SMBv2 Guest Access Disabilitato di Default in Win10

Dalla versione 1709 di Windows 10, SMBv1 è disabilitato per default, e rimangono disponibili le versioni v2 e v3 del protocollo.

La versione v1 è nota per avere diverse vulnerabilità e questo è il motivo principale della sua dismissione

Tuttavia, sempre per ragioni di sicurezza, come spiegato in questo articolo la versione v2 di SMB ha disabilitato per default l’accesso guest, ossia senza autenticazione.

In alcuni casi, a prescindere dalle considerazioni sulla sicurezza, in termini più operativi questo comportamento può rivelarsi un ostacolo alle normali funzionalità di accesso a device che espongono tramite questo protocollo Share e servizi di rete.

Ad esempio, macchine fotocopiatrici multifunzione non legate in qualche modo a dominio od a servizi di autenticazione impediscono di fatto l’accesso alle loro aree di archiviazione dove sono salvati ad esempio il file oggetto delle scansioni effettuate.

In prima battuta un client (windows 10) che tenta di accedere ad una share di questo tipo proporrà all’utente un errore poco “parlante”

 

Figura 1 errore notificato in accesso

Che può lasciare spazio a numerose interpretazioni di ordine tecnico, se si utilizza il comando net share per la mappatura della risorsa condivisa, l’errore viene notificato in modo più preciso e circostanziato riportando il seguente messaggio

Errore di sistema 1272

Non puoi accedere a questa cartella condivisa perché i criteri di sicurezza dell’organizzazione bloccano l’accesso guest non autenticato.

Questi criteri garantiscono la protezione del PC da dispositivi non sicuri o dannosi nella rete.

 

Figura 2 errore 1272

L’evento è anche riportato all’interno del registro eventi nel ramo Applicazione e Servizi/Microsoft/Windows/SMBClient/Security dove è possibile rilevare l’Event ID 31017

 

Figura 3 Registro Eventi ID 31017

 

Il testo del messaggio riporta le seguenti Informazioni Aggiuntive:

Informazioni aggiuntive:

Questo evento indica che il server ha tentato di eseguire l’accesso dell’utente come Guest non autenticato e l’operazione è stata rifiutata dal client.

Gli accessi come Guest non supportano funzionalità di sicurezza standard come la firma e la crittografia.

Come risultato, gli accessi come Guest sono vulnerabili ad attacchi man-in-the-middle che possono esporre dati sensibili nella rete.

In Windows, gli accessi non sicuri come Guest sono disabilitati per impostazione predefinita. Microsoft sconsiglia di abilitare gli accessi non sicuri come Guest.

 

Che fornisce una più chiara descrizione del contesto di sicurezza e delle motivazioni della scelta da parte di Microcoft

 

Soluzione

A prescindere dalle considerazioni relative alla sicurezza, è possibile modificare questo comportamento tramite GPO o policy Locale

Figura 4 definizione della GPO

L’impostazione Abilita gli accessi guest non sicuri che deve essere portata in stato Abilitato è configurabile in Computer/Modelli Amministrativi/Rete/Workstation LANMAN

In generale prima di abilitare questa impostazione è bene effettuare un’attenta analisi della sicurezza all’interno dell’ambiente in cui viene attivata, infatti quando è attiva, nel registro eventi visto in precedenza è presente l’evento ID 31018

 

Figura 5 Event ID 31018

 

Che riporta in dettaglio quali chiavi di registro sono state modificate

Il valore del Registro di sistema AllowInsecureGuestAuth non è configurato con le impostazioni predefinite.

 

Valore del Registro di sistema:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]

“AllowInsecureGuestAuth”=dword:0

Valore del Registro di sistema configurato:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]

“AllowInsecureGuestAuth”=dword:1

 

E le relative informazioni Aggiuntive

 

Informazioni aggiuntive:

Questo evento indica che un amministratore ha abilitato gli accessi non sicuri come Guest. Un accesso non sicuro come Guest si verifica quando un server esegue l’accesso dell’utente come Guest non autenticato, in genere in risposta a un errore di autenticazione. Gli accessi come Guest non supportano funzionalità di sicurezza standard come la firma e la crittografia. Come risultato, consentire gli accessi come Guest rende il client vulnerabile ad attacchi man-in-the-middle che possono esporre dati sensibili nella rete. In Windows, gli accessi non sicuri come Guest sono disabilitati per impostazione predefinita. Microsoft sconsiglia di abilitare gli accessi non sicuri come Guest.

 

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...