Ho perso l'accesso alle cartelle condivise tramite SMB dopo l'aggiornamento a DSM 7. Cosa posso fare?

Ho perso l'accesso alle cartelle condivise tramite SMB dopo l'aggiornamento a DSM 7. Cosa posso fare?

Alcuni articoli sono stati tradotti dall’inglese con strumenti meccanici e possono contenere imprecisioni oppure errori di grammatica.

Sintomi

Dopo l'aggiornamento a DSM 7.0 o superiore, perdevi immediatamente l'accesso alle cartelle condivise sul tuo Synology NAS. Inoltre, il registro connessioni in Log Center mostra la seguente voce di registro:

User [xxx] from [x.x.x.x] failed to log in via [SMB] due to [NTLMv1 not permitted].

Diagnosi

I dispositivi client appartengono a uno o entrambi i seguenti elementi:

  • Computer Windows che supportano SMB1 ma non consentono NTLMv2
  • Dispositivi legacy che supportano solo SMB1 ma non supportano NTLMv2, come ad esempio:
    • Telecamere IP
    • Stampanti multifunzione
    • Lettori multimediali (hardware o software)

Soluzione

A partire da DSM 7.0, l'autenticazione NTLMv1 è disattivata per motivi di sicurezza ed è consentita solo NTLMv2. Se i computer Windows o i dispositivi legacy utilizzavano SMB1 e NTLMv1 prima dell'aggiornamento DSM, sarà necessario regolare le impostazioni per risolvere il problema.

Se si conoscono i rischi e si deve usare SMB1 per i computer Windows o i dispositivi legacy, seguire i passaggi in questo articolo.

Impostare il protocollo SMB minimo sul NAS

Avvertenza: l'abilitazione di SMB1 non è sicura e potrebbe rendere il Synology NAS vulnerabile agli attacchi.

  1. Eseguire una delle seguenti azioni:
    • DSM 7.0 e versioni successive: andare su Pannello di controllo > Servizi file > SMB.
    • DSM 6.2 e versioni precedenti: andare su Pannello di controllo > Servizi file > SMB/ AFP/ NFS.
  2. Nella sezione SMB, fare clic su Impostazioni avanzate.
  3. Impostare il Protocollo SMB minimo su SMB1.
  4. Seguire i passaggi per i computer Windows o i dispositivi legacy a seconda della situazione.

Regolare le impostazioni sul computer Windows

Avvertenza: l'abilitazione di SMB1 e NTLMv1 non è sicura e potrebbe rendere i computer vulnerabili agli attacchi.

Windows XP (o versioni precedenti) supporta solo SMB1 e alcuni computer Windows potrebbero essere configurati in modo specifico per utilizzare solo SMB1 e NTLMv1. Si consiglia di eseguire l'upgrade a Windows 10 o versioni successive e di abilitare SMB2 o SMB3 dove possibile per garantire la riservatezza dei dati.

Per continuare a utilizzare SMB1 e passare a NTLMv2, è necessario regolare le impostazioni di sicurezza nel computer Windows:

  1. Andare su Start > Esegui (o premere Windows + R) e digitare "secpol.msc" nella casella di testo. 1
    1.png
  2. Nella finestra Impostazioni di sicurezza locali, andare su Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza nel riquadro di sinistra.
  3. Fare doppio clic su Sicurezza di rete: livello di autenticazione LAN Manager 2 nel riquadro di destra. Modificare l'impostazione su Invia solo risposta NTLMv2\ rifiutare LM e NTLM.
    2.png
  4. Riavviare il computer per applicare le modifiche.

Configurare le impostazioni per i dispositivi legacy

Avvertenza: l'abilitazione di NTLMv1 non è sicura e potrebbe rendere il Synology NAS vulnerabile agli attacchi.

La maggior parte dei dispositivi legacy (ad es. telecamere IP, stampanti multifunzione, lettori multimediali) supporta solo SMB1 e NTLMv1 e non consente la personalizzazione delle impostazioni NTLM. Per una maggiore sicurezza, si consiglia di sostituire i dispositivi legacy o di contattare i produttori dei dispositivi per richiedere supporto per NTLMv2.

Come ultima risorsa, andare su DSM > Pannello di controllo > Servizi file > SMB > Impostazioni avanzate > Altri per spuntare Abilita autenticazione NTLMv1. In questo modo si abbasserà il livello di sicurezza ma si consentirà ai dispositivi legacy di eseguire l'autenticazione tramite NTLMv1.

Se il problema persiste dopo avere aggiornato Windows e apportato le modifiche necessarie, consultare l'articolo sulla risoluzione dei problemi SMB/ AFP.

Note:

  1. Windows Home Edition non fornisce secpol.msc. Consultare la sezione Configurare le impostazioni per i dispositivi legacy per una soluzione alternativa oppure contattare Microsoft per informazioni su come modificare la Sicurezza di rete: impostazione del livello di autenticazione LAN Manager in Windows Home Edition.
  2. Per maggiori dettagli, consultare Sicurezza di rete: livello di autenticazione LAN Manager.
Sintomi
Diagnosi
Soluzione
Impostare il protocollo SMB minimo sul NAS
Regolare le impostazioni sul computer Windows
Configurare le impostazioni per i dispositivi legacy
Approfondimenti