Η Microsoft εφαρμόζει υποστήριξη για εντολές κρυπτογράφησης προγράμματος-πελάτη που έχουν καθοριστεί από το δίκτυο (DNR) και SMB στα Windows 11 για βελτιωμένη δικτύωση.
Βασικά Takeaways
- Οι εκδόσεις προεπισκόπησης Canary των Windows 11 έχουν εισαγάγει εντολές κρυπτογράφησης πελάτη για SMB και υποστήριξη για Αναλυτές που έχουν καθοριστεί από το δίκτυο (DNR) για τη βελτίωση της ασφάλειας του δικτύου.
- Η κρυπτογράφηση SMB παρέχει ασφάλεια από άκρο σε άκρο για τη μεταφορά δεδομένων και οι διαχειριστές IT μπορούν να διαμορφώσουν μηχανές-πελάτες ώστε να απαιτούν κρυπτογράφηση SMB από τον διακομιστή προορισμού.
- Το DNR εξαλείφει την ανάγκη για μη αυτόματη διαμόρφωση τελικού σημείου, επιτρέποντας στις μηχανές-πελάτες να περνούν αυτόματα σε κρυπτογραφημένους διακομιστές DNS χρησιμοποιώντας κρυπτογραφημένα πρωτόκολλα όπως DoH και DoT.
Το μπλοκ μηνυμάτων διακομιστή (SMB) είναι ένα εξαιρετικά σημαντικό στοιχείο όταν πρόκειται για τη διασφάλιση προηγμένης ασφάλειας δικτύου στα Windows 11. Η Microsoft έκανε την υπογραφή SMB την προεπιλεγμένη συμπεριφορά στο Windows Enterprise build τον Μάιο και είχε επίσης κάποιες οδηγίες να μοιραστεί σχετικά με
Διαδικασία ελέγχου ταυτότητας SMB τον Ιούνιο. Τώρα, ανακοίνωσε ότι αναπτύσσει υποστήριξη για εντολές κρυπτογράφησης πελατών SMB και Διευθύνσεις που έχουν καθοριστεί από το δίκτυο (DNR) στα Windows 11.Η πρώτη εφαρμογή της εντολής κρυπτογράφησης πελάτη SMB είναι ήδη παρούσα στο Windows 11 Canary build 25982, το οποίο έγινε διαθέσιμο μόλις πριν από λίγες ώρες. Η κρυπτογράφηση SMB αξιοποιείται για να παρέχει ασφάλεια από άκρο σε άκρο κατά τη μεταφορά δεδομένων μέσω δικτύου. Ήταν διαθέσιμο με SMB 3.0 σε Windows 8 και Windows Server 2012, με τις επόμενες επαναλήψεις να προσθέτουν υποστήριξη για πιο ασφαλείς σουίτες κρυπτογράφησης όπως AES-GCM και AES-256-GCM.
Οι πιο πρόσφατες βελτιώσεις σε αυτήν την υποδομή διασφαλίζουν ότι οι διαχειριστές IT μπορούν πλέον να διαμορφώσουν μηχανές-πελάτες ώστε να επιβάλλουν επίσης τη χρήση κρυπτογράφησης SMB από τον διακομιστή προορισμού. Αυτό σημαίνει ότι εάν το SMB 3.x δεν είναι διαθέσιμο ή δεν έχει ρυθμιστεί η κρυπτογράφηση, ο υπολογιστής-πελάτης θα μπορεί να αρνηθεί τη σύνδεση, αυξάνοντας έτσι τη συνολική ασφάλεια του δικτύου. Η Microsoft έχει επίσης κοινοποιήσει τα βήματα που μπορούν να αξιοποιήσουν οι διαχειριστές IT για τη διαμόρφωση αυτής της δυνατότητας μέσω της πολιτικής ομάδας ή του PowerShell, μπορείτε να τα δείτε εδώ.
