Il Team Exchange di Microsoft ha diramato sul blog Tech Community un comunicato rivolto a tutti gli amministratori di sistema delle organizzazioni sollecitandoli a disabilitare il protocollo SMBv1 eventualmente ancora in esecuzione sui propri Server Exchange nelle versioni 2013, 2016, 2019 per proteggersi dalle minacce continue che sfruttano le vulnerabilità insite nel protocollo stesso.
È ben noto, infatti, come vari exploit creati dall’NSA, tra cui il famigerato EternalBlue, siano stati utilizzati nel modus operandi di WannaCry, TrickBot ed Emotet, per la loro propagazione laterale all’interno delle stesse reti colpite.
Indice degli argomenti
Disabilitare SMBv1 nei server Exchange: ecco perché
A quanto riferito dagli sviluppatori Microsoft, non è necessario continuare ad eseguire il protocollo SMB nella sua prima versione ormai obsoleta (in uso da oltre 30 anni) sulle recenti versioni di Exchange, perché non contiene quei miglioramenti sulla sicurezza previsti nelle versioni successive distribuite (crittografia, controlli di integrità, autenticazione guest sicura per citarne alcune).
Microsoft ha deprecato pubblicamente il protocollo SMBv1 già dal 2014, cessandone l’installazione predefinita sui Server Windows 2016 ver.1709 e su Windows 10 ver.1709. Le versioni più recenti dei sistemi operativi Windows utilizzano già la versione SMBv3.
Questo avviso è arrivato a pochi giorni dalla fine del supporto di Exchange Server 2010 per consigliare quanto prima la migrazione sulle versioni più recenti.
A tal proposito il Team Exchange raccomanda di verificare prima la corretta configurazione del server di controllo DAG per il supporto quantomeno della versione SMBv2 e di procedere solo dopo con le operazioni di verifica dell’attivazione del protocollo SMBv1 ed in caso affermativo con le azioni di disabilitazione secondo dei precisi comandi PowerShell.
Come verificare se SMBv1 è attivo
Innanzitutto, occorre avviare la console PowerShell: è sufficiente premere la combinazione di tasti Win+R insieme sulla tastiera per aprire la finestra Esegui, scrivere powershell nel campo Apri e premere Invio. Windows PowerShell verrà avviata con i diritti dell’utente corrente. Qualora si desiderasse passare dalla modalità normale alla modalità amministratore, digitare il seguente comando e premere Invio:
Start-Process PowerShell -Verb runAs
dando il consenso all’applicazione di Windows PowerShell di apportare modifiche sul dispositivo.
Per verificare se SMBv1 è abilitato su un server Windows, è possibile eseguire dei comandi PowerShell in base alla determinata versione di Windows Server.
Windows Server 2008 R2
Per impostazione predefinita, SMBv1 è abilitato in Windows Server 2008 R2. Pertanto, solo se il comando restituisce un valore SMB1 uguale a 0, risulta disabilitato.
Get-Item HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters | ForEach-Object {Get-ItemProperty $_.pspath}
Windows Server 2012
Se il comando ritorna false, SMBv1 non è abilitato.
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Windows Server 2012 R2 o versioni successive
Se il comando ritorna false, SMBv1 non è abilitato.
(Get-WindowsFeature FS-SMB1).Installed
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Come disabilitare SMBv1 nei server Exchange
Qualora SMBv1 risulti abilitato, i comandi per disabilitarlo via PowerShell sono i seguenti.
Windows Server 2008 R2
Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” -Name SMB1 -Type DWORD -Value 0 –Force
Windows Server 2012
Set-SmbServerConfiguration -EnableSMB1Protocol $false -force
Windows Server 2012 R2 o versioni successive
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Considerazioni finali
La disabilitazione di un vecchio protocollo di rete come può essere SMBv1 rappresenta solo un piccolo aspetto che riguarda la sicurezza di un’infrastruttura informatica. Le indicazioni consigliate dalla comunità Microsoft per i problemi relativi al protocollo SMB su Exchange devono essere prese come regola generale quando si ha a che fare con nuove e preesistenti installazioni di tools in uso per la produzione e la gestione aziendale.
È dunque importante:
- eseguire sempre gli aggiornamenti di sicurezza con le ultime release e patch che i fornitori legittimi mettono periodicamente a disposizione;
- tenere attivo il Windows Firewall e disattivare tutti i servizi non necessari;
- adottare una corretta politica per la gestione dei privilegi per le utenze, prestando particolare attenzione alla custodia e robustezza delle password;
- disattivare gli account amministrativi convenzionali utilizzandone altri opportunamente creati al bisogno.
Sono solo alcuni accorgimenti da adottare per diminuire la superfice di attacco della propria infrastruttura informatica.
