EtcSecBeta
🏢Active DirectoryNetworkMonitoringConfig

Firma SMB disabilitata: perché abilita ancora NTLM relay

La firma SMB disabilitata, o non richiesta, lascia ancora percorsi Windows esposti a manomissione e NTLM relay. Ecco come verificare RequireSecuritySignature e rafforzare SMB senza ipotesi fragili.

ES
EtcSec Security Team
10 min read
Firma SMB disabilitata: perché abilita ancora NTLM relay

Che cosa significa firma SMB disabilitata?

Firma SMB disabilitata di solito significa che client Windows, server Windows o entrambi non richiedono traffico SMB firmato. Nei sistemi Windows moderni, il controllo effettivo è RequireSecuritySignature nella configurazione del client SMB e del server SMB.

La documentazione Microsoft descrive chiaramente la funzione. SMB signing aggiunge una firma a ogni messaggio SMB usando la chiave di sessione e la suite crittografica negoziata. Se un attaccante modifica il messaggio in transito, la firma non corrisponde più. Microsoft indica anche che questa protezione aiuta contro attacchi di relay e spoofing.

Il problema quindi non è solo “file sharing non firmato”. Quando la firma SMB non è richiesta sui percorsi dove dovrebbe esserlo, l’ambiente è più esposto a scenari adversary-in-the-middle e opportunità di NTLM relay.

Il perimetro di questo articolo è SMB 2.x e 3.x in ambienti Windows Active Directory, con focus su esposizione al relay, verifica e hardening pratico. La firma SMB non elimina da sola tutta la superficie NTLM relay. Ma non richiederla rimuove una protezione di protocollo che Microsoft documenta specificamente contro manomissione e relay su SMB.

Come funziona la firma SMB

Secondo Microsoft, SMB signing usa la chiave di sessione e la suite crittografica per aggiungere una firma al messaggio SMB. La firma contiene un hash dell’intero messaggio nell’header SMB. Se il messaggio viene alterato durante il trasporto, la verifica fallisce.

Per SMB 2.x e 3.x conta soprattutto se la firma è richiesta. La vecchia logica SMB1 intorno a EnableSecuritySignature non basta. Microsoft documenta che, da SMB 2.02 in poi, EnableSecuritySignature viene ignorato e il comportamento dipende dall’obbligo di firma.

Questa distinzione evita un errore frequente: pensare che SMB signing sia abilitato perché esiste un’impostazione legacy, mentre il requisito effettivo resta disattivato.

Quando la firma viene usata davvero

Il comportamento operativo è semplice:

  • la firma viene usata se il client SMB la richiede
  • la firma viene usata se il server SMB la richiede
  • la firma non viene usata solo quando client e server non la richiedono

Lo stato vulnerabile non riguarda solo un file server configurato male. Se nessuna delle due parti rifiuta sessioni non firmate, la connessione può proseguire senza firma.

Perché è importante in Active Directory

SMB non è solo un protocollo di file sharing. Active Directory lo usa per SYSVOL, NETLOGON, share amministrative e flussi operativi tra endpoint, server e domain controller.

Microsoft ricorda che i domain controller richiedono SMB signing per percorsi sensibili come SYSVOL e NETLOGON. Ha senso: traffico SMB non firmato nell’infrastruttura di identità è più facile da manomettere o relayare.

Disabilitata o non richiesta

Negli audit, “firma SMB disabilitata” e “firma SMB non richiesta” vengono spesso usati insieme. La differenza tecnica è utile.

  • Disabilitata significa spesso che RequireSecuritySignature è False sul client, sul server o su entrambi.
  • Non richiesta significa che l’host può firmare se l’altra parte lo impone, ma può anche accettare una sessione non firmata se nessuno la richiede.

Dal punto di vista del rischio, entrambi gli stati possono produrre lo stesso risultato: sessioni SMB autorizzate senza firma.

La domanda corretta non è se una casella sembra abilitata. La domanda corretta è se client o server rifiutano davvero SMB non firmato.

Perché questo rischio conta ancora

Microsoft continua a descrivere SMB signing come difesa contro manomissione, spoofing e relay. Molti percorsi di relay diventano pratici quando un servizio accetta autenticazione attraverso un canale protetto in modo insufficiente.

SMB non firmato indebolisce il percorso di protocollo

Se client e server possono negoziare una sessione non firmata, un attaccante che influenza il percorso di rete ha più spazio per interferire con il traffico o relayare l’autenticazione.

