L’aggiornamento delle funzionalità (feature update) Windows 11 24H2 sarà rilasciato tra settembre e ottobre 2024. Tante le novità introdotte dal nuovo pacchetto: alcune di esse sono incentrate sul miglioramento della sicurezza complessiva del sistema. Già disponibile in Release Preview, è possibile provare Windows 11 24H2 prima di tutti, scaricandone l’immagine ISO direttamente dai server Microsoft.
Uno degli aspetti maggiormente degni di nota è che Windows 11 24H2 potrebbe creare qualche problema ai possessori di server NAS. In particolare allorquando si utilizzassero dispositivi per lo storage dei dati piuttosto vecchi. Vediamo perché e come prepararsi per tempo.
L’accesso via SMB ai NAS più vecchi non funziona più con Windows 11 24H2
A certificare i cambiamenti introdotti con Windows 11 24H2, che andranno a impattare direttamente sul funzionamento dei vecchi NAS, è Ned Pyle, program manager Microsoft che da tempo si occupa di migliorare le prestazioni e la sicurezza delle implementazioni del protocollo SMB (Server Message Block) in Windows.
Con Windows 11 24H2 diventa obbligatorio l’utilizzo di SMB signing su tutte le connessioni. Il protocollo SMB è ampiamente utilizzato per la condivisione di file, stampanti e altre risorse di rete. Facendo leva su SMB signing, è possibile aggiungere un ulteriore livello di sicurezza autenticando le comunicazioni tra client e server.
SMB signing poggia sulla generazione di un hash crittografico per ciascun messaggio scambiato tra il client e il server. Questo hash, o firma, è calcolato utilizzando una chiave segreta condivisa, derivata dalla sessione di autenticazione iniziale. Ogni messaggio inviato contiene la firma, verificata dal destinatario per assicurarsi che il messaggio non sia stato alterato durante il suo percorso.
Windows 11 24H2, inoltre, disattiva il cosiddetto guest fallback sull’edizione Pro del sistema operativo. Questa funzione permette agli utenti di connettersi a un server SMB senza inserire un nome utente e una password.
Le motivazioni che hanno portato all’introduzione delle modifiche
Sebbene possano presentarsi notevoli “fastidi” per gli utenti che usano NAS di vecchia generazione, Pyle spiega che le misure tecniche implementate in Windows 11 24H2 erano e sono necessarie per migliorare la sicurezza dei dispositivi.
SMB signing, ad esempio, è presente da oltre 30 anni, ma solo ora è reso obbligatorio per tutte le connessioni. Allo stesso modo, il supporto per gli utenti guest è disabilitato in diverse edizioni di Windows, ma adesso la misura è applicata con un approccio più esteso.
Secondo Pyle, “entrambe le modifiche renderanno miliardi di dispositivi più sicuri“. Tuttavia, riconosce che l’implementazione delle misure minuziosamente descritte in questa nota, potrebbe causare problemi a quegli utenti che utilizzano dispositivi NAS vecchi o che non supportano SMB signing.
Implicazioni per gli utenti finali
Gli utenti che aggiornano a Windows 11 24H2 potrebbero riscontrare errori quando tentano di accedere a dispositivi NAS o unità USB collegate a router che non supportano le nuove misure di sicurezza.
I messaggi di errore sono variabili. In alcuni casi si può ottenere un avviso più comprensibile, come il seguente: “Impossibile accedere a questa cartella condivisa perché i criteri di sicurezza della tua organizzazione bloccano l’accesso guest non autenticato“. In altri casi si possono ottenere messaggi più criptici come “Errore di sistema 3227320323“, l’esposizione di codici di errore come 0x80070035 oppure 0x800704f8. O, ancora, “impossibile trovare il percorso di rete“.
Tutti questi errori si presentano nel caso in cui il dispositivo richiedesse l’accesso guest. Diversamente, se il problema risiedesse nel mancato supporto di SMB signing, gli utenti potrebbero avere a che fare con avvisi simili: “STATUS_INVALID_SIGNATURE“, “la firma crittografica non è valida“, “0xc000a000” o “-1073700864”.
Come prepararsi per tempo e risolvere eventuali problemi
Installare la Release Preview di Windows 11 24H2 su un sistema che non si utilizza per scopi produttivi e provare ad accedere a NAS e dispositivi USB collegati a router e ad altri device è probabilmente il miglior modo per assicurarsi di non incorrere in qualche problema non appena il pacchetto di aggiornamento sarà disponibile nella sua veste finale.
Pyle raccomanda di aggiornare il software o il firmware dei dispositivi NAS, router e così via in modo da abbracciare SMB signing. Se l’aggiornamento non fosse possibile, potrebbe essere ragionevole valutare la sostituzione del dispositivo con uno più moderno e sicuro.
In casi estremi, gli utenti possono disabilitare le nuove misure di sicurezza. Ma queste operazioni dovrebbero essere considerate esclusivamente come ultima ratio.
Disattivare SMB signing e attivare guest fallback
La disattivazione delle due funzionalità di sicurezza lato Windows 11 24H2, può essere effettuata premendo Windows+R
, digitando gpedit.msc
quindi cliccando su Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri locali, Opzioni di sicurezza e infine facendo doppio clic su Client di rete Microsoft: aggiungi firma digitale alle comunicazioni client (sempre). A questo punto si deve selezionare l’opzione Disattivato e cliccare sul pulsante OK.
Nella sezione Configurazione computer, Modelli amministrativi, Rete, Workstation LANMAN, si deve cliccare due volte su Abilita gli accessi guest non sicuri quindi selezionare Attivata.
In generale, però va tenuto presente che SMB signing è una misura ormai fondamentale per la sicurezza delle reti moderne. Assicurandosi che i messaggi non siano stati alterati, questa funzionalità protegge i sistemi dalle minacce di rete e contribuisce ad assicurare l’integrità e l’autenticità delle comunicazioni.