Společnost Microsoft provedla některé změny v chování brány firewall SMB a možnosti použití alternativních portů v nejnovější verzi Windows 11 Canary build 25992.
Klíčové věci
- Sestavení Windows 11 Insider Preview mění výchozí chování sdílení SMB za účelem zlepšení zabezpečení sítě a automaticky povoluje omezující skupinu pravidel brány firewall bez starých portů SMB1.
- Microsoft si klade za cíl učinit připojení SMB ještě bezpečnější otevřením pouze povinných portů a uzavřením příchozích portů ICMP, LLMNR a Spooler Service v budoucnu.
- Klienti SMB se nyní mohou připojit k serverům prostřednictvím alternativních portů přes TCP, QUIC a RDMA, což poskytuje větší flexibilitu pro konfiguraci a přizpůsobení ze strany správců IT.
Microsoft dělal několik vylepšení na Server Message Block (SMB) za posledních několik let. Windows 11 Home se již nedodává s SMB1 z bezpečnostních důvodů a také technologický gigant z Redmondu nedávno zahájila testování podpory pro Network-designated Resolvers (DNR) a mandáty klientského šifrování v SMB3.x. Dnes to oznámilo další změny v komunikačním protokolu klient-server s uvedením nejnovějšího Windows 11 Insider stavět.
Windows 11 Insider Preview Canary sestavení 25992, které bylo zahájeno před několika hodinami, mění výchozí chování programu Windows Defender, pokud jde o vytváření sdílené složky pro malé a střední podniky. Od vydání aktualizace Windows XP Service Pack 2 vytvoření sdílené složky SMB automaticky povolilo skupinu pravidel "Sdílení souborů a tiskáren" pro vybrané profily brány firewall. Toto bylo implementováno s ohledem na SMB1 a bylo navrženo tak, aby zlepšilo flexibilitu nasazení a konektivitu se zařízeními a službami SMB.
Když však vytvoříte sdílenou složku SMB v nejnovějším sestavení Windows 11 Insider Preview, operační systém to udělá automaticky povolit skupina "Sdílení souborů a tiskáren (omezující)", která nebude obsahovat příchozí porty NetBIOS 137, 138 a 139. Je to proto, že tyto porty využívá SMB1 a nejsou využívány SMB2 nebo novějšími. To také znamená, že pokud povolíte SMB1 z nějakého staršího důvodu, budete muset znovu otevřít tyto porty ve vaší bráně firewall.
Microsoft říká, že tato změna konfigurace zajistí vyšší úroveň zabezpečení sítě, protože ve výchozím nastavení jsou otevřeny pouze požadované porty. To znamená, že je důležité poznamenat, že se jedná pouze o výchozí konfiguraci, správci IT mohou stále upravovat jakoukoli skupinu firewallů podle svých představ. Mějte však na paměti, že redmondská firma se snaží učinit připojení SMB ještě bezpečnější otevřením pouze povinných portů a ukončení provozu Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) a příchozí porty Spooler Service v budoucnost.
Když už mluvíme o portech, Microsoft také zveřejnil další blogový příspěvek k popisu změn alternativních portů v konektivitě SMB. Klienti SMB se nyní mohou připojit k serverům SMB prostřednictvím alternativních portů přes TCP, QUIC a RDMA. Dříve servery SMB nařizovaly použití portu TCP 445 pro příchozí připojení, přičemž klienti SMB TCP se odchozí připojovali ke stejnému portu; tuto konfiguraci nebylo možné změnit. S SMB přes QUIC však UDP port 443 mohou používat klientské i serverové služby.
Klienti SMB se mohou také připojit k serverům SMB prostřednictvím různých jiných portů, pokud tyto porty podporují konkrétní port a naslouchají na něm. Správci IT mohou nakonfigurovat konkrétní porty pro konkrétní servery a dokonce plně blokovat alternativní porty prostřednictvím zásad skupiny. Společnost Microsoft poskytla podrobné pokyny, jak můžete mapovat alternativní porty pomocí NET USE a New-SmbMapping nebo jak ovládat použití portů prostřednictvím zásad skupiny.
Je důležité poznamenat, že Windows Server Insiders aktuálně nemohou změnit TCP port 445 na něco jiného. Společnost Microsoft však umožní správcům IT konfigurovat SMB přes QUIC pro použití jiných portů než výchozího portu UDP 443.