Raccomandazioni sulla sicurezza del server preferenziale

Best practice consigliate di sicurezza per la configurazione del server preferenziale

In questo articolo vengono illustrate le raccomandazioni di sicurezza fondamentali per la configurazione dei Server preferenziali, al fine di garantire un'applicazione sicura ed efficiente degli aggiornamenti nel tuo ambiente. Queste linee guida riguardano l'uso dei protocolli HTTPS e SMB, metodi di autenticazione adeguati, requisiti FQDN (nome di dominio completo) e configurazioni che riducono al minimo i rischi associati alle connessioni non sicure.

Raccomandazioni chiave sulla sicurezza

1. Evitare di utilizzare indirizzi IP

   I server preferiti devono essere configurati per utilizzare nomi di dominio completi (FQDN) anziché indirizzi IP non elaborati. Ciò garantisce compatibilità e sicurezza tra i protocolli:

   • Per HTTPS:

     • I certificati devono corrispondere al nome di dominio completo del server. L'utilizzo di un indirizzo IP per l'URL del server renderà non valido il certificato.

     • Un certificato non valido può compromettere l'integrità dei dati e disabilitare completamente la convalida del certificato aumenta notevolmente il rischio consentendo attacchi man-in-the-middle.

     • Convalidare sempre i certificati e, se non corrispondono, bloccare la connessione per garantire la sicurezza.

   • Per SMB (percorsi UNC):

     • L'autenticazione Kerberos, il metodo preferito, richiede l'uso di un FQDN. Senza di esso, l'autenticazione ricorrerà a NTLM, che è meno sicuro.

2. Preferisci l'autenticazione Kerberos

   Kerberos dovrebbe essere il metodo di autenticazione predefinito, ove possibile, in quanto è più sicuro di NTLM:

   • Perché Kerberos è migliore:

     • Le password non vengono mai inviate al server di destinazione. Kerberos utilizza invece ticket firmati e convalidati da un controller di dominio per concedere l'accesso al server.

     • I ticket sono specifici del server e non possono essere riutilizzati per accedere ad altri computer, riducendo così il rischio di uso improprio delle credenziali.

   • Soluzioni alternative a NTLM:

     • NTLM v1 non dovrebbe mai essere utilizzato in quanto è altamente vulnerabile ad attacchi come l'hash cracking.

     • NTLM v2 può essere utilizzato come fallback, ma è meno sicuro di Kerberos. Aumentare la lunghezza delle password per rafforzare la protezione NTLM v2 contro gli attacchi brute force.

3. Versione e configurazione del protocollo SMB

   Le versioni e le configurazioni del protocollo SMB svolgono un ruolo significativo nella protezione dei trasferimenti di file. Seguire queste linee guida:

   • Disabilita SMB v1:

     • È obsoleto, non sicuro e disabilitato per impostazione predefinita sui sistemi moderni. Non abilitare o utilizzare mai SMB v1.

   • Abilita la firma SMB (SMB v2):

     • Protegge dagli attacchi di replay assicurando che ogni messaggio venga verificato.

   • Preferisci SMB v3 con crittografia:

     • SMB v3 supporta sia la firma che la crittografia. La crittografia protegge i dati in transito, quindi anche gli utenti sulla stessa rete non possono visualizzare il contenuto dei file.

4. Scrittura vs. Credenziali di lettura

   Distinguere tra credenziali di scrittura (utilizzate dall'agente di sincronizzazione) e credenziali di lettura (utilizzate dagli endpoint) durante la configurazione dei server preferenziali:

   • Credenziali di scrittura:

     • Sono più sensibili perché consentono all'agente di sincronizzazione di caricare i file sul Server preferenziale. Applicare sempre configurazioni sicure (ad esempio Kerberos o SMB v3 con crittografia) per le operazioni di scrittura.

   • Credenziali di lettura:

     • Utilizzato dagli endpoint per recuperare gli aggiornamenti. Sebbene siano preferibili configurazioni sicure, limitarsi ai soli protocolli sicuri potrebbe comportare problemi di compatibilità con i sistemi più vecchi. Bilanciare i requisiti di sicurezza con le esigenze operative.

5. Modalità di sicurezza predefinite

   Per salvaguardare le configurazioni del Server preferenziale, si consigliano le seguenti impostazioni di sicurezza predefinite per gli ambienti:

   • Applicare connessioni sicure per le operazioni di scrittura:

     • L'agente di sincronizzazione deve utilizzare solo configurazioni SMB sicure durante la scrittura sul server preferito. Rifiuta impostazioni non sicure come SMB v1 o NTLM v1.

     • Se l'amministratore decide di consentire connessioni SMB non sicure, il rischio aumenterà.

   • Consenti connessioni non sicure per le operazioni di lettura (facoltativo):

     • Per gli endpoint che utilizzano credenziali di lettura, consentire l'uso di protocolli meno sicuri, se necessario, per supportare sistemi legacy o non aggiornati. Tuttavia, limitarsi a scenari specifici ed essere consapevoli dei rischi.

6. Sicurezza delle password e delle credenziali

   Garantire solide pratiche di autenticazione:

   • Utilizzare password complesse, preferibilmente più lunghe di 14 caratteri, per mitigare gli attacchi brute force per NTLM v2.

   • Evitare metodi di autenticazione di base, come la trasmissione di nomi utente e password in testo normale o con codifica base64.

Riepilogo

Seguendo i consigli sopra riportati, è possibile ridurre l'esposizione ai rischi per la sicurezza, mantenendo al contempo la compatibilità all'interno dell'organizzazione. Dare sempre priorità all'autenticazione Kerberos, utilizzare nomi di dominio completi (FQDN), applicare la crittografia SMB v3 e convalidare attentamente i certificati per ottenere una configurazione sicura del server preferito.

Contattare il supporto Ivanti per ricevere ulteriore assistenza.