Microsoft направи някои промени в поведението на SMB защитната стена и възможността за използване на алтернативни портове в най-новата версия 25992 на Windows 11 Canary.
Ключови изводи
- Компилацията на Windows 11 Insider Preview променя поведението на SMB споделяне по подразбиране, за да подобри мрежовата сигурност, като автоматично активира ограничителна група правила за защитна стена без старите SMB1 портове.
- Microsoft има за цел да направи SMB свързаността още по-сигурна, като отваря само задължителни портове и затваря входящите портове на ICMP, LLMNR и услугата Spooler в бъдеще.
- SMB клиентите вече могат да се свързват със сървъри чрез алтернативни портове през TCP, QUIC и RDMA, осигурявайки по-голяма гъвкавост за конфигуриране и персонализиране от ИТ администраторите.
Microsoft прави няколко подобрения към сървърен блок за съобщения (SMB) през последните няколко години. Windows 11 Home вече не се доставя с SMB1 поради съображения за сигурност, както и технологичният гигант от Редмънд също
наскоро започна тестване на поддръжка за определени от мрежата преобразуватели (DNR) и клиентски мандати за криптиране в SMB3.x. Днес тя обяви допълнителни промени в комуникационния протокол клиент-сървър с пускането на най-новия Windows 11 Insider изграждане.Windows 11 Insider Preview Canary build 25992, която започна да се разпространява само преди няколко часа, променя поведението по подразбиране на Windows Defender, когато става въпрос за създаване на споделяне на SMB. От пускането на Windows XP Service Pack 2 създаването на SMB споделяне автоматично активира групата правила „Споделяне на файлове и принтери“ за избраните профили на защитната стена. Това беше реализирано с оглед на SMB1 и беше предназначено да подобри гъвкавостта на внедряване и свързаността с SMB устройства и услуги.
Въпреки това, когато създадете SMB споделяне в най-новата компилация на Windows 11 Insider Preview, операционната система ще го направи автоматично активиране група „Споделяне на файлове и принтери (ограничително)“, която няма да съдържа входящите NetBIOS портове 137, 138 и 139. Това е така, защото тези портове се използват от SMB1 и не се използват от SMB2 или по-нови. Това също означава, че ако активирате SMB1 по някаква наследена причина, ще трябва да отворите отново тези портове във вашата защитна стена.
Microsoft казва, че тази промяна в конфигурацията ще осигури по-високо ниво на мрежова сигурност, тъй като само необходимите портове се отварят по подразбиране. Въпреки това е важно да се отбележи, че това е само конфигурацията по подразбиране, ИТ администраторите все още могат да променят всяка група защитна стена според предпочитанията си. Имайте предвид обаче, че фирмата от Редмънд се стреми да направи SMB свързаността още по-сигурна, като отваря само задължителни портове и затваряне на входящите портове на Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) и Spooler Service в бъдеще.
Говорейки за портове, Microsoft също публикува още един блог пост за описание на алтернативни промени на портовете в SMB свързаността. SMB клиентите вече могат да се свързват към SMB сървъри чрез алтернативни портове през TCP, QUIC и RDMA. Преди това SMB сървърите налагаха използването на TCP порт 445 за входящи връзки, като SMB TCP клиентите се свързваха изходящо към същия порт; тази конфигурация не може да бъде променена. При SMB през QUIC обаче UDP порт 443 може да се използва както от клиентски, така и от сървърни услуги.
SMB клиентите могат също да се свързват към SMB сървъри през различни други портове, стига последните да поддържат определен порт и да го слушат. ИТ администраторите могат да конфигурират конкретни портове за конкретни сървъри и дори да блокират напълно алтернативни портове чрез групови правила. Microsoft предостави подробни инструкции как можете да картографирате алтернативни портове с NET USE и New-SmbMapping или да контролирате използването на портове чрез групови правила.
Важно е да се отбележи, че Windows Server Insiders в момента не може да промени TCP порт 445 на нещо друго. Microsoft обаче ще даде възможност на ИТ администраторите да конфигурират SMB през QUIC, за да използват други портове освен стандартния UDP порт 443.