Ottobre è il mese della consapevolezza della sicurezza informatica ed è un ottimo momento per scacciare i fantasmi delle configurazioni del passato. Una delle azioni che la Cybersecurity & Infrastructure Security Agency (CISA) e la National Cybersecurity Alliance (NCA) raccomandano di intraprendere è "Aggiornare il software". Un punto di partenza perfetto: Liberare i vostri domini dall'obsoleto protocollo di replica SYSVOL, File Replication Service (FRS).
Lettura correlata
C'era una volta...
SYSVOL è una directory speciale che risiede su ogni controller di dominio (DC) all'interno di un dominio. La directory comprende cartelle che memorizzano gli oggetti dei Criteri di gruppo (GPO) e gli script di accesso di cui i client hanno bisogno per accedere e sincronizzarsi tra i DC.
Affinché questi script di accesso e le GPO funzionino correttamente, SYSVOL deve essere copiato accuratamente e rapidamente in tutto il dominio. Questo processo, denominato replica SYSVOL, garantisce la duplicazione identica dei criteri rilevanti di un dominio in un altro DC dello stesso dominio.
Come avviene la replica di SYSVOL?
Inizialmente, con Windows 2000 Server, la replica era gestita dal protocollo FRS. FRS ha sostituito il servizio di replica LAN Manager di Windows NT Server. Tuttavia, Microsoft ha deprecato FRS in Windows Server 2008. Al suo posto, il protocollo Distributed File System (DFS) gestisce ora le repliche SYSVOL. DFS Replication (DFSR) migliora le prestazioni di replica, l'affidabilità e la sicurezza informatica.
Il problema? Nonostante sia stato sostituito dal più recente e meglio funzionante DFSR, FRS è ancora ampiamente utilizzato, soprattutto nei domini che hanno avuto un DC Windows Server 2003. Ma poiché è deprecato, FRS non riceve più correzioni di bug o di sicurezza.
Questo potrebbe rappresentare un grosso problema per gli ambienti in cui l'FRS è ancora in circolazione. L'uso continuato di un vecchio protocollo che si interfaccia con i DC è rischioso. Potenzialmente, gli aggressori possono manipolare le vulnerabilità di FRS per compromettere SYSVOL e modificare GPO o script di accesso per propagare il malware e spostarsi lateralmente nell'ambiente. Roba da brividi, davvero.
Bandire la replica di FRS
In primo luogo, è necessario determinare se l'FRS è ancora in uso in un DC.
- Individuare la sottochiave del registro HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersSysVolsMigrating SysvolsLocalState.
- Controllare il valore della sottochiave.
- Il valore "3" indica che il DFSR è in uso.
- Un valore diverso o una sottochiave mancante indicano che l'FRS è ancora in uso.
- Per ulteriori informazioni, consultare l'articolo di Microsoft "Backup e ripristino di una cartella SYSVOL replicata in FRS".
Se si trova FRS in uso su un DC, migrare a DFSR e disabilitare FRS il prima possibile. Il processo di migrazione aggiornerà il processo di replica e correggerà i problemi di salute correlati nell'ambiente.
Per una guida dettagliata alla migrazione da FRS a DFSR, consultare l'articolo di Microsoft "Migrare SYSVOL Replication a DFS Replication" o la SYSVOL Replication Migration Guide, scaricabile da Microsoft.