È possibile adottare le seguenti misure per mitigare la minaccia in un ambiente vulnerabile. Tuttavia, questi passaggi potrebbero comportare considerazioni aggiuntive che aumentano la necessità di test inclusivi e che gli amministratori siano consapevoli del comportamento previsto nel loro ambiente dopo l'implementazione. Consigliamo sempre di applicare le patch del fornitore e gli aggiornamenti di sicurezza per affrontare le minacce.
Microsoft ha fornito le seguenti strategie di mitigazione, che possono ridurre il rischio di attacchi basati su
WebDAV-fino a quando non sarà possibile applicare le versioni aggiornate.
I clienti possono disabilitare il servizio
WebClient in esecuzione sui computer delle proprie organizzazioni, in modo simile alla raccomandazione riportata di seguito per bloccare il traffico TCP/445.
NOTA: questa raccomandazione blocca tutte
WebDAV le connessioni, inclusa la rete Intranet, che potrebbero influire sugli utenti o sulle applicazioni.
I seguenti fattori attenuanti potrebbero essere utili nella tua situazione:
- Aggiungere gli utenti al gruppo di sicurezza degli utenti protetti, che impedisce l'uso di NTLM come meccanismo di autenticazione. L'esecuzione di questa attenuazione semplifica la risoluzione dei problemi rispetto ad altri metodi di disabilitazione di NTLM. Prendi in considerazione l'utilizzo per account di alto valore, come Domain Admins, quando possibile.
NOTA: questa azione potrebbe avere un impatto sulle applicazioni che richiedono NTLM, ma le impostazioni verranno ripristinate dopo che l'utente è stato rimosso dal gruppo di utenti protetti. Vedere Gruppo di sicurezza degli utenti protetti per ulteriori informazioni.
- Blocca TCP 445/SMB in uscita dalla rete utilizzando un firewall perimetrale, un firewall locale e tramite le impostazioni VPN. Questa azione impedisce la trasmissione dei messaggi di autenticazione NTLM alle condivisioni file remote.