Microsoft hat im neuesten Windows 11 Canary Build 25992 einige Änderungen am Verhalten der SMB-Firewall und der Möglichkeit der Verwendung alternativer Ports vorgenommen.
Die zentralen Thesen
- Der Windows 11 Insider Preview-Build ändert das Standardverhalten der SMB-Freigabe, um die Netzwerksicherheit zu verbessern, und aktiviert automatisch eine restriktive Firewall-Regelgruppe ohne die alten SMB1-Ports.
- Microsoft möchte die SMB-Konnektivität noch sicherer machen, indem in Zukunft nur noch obligatorische Ports geöffnet und ICMP-, LLMNR- und Spooler-Service-Eingangsports geschlossen werden.
- SMB-Clients können jetzt über alternative Ports über TCP, QUIC und RDMA eine Verbindung zu Servern herstellen, was IT-Administratoren mehr Flexibilität bei der Konfiguration und Anpassung bietet.
Microsoft hat gemacht mehrere Verbesserungen zum Server Message Block (SMB) in den letzten Jahren. Windows 11 Home wird nicht mehr mit SMB1 ausgeliefert aus Sicherheitsgründen, und der Technologieriese aus Redmond hat dies auch getan
Vor Kurzem wurde mit der Testunterstützung begonnen für Network-Designated Resolver (DNR) und Client-Verschlüsselungsanforderungen in SMB3.x. Heute wurde es bekannt gegeben Weitere Änderungen am Client-Server-Kommunikationsprotokoll mit der Einführung des neuesten Windows 11 Insider bauen.Windows 11 Insider Preview Canary Build 25992, dessen Einführung erst vor wenigen Stunden begann, ändert das Standardverhalten von Windows Defender beim Erstellen einer SMB-Freigabe. Seit der Veröffentlichung von Windows XP Service Pack 2 wurde beim Erstellen einer SMB-Freigabe automatisch die Regelgruppe „Datei- und Druckerfreigabe“ für die ausgewählten Firewall-Profile aktiviert. Dies wurde mit Blick auf SMB1 implementiert und soll die Bereitstellungsflexibilität und Konnektivität mit SMB-Geräten und -Diensten verbessern.
Wenn Sie jedoch im neuesten Windows 11 Insider Preview-Build eine SMB-Freigabe erstellen, wird das Betriebssystem dies tun automatisch aktivieren eine Gruppe „Datei- und Druckerfreigabe (einschränkend)“, die die eingehenden NetBIOS-Ports 137, 138 und 139 nicht enthält. Dies liegt daran, dass diese Ports von SMB1 genutzt werden und nicht von SMB2 oder höher. Das bedeutet auch, dass Sie diese Ports in Ihrer Firewall erneut öffnen müssen, wenn Sie SMB1 aus irgendeinem alten Grund aktivieren.
Laut Microsoft sorgt diese Konfigurationsänderung für ein höheres Maß an Netzwerksicherheit, da standardmäßig nur die erforderlichen Ports geöffnet werden. Allerdings ist es wichtig zu beachten, dass dies nur die Standardkonfiguration ist. IT-Administratoren können jede Firewall-Gruppe dennoch nach ihren Wünschen ändern. Bedenken Sie jedoch, dass das Redmonder Unternehmen die SMB-Konnektivität noch sicherer machen möchte, indem es nur obligatorische Ports öffnet und Schließung des Internet Control Message Protocol (ICMP), der Link-Local Multicast Name Resolution (LLMNR) und der Spooler Service-Eingangsports im Zukunft.
Apropos Ports: Microsoft hat auch einen weiteren veröffentlicht Blogeintrag um alternative Portänderungen in der SMB-Konnektivität zu beschreiben. SMB-Clients können jetzt über alternative Ports über TCP, QUIC und RDMA eine Verbindung zu SMB-Servern herstellen. Zuvor hatten SMB-Server die Verwendung von TCP-Port 445 für eingehende Verbindungen vorgeschrieben, während SMB-TCP-Clients ausgehende Verbindungen mit demselben Port verbanden; Diese Konfiguration konnte nicht geändert werden. Bei SMB über QUIC kann der UDP-Port 443 jedoch sowohl von Client- als auch von Serverdiensten verwendet werden.
SMB-Clients können sich auch über verschiedene andere Ports mit SMB-Servern verbinden, sofern dieser einen bestimmten Port unterstützt und darauf lauscht. IT-Administratoren können bestimmte Ports für bestimmte Server konfigurieren und alternative Ports sogar vollständig über Gruppenrichtlinien blockieren. Microsoft hat detaillierte Anweisungen dazu bereitgestellt, wie Sie alternative Ports mit NET USE und New-SmbMapping zuordnen oder die Verwendung von Ports über Gruppenrichtlinien steuern können.
Es ist wichtig zu beachten, dass Windows Server Insider den TCP-Port 445 derzeit nicht in einen anderen ändern können. Microsoft ermöglicht IT-Administratoren jedoch, SMB über QUIC zu konfigurieren, um neben dem Standard-UDP-Port 443 auch andere Ports zu verwenden.