazione computer\Modelli amministrativi\Rete\Lanman Server |
|
Nome del criterio |
Controllare il supporto SPN client SMB |
|
Stati dei criteri |
|
Registro
|
Posizione del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Dati |
|
Eventi di controllo SMB Server EPA
|
Registro eventi |
Microsoft-Windows-SMBServer/Audit |
|
Tipo di evento |
Avviso |
|
Origine evento |
Microsoft-Windows-SMBServer |
|
ID evento |
3024 |
|
Testo evento |
Il server SMB ha osservato che il client non ha inviato un SPN durante l'autenticazione, a indicare che il client non supporta la protezione estesa per l'autenticazione (EPA) o che il supporto per EPA è disabilitato. Nome client: <> Stato query SPN: <> Abilitare la protezione estesa per i criteri di autenticazione: <> |
|
Registro eventi |
Microsoft-Windows-SMBServer/Audit |
|
Tipo di evento |
Avviso |
|
Origine evento |
Microsoft-Windows-SMBServer |
|
ID evento |
3025 |
|
Testo evento |
Il server SMB ha osservato che il client ha inviato un SPN non riconosciuto durante l'autenticazione. Nome client: <> SPN: <> Abilitare la protezione estesa per i criteri di autenticazione: <> |
|
Registro eventi |
Microsoft-Windows-SMBServer/Audit |
|
Tipo di evento |
Avviso |
|
Origine evento |
Microsoft-Windows-SMBServer |
|
ID evento |
3026 |
|
Testo evento |
Il server SMB ha osservato che il client ha inviato un SPN vuoto durante l'autenticazione, che indica che il client è in grado di inviare un SPN ma scelto di non fornirne uno. Nome client: <> Abilitare la protezione estesa per i criteri di autenticazione: <> |
