Microsoft implementerer support til Network-designated Resolvers (DNR) og SMB-klientkrypteringsmandater i Windows 11 for forbedret netværk.
Nøgle takeaways
- Windows 11 Canary preview builds har introduceret SMB-klientkrypteringsmandater og understøttelse af Network-designated Resolvers (DNR) for at forbedre netværkssikkerheden.
- SMB-kryptering giver ende-til-ende-sikkerhed til dataoverførsel, og it-administratorer kan konfigurere klientmaskiner til at kræve SMB-kryptering fra destinationsserveren.
- DNR eliminerer behovet for manuel slutpunktskonfiguration ved at tillade klientmaskiner automatisk at tunnelere til krypterede DNS-servere ved hjælp af krypterede protokoller som DoH og DoT.
Server Message Block (SMB) er en meget vigtig komponent, når det kommer til at sikre avanceret netværkssikkerhed i Windows 11. Microsoft lavede SMB-signering til standardadfærden i Windows Enterprise build tilbage i maj og havde også nogle vejledninger at dele med hensyn til SMB-godkendelsesproces tilbage i juni
. Nu har det annonceret, at det udvikler support til SMB-klientkrypteringsmandater og Network-designated Resolvers (DNR) i Windows 11.Den første implementering af SMB-klientkrypteringsmandatet er allerede til stede i Windows 11 Canary build 25982, som blev tilgængelig for blot et par timer siden. SMB-kryptering udnyttes til at give end-to-end sikkerhed, mens data overføres over et netværk. Det har været tilgængeligt med SMB 3.0 på Windows 8 og Windows Server 2012, med efterfølgende iterationer tilføjet understøttelse af mere sikre kryptografiske suiter som AES-GCM og AES-256-GCM.
De seneste forbedringer af denne infrastruktur sikrer, at it-administratorer nu kan konfigurere klientmaskiner til også at påbyde brugen af SMB-kryptering fra destinationsserveren. Det betyder, at hvis SMB 3.x ikke er tilgængelig, eller kryptering ikke er konfigureret, vil klientmaskinen være i stand til at afvise forbindelsen og derved øge den overordnede netværkssikkerhed. Microsoft har også delt de trin, som it-administratorer kan bruge til at konfigurere denne funktion via gruppepolitik eller PowerShell, du kan se dem her.
Teknologifirmaet Redmond har understreget, at da denne funktion sætter nogle begrænsninger på tilslutningsmuligheder, er der en vis balance mellem ydeevne og kompatibilitet, som du skal være opmærksom på. Du kan vælge kun at bruge SMB-signering for lidt mindre sikkerhed og forbedret ydeevne, men hvis du aktiverer SMB kryptering, husk, at den er overlegen i forhold til førstnævnte, så adfærden for SMB-signering vil blive deaktiveret til fordel for krypteringen på tilbud.
En anden netværksforbedring til stede i Windows 11 Canary build 25982 er understøttelse af DNR, som er en kommende standard fra Internet Engineering Task Force (IETF) for at muliggøre mere effektiv opdagelse af krypteret DNS servere. Indtil nu har klientmaskiner været forpligtet til at finde IP-adressen på den krypterede DNS-server, de ønsker at oprette forbindelse til, og derefter foretage de passende konfigurationer. DNR fjerner behovet for denne manuelle slutpunktskonfiguration ved at udnytte krypterede protokoller som DNS over HTTPS (DoH) og DNS over TLS (DoT) på klientsiden.
DNR er ret sofistikeret i sin implementering. Når en maskine på klientsiden med DNR aktiveret forsøger at tilslutte sig et nyt netværk, sender den en anmodning til DHCP'en server til at modtage en IP-adresse sammen med andre argumenter, der er specifikke for DNR som OPTION_V6_DNR og OPTION_V4_DNR. DHCP-serveren - som allerede er konfigureret til at bruge DNR - svarer på denne forespørgsel ved at sende over IP-adressen af den krypterede DNS-server, de understøttede krypterede protokoller, porte og den tilhørende godkendelse Information. Maskinen på klientsiden bruger derefter disse oplysninger til automatisk at tunnelere til den krypterede DNS-server, uden at slutbrugeren foretager nogen slutpunktskonfiguration.
Hvis du er interesseret i at udnytte DNR på en Windows 11 Canary-maskine, så tjek Microsofts vejledning angående aktivering af funktionen her. Bemærk, at DNR i øjeblikket ikke understøttes for IPv6 RA-krypteret DNS. Husk også, at både SMB-klientkrypteringsmandater og understøttelse af DNR i Windows 11 stadig er bliver testet i Insider Preview builds, og der er endnu ikke noget at sige om, hvornår funktionerne udrulles offentligt.