NTLM è ancora presente

Anche in organizzazioni che spingono Kerberos, Microsoft documenta ancora il blocco NTLM su SMB come misura separata per Windows 11 24H2 e Windows Server 2025. Il problema legacy NTLM resta quindi operativo.

I dispositivi terzi spesso abbassano la baseline

Microsoft sconsiglia esplicitamente di disabilitare SMB signing come workaround per server SMB di terze parti. Se un NAS, scanner o appliance non supporta correttamente la firma, va trattato come eccezione o debito tecnico, non come motivo per indebolire tutto l’ambiente Windows.

Condizioni che rendono l’esposizione concreta

Una finding SMB_SIGNING_DISABLED diventa più importante quando queste condizioni si sommano.

1. Nessuna parte richiede firma su un percorso rilevante

Il problema centrale è che client e server SMB possono continuare senza firme obbligatorie.

2. NTLM resta disponibile su quel percorso

Microsoft raccomanda Kerberos invece di NTLMv2 e sconsiglia accessi SMB tramite indirizzi IP o pattern di nomi che possono evitare Kerberos. SMB non firmato più NTLM è una combinazione classica che abilita il relay.

3. L’attaccante può influenzare il traffico

Il relay non è magia remota. L’attaccante deve poter forzare un’autenticazione, posizionarsi su un percorso o inviare traffico verso un sistema controllato.

4. I target hanno valore operativo

Relayare verso una share irrilevante non ha lo stesso impatto di relayare verso un server di gestione, una share amministrativa o un servizio sensibile. Per questo la revisione va affiancata a Account Obsoleti e Sovraprivilegiati in AD.

5. Esistono ancora client, appliance o workflow guest legacy

NAS vecchi, appliance, scanner e accessi guest sono spesso la ragione per cui la firma non viene richiesta. Devono essere eccezioni isolate e documentate.

Catena di attacco

Un percorso pratico con firma SMB disabilitata spesso appare così.

Step 1 - Trovare un percorso SMB non firmato

L’attaccante identifica una coppia client/server in cui nessuna parte richiede la firma.

Step 2 - Forzare o intercettare l’autenticazione

L’attaccante induce un sistema o un utente ad autenticarsi via SMB su un percorso che può osservare o influenzare.

Step 3 - Relayare il tentativo di autenticazione

Se le altre condizioni lo permettono, l’autenticazione viene relayata verso un altro servizio SMB o endpoint che accetta quell’identità.

Step 4 - Usare subito l’accesso ottenuto

Il relay è pericoloso perché non richiede di crackare la password. Se riesce, l’attaccante agisce con i diritti della vittima.

Per questo la finding va letta insieme a NTLM Relay: rilevamento e prevenzione. La firma SMB disabilitata non è tutta la storia, ma è uno dei fattori più chiari che rendono più pratico il relay SMB.

Rilevamento

Il rilevamento ha due parti: configurazione e correlazione operativa.

Rilevamento di configurazione

La verifica diretta è controllare se client e server richiedono davvero la firma:

Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature

Se il valore è False, la firma non è richiesta su quel lato.

In Group Policy, i parametri sono sotto:

  • Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
  • Microsoft network client: Digitally sign communications (always)
  • Microsoft network server: Digitally sign communications (always)

Così una finding generica diventa uno stato verificabile.

Auditare la compatibilità prima di imporre

Microsoft documenta controlli di audit utili sulle piattaforme recenti:

  • Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
  • Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Gli eventi correlati sono in:

  • Microsoft-Windows-SMBClient/Audit, eventi 31998 e 31999
  • Microsoft-Windows-SMBServer/Audit, eventi 3021 e 3022

Sono utili per trovare dipendenze terze prima di rendere la firma obbligatoria su larga scala.

Rilevamento operativo

Se sospetti abuso reale, correla:

  • host dove la firma non è richiesta
  • traffico SMB con forte uso di NTLM
  • pattern di relay coperti in Monitoraggio Sicurezza AD: Event ID e SIEM
  • accessi inattesi a share amministrative o sensibili
  • accessi SMB via IP o nomi che evitano Kerberos

Non esiste un singolo evento Windows che provi “NTLM relay riuscito perché SMB signing era disabilitato”. Il modello corretto è identificare il percorso non firmato e correlare autenticazione e accesso intorno a quel percorso.

Mitigazione

La mitigazione principale è richiedere SMB signing dove deve essere richiesto e ridurre i comportamenti adiacenti che mantengono praticabile il relay.

