Microsoft implementiert Unterstützung für Network-Designated Resolvers (DNR) und SMB-Client-Verschlüsselungsvorschriften in Windows 11 für eine verbesserte Netzwerkfähigkeit.
Die zentralen Thesen
- Windows 11 Canary Preview-Builds haben SMB-Client-Verschlüsselungsvorschriften und Unterstützung für Network-designated Resolvers (DNR) eingeführt, um die Netzwerksicherheit zu verbessern.
- Die SMB-Verschlüsselung bietet durchgängige Sicherheit für die Datenübertragung, und IT-Administratoren können Client-Computer so konfigurieren, dass sie eine SMB-Verschlüsselung vom Zielserver erfordern.
- DNR macht eine manuelle Endpunktkonfiguration überflüssig, indem es Client-Computern ermöglicht, mithilfe verschlüsselter Protokolle wie DoH und DoT automatisch zu verschlüsselten DNS-Servern zu tunneln.
Server Message Block (SMB) ist eine äußerst wichtige Komponente, wenn es darum geht, erweiterte Netzwerksicherheit in Windows 11 zu gewährleisten. Microsoft hat die SMB-Signierung bereits im Mai zum Standardverhalten im Windows Enterprise-Build gemacht und auch einige Hinweise dazu mitgeteilt
SMB-Authentifizierungsprozess bereits im Juni. Jetzt hat es angekündigt, dass es Unterstützung für SMB-Client-Verschlüsselungsvorschriften und Network-Designated Resolver (DNR) in Windows 11 entwickelt.Die erste Implementierung des SMB-Client-Verschlüsselungsmandats ist bereits vorhanden Windows 11 Canary Build 25982, das erst seit wenigen Stunden verfügbar ist. Die SMB-Verschlüsselung wird genutzt, um bei der Datenübertragung über ein Netzwerk eine durchgängige Sicherheit zu gewährleisten. Es war mit SMB 3.0 unter Windows 8 und Windows Server 2012 verfügbar, wobei spätere Iterationen Unterstützung für sicherere kryptografische Suiten wie AES-GCM und AES-256-GCM hinzufügten.
Die neuesten Verbesserungen dieser Infrastruktur stellen sicher, dass IT-Administratoren jetzt Client-Computer so konfigurieren können, dass sie auch die Verwendung der SMB-Verschlüsselung vom Zielserver vorschreiben. Das heißt, wenn SMB 3.x nicht verfügbar ist oder die Verschlüsselung nicht konfiguriert ist, könnte der Client-Rechner die Verbindung verweigern, was die allgemeine Netzwerksicherheit erhöht. Microsoft hat auch die Schritte geteilt, die IT-Administratoren nutzen können, um diese Funktion über Gruppenrichtlinien oder PowerShell zu konfigurieren. Sie können sie anzeigen Hier.
Das Redmonder Technologieunternehmen hat betont, dass, da diese Funktion einige Einschränkungen bei der Konnektivität mit sich bringt, ein gewisses Verhältnis von Leistung und Kompatibilität beachtet werden muss. Für etwas geringere Sicherheit und verbesserte Leistung können Sie auch nur die SMB-Signierung verwenden, aktivieren Sie jedoch SMB Beachten Sie bei der Verwendung der Verschlüsselung, dass diese der ersteren überlegen ist, sodass das Verhalten der SMB-Signierung zugunsten der Verschlüsselung deaktiviert wird im Angebot.
Eine weitere Netzwerkverbesserung in Windows 11 Canary Build 25982 ist die Unterstützung für DNR, das in Kürze verfügbar ist Standard der Internet Engineering Task Force (IETF), um eine effizientere Erkennung von verschlüsseltem DNS zu ermöglichen Server. Bisher mussten Client-Rechner die IP-Adresse des verschlüsselten DNS-Servers ermitteln, zu dem sie eine Verbindung herstellen wollten, und dann die entsprechenden Konfigurationen vornehmen. DNR macht diese manuelle Endpunktkonfiguration überflüssig, indem verschlüsselte Protokolle wie DNS über HTTPS (DoH) und DNS über TLS (DoT) auf der Clientseite genutzt werden.
DNR ist in seiner Implementierung recht ausgefeilt. Wenn ein clientseitiger Computer mit aktiviertem DNR versucht, einem neuen Netzwerk beizutreten, sendet er eine Anfrage an DHCP Server zum Empfangen einer IP-Adresse zusammen mit anderen DNR-spezifischen Argumenten wie OPTION_V6_DNR und OPTION_V4_DNR. Der DHCP-Server – der bereits für die Verwendung von DNR konfiguriert ist – antwortet auf diese Anfrage, indem er die IP-Adresse sendet des verschlüsselten DNS-Servers, der unterstützten verschlüsselten Protokolle, Ports und der zugehörigen Authentifizierung Information. Der clientseitige Computer nutzt diese Informationen dann, um automatisch einen Tunnel zum verschlüsselten DNS-Server zu erstellen, ohne dass der Endbenutzer eine Endpunktkonfiguration vornehmen muss.
Wenn Sie daran interessiert sind, DNR auf einem Windows 11 Canary-Computer zu nutzen, lesen Sie die Anleitung von Microsoft zur Aktivierung der Funktion Hier. Beachten Sie, dass DNR derzeit nicht für IPv6 RA Encrypted DNS unterstützt wird. Bedenken Sie auch, dass sowohl die SMB-Client-Verschlüsselungsvorschriften als auch die Unterstützung für DNR in Windows 11 weiterhin gelten wird in Insider Preview-Builds getestet und es gibt noch keine Informationen darüber, wann die Funktionen eingeführt werden öffentlich.