Posted inVEEAM

Veeam v13 e il fantasma di NTLM…

Table of Contents

… come sopravvivere a Windows Server 2025 e Veeam v13 in Workgroup

Una famosa canzone del famosissimo artista italiano Domenico Modugno, intitolata Meraviglioso, iniziava cosƬ:

ƈ veroCredetemi ĆØ accadutoDi notte su di un ponteGuardavo l’acqua scuraCon la dannata vogliaDi fare un tuffo giĆ¹

Introduzione

Oggi vi racconto una storia vera.

Un mio ex collega mi ha chiamato di sabato per aiutarlo a risolvere una situazione complicata da un suo cliente.

Mi trasformo in un supereroe!

Situazione

L’architettura ĆØ composta da un server Veeam Backup & Replication v13 e un server Veeam ONE, entrambi in Workgroup e installati su Windows Server 2025. Il cliente non ha un dominio e quindi niente Active Directory da cui ereditare vulnerabilitĆ . MA neanche un DNS server e per sopperire alla mancanza di un DNS ho popolato correttamente i file hosts su entrambi i server.

Quindi verificato che ci fossero IP statici configurati facenti parte della stessa VLAN e firewall sulle VM disabilitati (da riattivare in un secondo momento con regole puntuali) ci colleghiamo alla console web di Veeam ONE per aggail VBR e avviare il monitoraggio.

Apro la console, inserisco le credenziali di un utente creato ad hoc, con privilegi di amministrazione locale del VBR ma dopo qualche secondo mi appare questo errore:

Chiaramente il push del pacchetto Analytics Service fallisce.

La Sfida

Ok verifichiamo nelle KB di Veeam e troviamo questa KB4828. La guida suggerisce problemi di permessi, di verificaare l’accesso remoto ai WMI e di disabilitare l’MFA per l’account creato. Proviamo quindi ad abbassare l’UAC e abilitato la chiave LocalAccountTokenFilterPolicy nel registro di sistema.

Nulla da fare. La console di Veeam ONE continuava a dare l’errore.

Passiamo quindi a verificare il Visualizzatore Eventi di Windows sul server VBR. E lƬ, in perfetta sincronia con i tentativi di aggancio, trovo questo: Event ID 4625: Failed Logon Attempt.

Il server VBR stava rifiutando le credenziali. L’utente ĆØ un Administrator e avevo provato anche con l’Administrator locale, e la password ĆØ corretta.

L’Azione

Quindi il problema non ĆØ Veeam e neanche le credenziali. Vado di logica.

Veeam ONE cerca di effettuare il push dell’installazione del pacchetto sul VBR server copiandolo nella share nascosta Admin$.

Eppure ricordo che con la nuova v13 Veeam sono stati deprecati i vecchi protocolli NTLM, RPC e WMI in favore di Kerberos. Vado a leggere il file What’s new e trovo:

Microsoft RPC and Microsoft WMI discontinuation ā€” V13 eliminates the usage of these protocols for communication between backup infrastructure components and to protected workloads in favor of cross-platform gRPC protocol. In addition to improving performance and reliability, this change reduces the number and the range of ports required for Veeam Backup & Replication to function, thereby reducing your network exposure to cyberattacks and simplifying deployment with reduced number of ports to open in firewalls. This does mean that you will need to work with your networking team to adjust firewall settings when upgrading to V13!
NTLM authentication deprecation ā€” NTLM usage for connection between backup infrastructure components and protected workloads is discontinued in V13 Software Appliance and is deprecated in V13 Windows installable software in favor of Kerberos authentication. This change improves security by eliminating legacy authentication protocols, reducing your exposure to known NTLM vulnerabilities and aligning with modern standards.

Ok questo significa che Veeam tenta prima con Kerberos. Ma essendo le VM in Workgroup senza alcun Domain Controller a cui chiedere un ticket Kerberos, passa alĀ  vecchio e NTLM.

Ed ĆØ qui che Windows Server 2025 alza il suo muro, infatti Microsoft ha annunciato che il protocollo NTLM non viene piĆ¹ sviluppato e che NTLMv1 viene rimosso su Windows Server 2025.

E quindi, visto che il “push” remoto ĆØ impossibile cerco il modo di effettuare una installazione manuale. Seguendo la documentazione ufficiale trovo la possibilitĆ  di scaricare il pacchetto, lo copio sul VBR server e lo installo seguendo alcuni semplici passaggi:

    • Dalla WebUI di Veeam ONE andare in Configuration > Data Collection > Veeam Analytics Service.

    • Cliccare su Download package e seleziona Windows.

    • Spostare il file .msi sul server VBR Windows di destinazione.

    • Clic destro sul file e selezionare “Esegui come amministratore”.

    • Completare l’installazione e attendere la conlcusione

Il Risultato

L’installazione locale si completa in pochissimi secondi.

Automaticamente si avvia il servizio sul VBR e l’Analytics Service si connette al Veeam ONE e il traffico utilizza la porta TCP 2805.Ā Sulla console, dopo alcuni minuti, il pallino diventa verde e il VBR risulta Connected. Da questo momento si vedono tutti i dati.

Conclusione

Questa esperienza mi ha insegnato una lezione fondamentale che voglio condividere con tutti voi che state progettando le infrastrutture di data protection con Veeam v13. Non sempre ĆØ tutto ora oquello che luccica, quelle che possono essere attivitĆ  semplici si possono tradurre in situazioni su cu i sbattere la testa.

Le best practice di sicurezza consigliano di mantenere i server VBR in Workgroup per ridurre il raggio di azione dei ransomware, ma se utilizzate Windows Server 2025, mettetevi l’anima in pace, armatevi di santa pazienza e installate i componenti a mano. La vostra sicurezza vi ringrazierĆ .

A presto!

Post Views: 117
Tags: