Microsoft внедрява поддръжка за мрежови преобразуватели (DNR) и мандати за шифроване на SMB клиент в Windows 11 за подобрена работа в мрежа.
Ключови изводи
- Компилациите за предварителен преглед на Windows 11 Canary въвеждат мандати за шифроване на SMB клиент и поддръжка за мрежово определени преобразуватели (DNR) за подобряване на мрежовата сигурност.
- SMB криптирането осигурява сигурност от край до край за пренос на данни, а ИТ администраторите могат да конфигурират клиентските машини да изискват SMB криптиране от целевия сървър.
- DNR елиминира необходимостта от ръчно конфигуриране на крайни точки, като позволява на клиентските машини автоматично да тунелират към криптирани DNS сървъри, използвайки криптирани протоколи като DoH и DoT.
Блокът за съобщения на сървъра (SMB) е изключително важен компонент, когато става въпрос за осигуряване на разширена мрежова сигурност в Windows 11. Microsoft направи подписването на SMB поведението по подразбиране в компилацията на Windows Enterprise още през май и също имаше някои насоки за споделяне относно
Процесът на SMB удостоверяване през юни. Сега той обяви, че разработва поддръжка за мандати за шифроване на SMB клиент и мрежови резолвери (DNR) в Windows 11.Първото изпълнение на мандата за шифроване на SMB клиент вече присъства в Windows 11 Canary компилация 25982, който стана достъпен само преди няколко часа. SMB криптирането се използва за осигуряване на сигурност от край до край при прехвърляне на данни през мрежа. Той е наличен с SMB 3.0 на Windows 8 и Windows Server 2012, като последващите итерации добавят поддръжка за по-сигурни криптографски пакети като AES-GCM и AES-256-GCM.
Най-новите подобрения на тази инфраструктура гарантират, че ИТ администраторите вече могат да конфигурират клиентски машини, така че също така да налагат използването на SMB криптиране от целевия сървър. Това означава, че ако SMB 3.x не е наличен или криптирането не е конфигурирано, клиентската машина ще може да откаже връзката, като по този начин ще увеличи цялостната мрежова сигурност. Microsoft също така сподели стъпките, които ИТ администраторите могат да използват, за да конфигурират тази възможност чрез групови правила или PowerShell, можете да ги видите тук.
Технологичната фирма от Редмънд подчерта, че тъй като тази функция поставя някои ограничения върху свързаността, има определен баланс на производителност и съвместимост, за който трябва да имате предвид. Можете да изберете да използвате само SMB подписване за малко по-ниска сигурност и подобрена производителност, но ако активирате SMB криптиране, не забравяйте, че то е по-добро от първото, така че поведението на SMB подписване ще бъде деактивирано в полза на криптирането на оферта.
Друго мрежово подобрение, присъстващо в Windows 11 Canary build 25982, е поддръжката за DNR, която е предстояща стандарт от Internet Engineering Task Force (IETF), за да позволи по-ефективно откриване на криптиран DNS сървъри. Досега от клиентските машини се изискваше да намерят IP адреса на шифрования DNS сървър, към който желаят да се свържат, и след това да направят подходящите конфигурации. DNR премахва необходимостта от тази ръчна конфигурация на крайната точка чрез използване на криптирани протоколи като DNS през HTTPS (DoH) и DNS през TLS (DoT) от страна на клиента.
DNR е доста сложен в изпълнението си. Когато клиентска машина с активиран DNR се опита да се присъедини към нова мрежа, тя изпраща заявка до DHCP сървър за получаване на IP адрес, заедно с други аргументи, специфични за DNR като OPTION_V6_DNR и OPTION_V4_DNR. DHCP сървърът - който вече е конфигуриран да използва DNR - отговаря на тази заявка, като изпраща по IP адреса на шифрования DNS сървър, поддържаните шифровани протоколи, портове и свързаното удостоверяване информация. След това машината от страна на клиента използва тази информация, за да тунелира автоматично към шифрования DNS сървър, без да се извършва конфигурация на крайна точка от крайния потребител.
Ако се интересувате от използването на DNR на машина с Windows 11 Canary, вижте насоките на Microsoft относно активирането на функцията тук. Имайте предвид, че DNR в момента не се поддържа за IPv6 RA Encrypted DNS. Също така имайте предвид, че мандатите за шифроване на SMB клиент и поддръжката за DNR в Windows 11 все още са се тества в компилации на Insider Preview и все още няма информация кога функциите ще бъдат пуснати публично.