Microsoft har foretaget nogle ændringer i SMB-firewall-adfærd og muligheden for at bruge alternative porte i den seneste Windows 11 Canary build 25992.
Nøgle takeaways
- Windows 11 Insider Preview build ændrer standard SMB-shareadfærd for at forbedre netværkssikkerheden og aktiverer automatisk en restriktiv firewall-regelgruppe uden de gamle SMB1-porte.
- Microsoft sigter mod at gøre SMB-forbindelse endnu mere sikker ved kun at åbne obligatoriske porte og lukke ICMP, LLMNR og Spooler Service indgående porte i fremtiden.
- SMB-klienter kan nu oprette forbindelse til servere gennem alternative porte over TCP, QUIC og RDMA, hvilket giver større fleksibilitet til konfiguration og tilpasning af it-administratorer.
Microsoft har lavet flere forbedringer til Server Message Block (SMB) i løbet af de sidste par år. Windows 11 Home leveres ikke længere med SMB1 på grund af sikkerhedsmæssige årsager, og det har Redmond tech-giganten også for nylig begyndt at teste support for Network-designated Resolvers (DNR) og klientkrypteringsmandater i SMB3.x. I dag har det meddelt yderligere ændringer af klient-server kommunikationsprotokollen med udrulningen af den seneste Windows 11 Insider bygge.
Windows 11 Insider Preview Canary build 25992, som begyndte at rulle ud for blot et par timer siden, ændrer standardadfærden for Windows Defender, når det kommer til at oprette en SMB-share. Siden udgivelsen af Windows XP Service Pack 2 har oprettelse af en SMB-share automatisk aktiveret regelgruppen "Fil- og printerdeling" for de valgte firewall-profiler. Dette blev implementeret med SMB1 i tankerne og blev designet til at forbedre implementeringsfleksibiliteten og forbindelsen til SMB-enheder og -tjenester.
Men når du opretter en SMB-share i den seneste Windows 11 Insider Preview-build, vil operativsystemet automatisk aktivere en "File and Printer Sharing (Restrictive)"-gruppe, som ikke vil indeholde de indgående NetBIOS-porte 137, 138 og 139. Dette skyldes, at disse porte udnyttes af SMB1 og ikke bruges af SMB2 eller senere. Dette betyder også, at hvis du aktiverer SMB1 af en eller anden grund, skal du genåbne disse porte i din firewall.
Microsoft siger, at denne konfigurationsændring vil sikre et højere niveau af netværkssikkerhed, da kun de nødvendige porte åbnes som standard. Når det er sagt, er det vigtigt at bemærke, at dette kun er standardkonfigurationen, IT-administratorer kan stadig ændre enhver firewall-gruppe efter deres smag. Husk dog, at Redmond-firmaet søger at gøre SMB-forbindelse endnu mere sikker ved kun at åbne obligatoriske porte og lukning af Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) og Spooler Service indgående porte i fremtid.
Når vi taler om porte, har Microsoft også udgivet en anden blogindlæg for at beskrive alternative portændringer i SMB-forbindelse. SMB-klienter kan nu oprette forbindelse til SMB-servere gennem alternative porte over TCP, QUIC og RDMA. Tidligere havde SMB-servere påbudt brugen af TCP-port 445 til indgående forbindelser, hvor SMB TCP-klienter forbinder udgående til den samme port; denne konfiguration kunne ikke ændres. Med SMB over QUIC kan UDP-port 443 dog bruges af både klient- og servertjenester.
SMB-klienter kan også oprette forbindelse til SMB-servere gennem forskellige andre porte, så længe sidstnævnte understøtter en bestemt port og lytter på den. IT-administratorer kan konfigurere specifikke porte til specifikke servere og endda blokere alternative porte fuldt ud gennem gruppepolitik. Microsoft har givet detaljerede instruktioner om, hvordan du kan kortlægge alternative porte med NET USE og New-SmbMapping eller kontrollere brugen af porte via gruppepolitik.
Det er vigtigt at bemærke, at Windows Server Insiders i øjeblikket ikke kan ændre TCP-port 445 til noget andet. Microsoft vil dog gøre det muligt for it-administratorer at konfigurere SMB over QUIC til at bruge andre porte udover standard UDP-port 443.