Molti pensano a Windows come un unico ambiente monolitico, ma la verità è che di Windows ne esistono differenti versioni ed edizioni, ognuna con una propria storia e caratteristiche. L’avvento di nuove generazioni complica poi ancora di più il panorama, moltiplicando le versioni in circolazione. Attualmente sono in circolazione diverse versioni di Windows, tra cui Windows 11. Windows 10, Windows 8.1 e Windows 7 (per la versione Desktop) e Windows Server 2019, seguita da Windows Server 2016 e Windows Server 2012 R2. 

Pertanto è fisiologico che Microsoft resti attenta ad omogeneizzare le politiche di sicurezza in tutte le generazioni dei suoi sistemi. 

È quanto ha fatto con l’ultima novità (introdotta già per le edizioni Enterprise ed Educational), portata in anteprima sull’edizione Windows 11 Pro e nelle edizioni Windows 10 versione 1709 (e successive) e Windows Server 2019. 

Una rivoluzione per qualcuno. Un cambiamento riguardante le regole di autenticazione per protocollo SMB. 

Il protocollo SMB in versione 2 (SMB2) e 3 (SMB3) non consentiranno più il fallback verso sistemi di autenticazione insicuri; questo comporterà l’abolizione predefinita dell’accesso guest (ospite), né in prima battuta, né come conseguenza a credenziali errate. Questo varrà sia per il servizio che per il client SMB realizzato con sistemi Windows 

Il problema di sicurezza è assai chiaro: gli accessi ospite non richiedono password e non supportano funzionalità di sicurezza di sorta (come firma e crittografia), pertanto gli utenti possono accedere alle risorse condivise senza autenticazione alcuna. 

Naturalmente questo può impattare sull’interoperabilità in azienda con dispositivi terze parti che questo tipo di autenticazione ancora consentono (come ad esempio un NAS Synology DS218+): la soluzione può solo passare legittimamente nel modificare la relazione con tale dispositivi, in quanto Microsoft sconsiglia energicamente i suoi utenti nel riabilitare l’utilizzo del sistema di accesso ospite. L’esempio di NAS citato è uno dei tanti basati su Linux e che pertanto include una serie di funzionalità di sicurezza, tra cui la possibilità di abilitare o disabilitare l'accesso ospite SMB: sfruttiamole. 

Ned Pyle, principale program manager di Microsoft, ha speso parole sul suo blog proprio in questa direzione, aggiungendo inoltre esortazioni nell’evitare di utilizzare (abilitare) l’uso del protocollo in versione 1 (SMB1), visto spesso come alternativa in quanto non è stato modificato nel senso restrittivo che stiamo indicando e pertanto consentirebbe ancora l’uso dell’account ospite. Se Microsoft (e non solo) ha disabilitato questa versione di protocollo per impostazione predefinita (in Windows 10 Fall Creators Update 1709 nel 2017 e in Windows Server versione 1709) ci sarà un motivo, no? 

Forse non tutti ricordano più che SMB1 è affetto dalla vulnerabilità EthernalBlue del 2017, sfruttata per la distribuzione del malware WannaCry.

Tweet