أجرت Microsoft بعض التغييرات على سلوكيات جدار الحماية للشركات الصغيرة والمتوسطة وإمكانية استخدام منافذ بديلة في الإصدار الأحدث من Windows 11 Canary الإصدار 25992.
الماخذ الرئيسية
- يقوم Windows 11 Insider Preview بإنشاء تغييرات على سلوك مشاركة SMB الافتراضي لتحسين أمان الشبكة، مما يؤدي تلقائيًا إلى تمكين مجموعة قواعد جدار الحماية المقيدة بدون منافذ SMB1 القديمة.
- تهدف Microsoft إلى جعل اتصال الشركات الصغيرة والمتوسطة أكثر أمانًا من خلال فتح المنافذ الإلزامية فقط وإغلاق المنافذ الواردة لـ ICMP وLLMNR وخدمة التخزين المؤقت في المستقبل.
- يمكن لعملاء الشركات الصغيرة والمتوسطة الآن الاتصال بالخوادم من خلال منافذ بديلة عبر TCP وQUIC وRDMA، مما يوفر مرونة أكبر للتكوين والتخصيص بواسطة مسؤولي تكنولوجيا المعلومات.
لقد قامت مايكروسوفت بصنع العديد من التحسينات إلى كتلة رسائل الخادم (SMB) على مدار العامين الماضيين. لم يعد Windows 11 Home يأتي مع SMB1 لأسباب أمنية، كما فعل عملاق التكنولوجيا ريدموند أيضًا بدأت مؤخرا اختبار الدعم للمحللين المعينين للشبكة (DNR) وتفويضات تشفير العميل في SMB3.x. واليوم أعلنت مزيد من التغييرات على بروتوكول الاتصال بين العميل والخادم مع طرح أحدث إصدار من Windows 11 Insider يبني.
يعمل Windows 11 Insider Preview Canary build 25992، والذي بدأ طرحه قبل بضع ساعات فقط، على تغيير السلوك الافتراضي لـ Windows Defender عندما يتعلق الأمر بإنشاء مشاركة SMB. منذ إصدار Windows XP Service Pack 2، أدى إنشاء مشاركة SMB إلى تمكين مجموعة قواعد "مشاركة الملفات والطابعات" لملفات تعريف جدار الحماية المحددة تلقائيًا. تم تنفيذ ذلك مع وضع SMB1 في الاعتبار وتم تصميمه لتحسين مرونة النشر والاتصال بأجهزة وخدمات SMB.
ومع ذلك، عند إنشاء مشاركة SMB في أحدث إصدار من Windows 11 Insider Preview، سيقوم نظام التشغيل بذلك تمكين تلقائيا مجموعة "مشاركة الملفات والطابعات (مقيدة)"، والتي لن تحتوي على منافذ NetBIOS الواردة 137 و138 و139. وذلك لأن هذه المنافذ يتم الاستفادة منها بواسطة SMB1، ولا يتم استخدامها بواسطة SMB2 أو الإصدارات الأحدث. وهذا يعني أيضًا أنه إذا قمت بتمكين SMB1 لبعض الأسباب القديمة، فستحتاج إلى إعادة فتح هذه المنافذ في جدار الحماية الخاص بك.
تقول Microsoft أن تغيير التكوين هذا سيضمن مستوى أعلى من أمان الشبكة حيث يتم فتح المنافذ المطلوبة فقط بشكل افتراضي. ومع ذلك، من المهم ملاحظة أن هذا هو التكوين الافتراضي فقط، ولا يزال بإمكان مسؤولي تكنولوجيا المعلومات تعديل أي مجموعة جدار حماية حسب رغبتهم. ومع ذلك، ضع في اعتبارك أن شركة Redmond تتطلع إلى جعل اتصال الشركات الصغيرة والمتوسطة أكثر أمانًا من خلال فتح المنافذ الإلزامية فقط إغلاق بروتوكول رسائل التحكم بالإنترنت (ICMP)، وتحليل اسم البث المتعدد للارتباط المحلي (LLMNR)، والمنافذ الواردة لخدمة التخزين المؤقت في مستقبل.
بالحديث عن المنافذ، نشرت Microsoft أيضًا آخر مشاركة مدونة لوصف تغييرات المنفذ البديل في اتصال SMB. يمكن الآن لعملاء الشركات الصغيرة والمتوسطة الاتصال بخوادم الشركات الصغيرة والمتوسطة من خلال منافذ بديلة عبر TCP وQUIC وRDMA. في السابق، كانت خوادم SMB تفرض استخدام منفذ TCP 445 للاتصالات الواردة، مع اتصال عملاء SMB TCP الصادر بنفس المنفذ؛ لا يمكن تغيير هذا التكوين. ومع ذلك، مع SMB عبر QUIC، يمكن استخدام منفذ UDP 443 بواسطة كل من خدمات العميل والخادم.
يمكن لعملاء الشركات الصغيرة والمتوسطة أيضًا الاتصال بخوادم الشركات الصغيرة والمتوسطة من خلال منافذ أخرى متنوعة طالما أن الأخيرة تدعم منفذًا معينًا وتستمع إليه. يمكن لمسؤولي تكنولوجيا المعلومات تكوين منافذ معينة لخوادم محددة، وحتى حظر المنافذ البديلة بالكامل من خلال نهج المجموعة. قدمت Microsoft إرشادات مفصلة حول كيفية تعيين منافذ بديلة باستخدام NET USE وNew-SmbMapping، أو التحكم في استخدام المنافذ من خلال Group Policy.
من المهم ملاحظة أن Windows Server Insider لا يمكنه حاليًا تغيير منفذ TCP 445 إلى منفذ آخر. ومع ذلك، ستقوم Microsoft بتمكين مسؤولي تكنولوجيا المعلومات من تكوين SMB عبر QUIC لاستخدام منافذ أخرى إلى جانب منفذ UDP الافتراضي 443.