Η Microsoft έχει κάνει κάποιες αλλαγές στις συμπεριφορές του τείχους προστασίας SMB και τη δυνατότητα χρήσης εναλλακτικών θυρών στην τελευταία έκδοση 25992 των Windows 11 Canary.
Βασικά Takeaways
- Η έκδοση του Windows 11 Insider Preview αλλάζει την προεπιλεγμένη συμπεριφορά κοινής χρήσης SMB για να βελτιώσει την ασφάλεια του δικτύου, ενεργοποιώντας αυτόματα μια περιοριστική ομάδα κανόνων τείχους προστασίας χωρίς τις παλιές θύρες SMB1.
- Η Microsoft στοχεύει να κάνει τη συνδεσιμότητα SMB ακόμα πιο ασφαλή ανοίγοντας μόνο υποχρεωτικές θύρες και κλείνοντας τις εισερχόμενες θύρες ICMP, LLMNR και Spooler Service στο μέλλον.
- Οι πελάτες SMB μπορούν πλέον να συνδέονται με διακομιστές μέσω εναλλακτικών θυρών μέσω TCP, QUIC και RDMA, παρέχοντας μεγαλύτερη ευελιξία για τη διαμόρφωση και την προσαρμογή από τους διαχειριστές IT.
Η Microsoft έχει κάνει αρκετές βελτιώσεις στο Μπλοκ μηνυμάτων διακομιστή (SMB) τα τελευταία δύο χρόνια. Τα Windows 11 Home δεν διατίθενται πλέον με το SMB1 για λόγους ασφαλείας, και ο τεχνολογικός γίγαντας του Redmond έχει επίσης
πρόσφατα ξεκίνησε η δοκιμή υποστήριξης για εντολές κρυπτογράφησης που έχουν καθοριστεί από δίκτυο (DNR) στο SMB3.x. Σήμερα, ανακοίνωσε περαιτέρω αλλαγές στο πρωτόκολλο επικοινωνίας πελάτη-διακομιστή με την κυκλοφορία του πιο πρόσφατου Windows 11 Insider χτίζω.Το Windows 11 Insider Preview Canary build 25992, το οποίο ξεκίνησε να κυκλοφορεί μόλις πριν από λίγες ώρες, αλλάζει την προεπιλεγμένη συμπεριφορά του Windows Defender όταν πρόκειται για τη δημιουργία ενός κοινόχρηστου στοιχείου SMB. Από την κυκλοφορία του Windows XP Service Pack 2, η δημιουργία ενός κοινόχρηστου στοιχείου SMB ενεργοποίησε αυτόματα την ομάδα κανόνων "File and Printer Sharing" για τα επιλεγμένα προφίλ τείχους προστασίας. Αυτό υλοποιήθηκε έχοντας κατά νου το SMB1 και σχεδιάστηκε για να βελτιώσει την ευελιξία ανάπτυξης και τη συνδεσιμότητα με συσκευές και υπηρεσίες SMB.
Ωστόσο, όταν δημιουργείτε ένα κοινόχρηστο στοιχείο SMB στην πιο πρόσφατη έκδοση των Windows 11 Insider Preview, το λειτουργικό σύστημα θα ενεργοποιείται αυτόματα μια ομάδα "Κοινή χρήση αρχείων και εκτυπωτών (Περιοριστική)", η οποία δεν θα περιέχει τις εισερχόμενες θύρες NetBIOS 137, 138 και 139. Αυτό συμβαίνει επειδή αυτές οι θύρες αξιοποιούνται από το SMB1 και δεν χρησιμοποιούνται από το SMB2 ή μεταγενέστερα. Αυτό σημαίνει επίσης ότι εάν ενεργοποιήσετε το SMB1 για κάποιο λόγο παλαιού τύπου, θα χρειαστεί να ανοίξετε ξανά αυτές τις θύρες στο Τείχος προστασίας σας.
Η Microsoft λέει ότι αυτή η αλλαγή διαμόρφωσης θα εξασφαλίσει υψηλότερο επίπεδο ασφάλειας δικτύου, καθώς μόνο οι απαιτούμενες θύρες ανοίγουν από προεπιλογή. Τούτου λεχθέντος, είναι σημαντικό να σημειωθεί ότι αυτή είναι απλώς η προεπιλεγμένη διαμόρφωση, οι διαχειριστές IT μπορούν ακόμα να τροποποιήσουν οποιαδήποτε ομάδα τείχους προστασίας σύμφωνα με τις προτιμήσεις τους. Ωστόσο, μην ξεχνάτε ότι η εταιρεία Redmond θέλει να κάνει τη συνδεσιμότητα SMB ακόμα πιο ασφαλή ανοίγοντας μόνο υποχρεωτικές θύρες και κλείνοντας τις εισερχόμενες θύρες Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) και εισερχόμενης υπηρεσίας Spooler Service μελλοντικός.
Μιλώντας για τις θύρες, η Microsoft δημοσίευσε επίσης μια άλλη ανάρτηση για να περιγράψετε εναλλακτικές αλλαγές θύρας στη συνδεσιμότητα SMB. Οι πελάτες SMB μπορούν πλέον να συνδέονται με διακομιστές SMB μέσω εναλλακτικών θυρών μέσω TCP, QUIC και RDMA. Προηγουμένως, οι διακομιστές SMB είχαν επιβάλει τη χρήση της θύρας TCP 445 για εισερχόμενες συνδέσεις, με πελάτες SMB TCP να συνδέουν εξερχόμενες στην ίδια θύρα. αυτή η διαμόρφωση δεν μπόρεσε να αλλάξει. Ωστόσο, με SMB μέσω QUIC, η θύρα UDP 443 μπορεί να χρησιμοποιηθεί τόσο από υπηρεσίες πελάτη όσο και από υπηρεσίες διακομιστή.
Οι πελάτες SMB μπορούν επίσης να συνδεθούν με διακομιστές SMB μέσω διαφόρων άλλων θυρών, εφόσον οι τελευταίοι υποστηρίζουν μια συγκεκριμένη θύρα και την ακούν. Οι διαχειριστές IT μπορούν να διαμορφώσουν συγκεκριμένες θύρες για συγκεκριμένους διακομιστές, ακόμη και να αποκλείσουν πλήρως εναλλακτικές θύρες μέσω της Πολιτικής ομάδας. Η Microsoft έχει παράσχει λεπτομερείς οδηγίες για το πώς μπορείτε να αντιστοιχίσετε εναλλακτικές θύρες με το NET USE και το New-SmbMapping ή να ελέγξετε τη χρήση των θυρών μέσω της Πολιτικής ομάδας.
Είναι σημαντικό να σημειωθεί ότι οι Windows Server Insiders δεν μπορούν αυτήν τη στιγμή να αλλάξουν τη θύρα TCP 445 σε κάτι άλλο. Ωστόσο, η Microsoft θα επιτρέψει στους διαχειριστές IT να διαμορφώσουν το SMB μέσω QUIC για να χρησιμοποιούν άλλες θύρες εκτός από την προεπιλεγμένη θύρα UDP 443.