1. Richiedere SMB signing su client e server quando possibile

Microsoft documenta questi comandi:

Set-SmbClientConfiguration -RequireSecuritySignature $true
Set-SmbServerConfiguration -RequireSecuritySignature $true

A livello policy, i controlli sono:

  • Microsoft network client: Digitally sign communications (always)
  • Microsoft network server: Digitally sign communications (always)

Se controlli client Windows e file server Windows, questa è la baseline più pulita.

2. Non normalizzare incompatibilità terze

Se un dispositivo non supporta la firma, documentalo, isolalo e pianifica una mitigazione. Non abbassare la baseline Windows globale.

3. Preferire Kerberos e ridurre i percorsi NTLM

Microsoft raccomanda Kerberos invece di NTLMv2, evitare accessi SMB tramite IP e nomi che spingono verso NTLM. Questi dettagli riducono la probabilità che un percorso SMB debole diventi relay pratico. Anche la postura password conta, vedi Sicurezza delle Password in Active Directory: errori critici.

4. Usare le funzioni SMB recenti dove supportate

Microsoft ha rafforzato defaults e controlli:

  • Windows 11 24H2 Enterprise, Pro ed Education richiedono firma SMB in ingresso e uscita
  • Windows Server 2025 richiede firma SMB in uscita per impostazione predefinita
  • Windows 11 24H2 e Windows Server 2025 includono audit per SMB signing
  • Windows 11 24H2 e Windows Server 2025 includono blocco NTLM lato client SMB

L’hardening non è solo un vecchio parametro. Su piattaforme recenti puoi auditare prima e poi ridurre NTLM con meno incertezza.

5. Rivedere separatamente guest access e legacy

Microsoft indica che richiedere SMB signing disabilita anche guest access alle share. Se un processo dipende ancora da accesso guest, deve essere isolato e rivisto come eccezione.

6. Rivedere gli amministratori locali sugli stessi host

SMB non firmato è più pericoloso se gli stessi host condividono anche password admin locali. Rivedi anche Windows LAPS non distribuito.

7. Collegare la correzione alle revisioni NTLM relay

Se SMB signing è disabilitato, rivedi anche:

Il controllo funziona meglio quando fa parte di un programma di riduzione del relay, non come valore isolato.

Validazione dopo l’hardening

Dopo le modifiche, verifica lo stato effettivo.

  • eseguire Get-SmbClientConfiguration e Get-SmbServerConfiguration e confermare RequireSecuritySignature = True
  • verificare che le GPO effettive corrispondano alla baseline
  • abilitare gli eventi di audit prima di forzare cambiamenti ampi se esistono dipendenze terze
  • identificare dispositivi che non supportano la firma
  • rimuovere o isolare workflow guest o non firmati legacy
  • cercare accessi SMB via IP, alias problematici e percorsi NTLM pesanti
  • includere il controllo in Auditare la sicurezza di Active Directory: checklist pratica

Il successo non è uno screenshot GPO. Il successo è che client e server rifiutano SMB non firmato dove il relay avrebbe impatto.

Come EtcSec rileva l’esposizione correlata

EtcSec può modellare questo rischio direttamente perché SMB_SIGNING_DISABLED è una finding concreta di hardening di rete.

I collegamenti più utili sono:

  • SMB_SIGNING_DISABLED per sistemi che accettano SMB non firmato
  • NTLM_RELAY_OPPORTUNITY quando restano prerequisiti di relay
  • controlli AD su monitoraggio, account privilegiati e percorsi NTLM

Per questo il tema va letto insieme a NTLM Relay: rilevamento e prevenzione e Auditare la sicurezza di Active Directory: checklist pratica, non solo come guida generica sui file server.

Controlli correlati

Quando rivedi firma SMB disabilitata, rivedi anche NTLM Relay: rilevamento e prevenzione, Monitoraggio Sicurezza AD: Event ID e SIEM, Auditare la sicurezza di Active Directory: checklist pratica, Sicurezza delle Password in Active Directory: errori critici, Windows LAPS non distribuito, Account Obsoleti e Sovraprivilegiati in AD e Confronto tra strumenti di audit AD. Questi articoli coprono coercizione, relay e monitoraggio intorno a SMB non firmato.

Riferimenti principali

🏢 Active DirectoryNetworkMonitoringConfig
Firma SMB disabilitata: rischio NTLM relay e mitigazioni | EtcSec