Η εταιρεία τεχνολογίας Redmond έχει τονίσει ότι εφόσον αυτή η δυνατότητα θέτει ορισμένους περιορισμούς στη συνδεσιμότητα, υπάρχει μια ορισμένη ισορροπία απόδοσης και συμβατότητας που πρέπει να προσέχετε. Θα μπορούσατε να επιλέξετε να χρησιμοποιήσετε μόνο την υπογραφή SMB για ελαφρώς μικρότερη ασφάλεια και βελτιωμένη απόδοση, αλλά εάν ενεργοποιήσετε το SMB κρυπτογράφηση, θυμηθείτε ότι είναι ανώτερη από την προηγούμενη, επομένως οι συμπεριφορές της υπογραφής SMB θα απενεργοποιηθούν υπέρ της κρυπτογράφησης σε προσφορά.
Μια άλλη βελτίωση δικτύωσης που υπάρχει στο Windows 11 Canary build 25982 είναι η υποστήριξη για DNR, το οποίο είναι ένα επερχόμενο πρότυπο από την Ομάδα Εργασίας Μηχανικής Διαδικτύου (IETF) που επιτρέπει την αποτελεσματικότερη ανακάλυψη κρυπτογραφημένων DNS διακομιστές. Μέχρι τώρα, οι υπολογιστές-πελάτες απαιτούνταν να βρουν τη διεύθυνση IP του κρυπτογραφημένου διακομιστή DNS στον οποίο επιθυμούσαν να συνδεθούν και στη συνέχεια να κάνουν τις κατάλληλες διαμορφώσεις. Το DNR καταργεί την ανάγκη για αυτήν τη μη αυτόματη διαμόρφωση τελικού σημείου αξιοποιώντας κρυπτογραφημένα πρωτόκολλα όπως DNS μέσω HTTPS (DoH) και DNS μέσω TLS (DoT) στην πλευρά του πελάτη.
Το DNR είναι αρκετά εξελιγμένο στην εφαρμογή του. Όταν ένας υπολογιστής-πελάτης με ενεργοποιημένο DNR επιχειρεί να συνδεθεί σε ένα νέο δίκτυο, στέλνει ένα αίτημα στο DHCP διακομιστή για να λάβει μια διεύθυνση IP, μαζί με άλλα ορίσματα ειδικά για το DNR όπως OPTION_V6_DNR και OPTION_V4_DNR. Ο διακομιστής DHCP - ο οποίος έχει ήδη ρυθμιστεί να χρησιμοποιεί DNR - απαντά σε αυτό το ερώτημα στέλνοντας μέσω της διεύθυνσης IP του κρυπτογραφημένου διακομιστή DNS, των υποστηριζόμενων κρυπτογραφημένων πρωτοκόλλων, των θυρών και του σχετικού ελέγχου ταυτότητας πληροφορίες. Το μηχάνημα από την πλευρά του πελάτη χρησιμοποιεί στη συνέχεια αυτές τις πληροφορίες για αυτόματη διοχέτευση στον κρυπτογραφημένο διακομιστή DNS, χωρίς να έχει γίνει καμία διαμόρφωση τελικού σημείου από τον τελικό χρήστη.
Εάν ενδιαφέρεστε να αξιοποιήσετε το DNR σε ένα μηχάνημα Canary με Windows 11, ανατρέξτε στις οδηγίες της Microsoft σχετικά με την ενεργοποίηση της δυνατότητας εδώ. Λάβετε υπόψη ότι το DNR δεν υποστηρίζεται επί του παρόντος για κρυπτογραφημένο DNS IPv6 RA. Λάβετε επίσης υπόψη ότι τόσο οι εντολές κρυπτογράφησης πελάτη SMB όσο και η υποστήριξη για DNR στα Windows 11 εξακολουθούν να δοκιμάζεται σε εκδόσεις Insider Preview και δεν υπάρχει ακόμη καμία πληροφορία για το πότε θα κυκλοφορήσουν οι λειτουργίες δημοσίως.