Microsoft implementuje podporu pro Network-designated Resolvers (DNR) a mandáty pro šifrování klientů SMB ve Windows 11 pro vylepšené sítě.
Klíčové věci
- Předběžná sestavení Windows 11 Canary zavedla mandáty pro šifrování klientů SMB a podporu pro řešení Network-designated Resolvers (DNR) pro zvýšení zabezpečení sítě.
- Šifrování SMB poskytuje komplexní zabezpečení přenosu dat a správci IT mohou nakonfigurovat klientské počítače tak, aby od cílového serveru vyžadovaly šifrování SMB.
- DNR eliminuje potřebu ruční konfigurace koncových bodů tím, že umožňuje klientským strojům automaticky tunelovat na šifrované servery DNS pomocí šifrovaných protokolů, jako je DoH a DoT.
Server Message Block (SMB) je velmi důležitou součástí, pokud jde o zajištění pokročilého zabezpečení sítě ve Windows 11. Společnost Microsoft zavedla podepisování malých a středních podniků jako výchozí chování v sestavení Windows Enterprise již v květnu a měla také několik pokynů, které se týkají Proces ověřování SMB v červnu
. Nyní oznámila, že vyvíjí podporu pro šifrovací mandáty klientů SMB a Network-designated Resolvers (DNR) ve Windows 11.První implementace šifrovacího mandátu klienta SMB je již k dispozici v Windows 11 Canary sestavení 25982, který byl k dispozici před několika hodinami. Šifrování SMB se využívá k zajištění komplexního zabezpečení při přenosu dat po síti. Je k dispozici s SMB 3.0 na Windows 8 a Windows Server 2012, s následnými iteracemi přidávajícími podporu pro bezpečnější kryptografické sady jako AES-GCM a AES-256-GCM.
Nejnovější vylepšení této infrastruktury zajišťují, že správci IT mohou nyní konfigurovat klientské počítače tak, aby také nařizovaly použití šifrování SMB z cílového serveru. To znamená, že pokud SMB 3.x není k dispozici nebo není nakonfigurováno šifrování, klientský počítač bude schopen odmítnout připojení, čímž se zvýší celkové zabezpečení sítě. Společnost Microsoft také sdílela kroky, které mohou správci IT využít ke konfiguraci této funkce prostřednictvím zásad skupiny nebo PowerShell, můžete je zobrazit tady.
Technická firma z Redmondu zdůraznila, že jelikož tato funkce klade určitá omezení na konektivitu, existuje určitá rovnováha mezi výkonem a kompatibilitou, na kterou musíte pamatovat. Můžete se rozhodnout používat pouze podepisování SMB pro mírně nižší zabezpečení a lepší výkon, ale pokud povolíte SMB šifrování, nezapomeňte, že je lepší než předchozí, takže chování podepisování SMB bude zakázáno ve prospěch šifrování nabídka.
Dalším síťovým vylepšením přítomným ve Windows 11 Canary build 25982 je podpora DNR, což je nadcházející standard od Internet Engineering Task Force (IETF), který umožňuje efektivnější zjišťování šifrovaných DNS servery. Až dosud bylo od klientských počítačů vyžadováno, aby nalezly IP adresu šifrovaného serveru DNS, ke kterému se chtějí připojit, a poté provedly příslušné konfigurace. DNR odstraňuje potřebu této ruční konfigurace koncového bodu využitím šifrovaných protokolů, jako je DNS přes HTTPS (DoH) a DNS přes TLS (DoT) na straně klienta.
DNR je ve své implementaci poměrně sofistikované. Když se počítač na straně klienta s povoleným DNR pokusí připojit k nové síti, odešle požadavek do DHCP server pro příjem IP adresy spolu s dalšími argumenty specifickými pro DNR, jako je OPTION_V6_DNR a OPTION_V4_DNR. Server DHCP - který je již nakonfigurován pro použití DNR - odpoví na tento dotaz odesláním přes IP adresu šifrovaného serveru DNS, podporované šifrované protokoly, porty a související ověřování informace. Počítač na straně klienta pak tyto informace využije k automatickému tunelování k šifrovanému serveru DNS, aniž by koncový uživatel prováděl jakoukoli konfiguraci koncového bodu.
Pokud máte zájem o využití DNR na počítači s Windows 11 Canary, podívejte se na pokyny společnosti Microsoft týkající se povolení této funkce tady. Upozorňujeme, že DNR není aktuálně podporováno pro IPv6 RA Encrypted DNS. Také mějte na paměti, že jak mandáty pro šifrování klienta SMB, tak podpora DNR ve Windows 11 stále platí testuje se v sestavení Insider Preview a zatím není známo, kdy budou funkce spuštěny veřejně.