Microsoft está implementando soporte para solucionadores designados por la red (DNR) y mandatos de cifrado de clientes SMB en Windows 11 para mejorar la red.
Conclusiones clave
- Las versiones preliminares de Windows 11 Canary han introducido mandatos de cifrado de clientes SMB y compatibilidad con solucionadores designados por la red (DNR) para mejorar la seguridad de la red.
- El cifrado SMB proporciona seguridad de extremo a extremo para la transferencia de datos y los administradores de TI pueden configurar las máquinas cliente para que requieran cifrado SMB desde el servidor de destino.
- DNR elimina la necesidad de configuración manual de terminales al permitir que las máquinas cliente realicen un túnel automáticamente a servidores DNS cifrados utilizando protocolos cifrados como DoH y DoT.
El bloque de mensajes del servidor (SMB) es un componente muy importante cuando se trata de garantizar la seguridad de red avanzada en Windows 11. Microsoft hizo que la firma SMB fuera el comportamiento predeterminado en la compilación de Windows Enterprise en mayo y también tenía algunas orientaciones para compartir con respecto a la
La primera implementación del mandato de cifrado de clientes SMB ya está presente en Windows 11 Canarias compilación 25982, que estuvo disponible hace apenas unas horas. El cifrado SMB se aprovecha para proporcionar seguridad de extremo a extremo al transferir datos a través de una red. Ha estado disponible con SMB 3.0 en Windows 8 y Windows Server 2012, y las iteraciones posteriores agregaron soporte para suites criptográficas más seguras como AES-GCM y AES-256-GCM.
Las últimas mejoras a esta infraestructura garantizan que los administradores de TI ahora puedan configurar las máquinas cliente para exigir también el uso de cifrado SMB desde el servidor de destino. Esto significa que si SMB 3.x no está disponible o el cifrado no está configurado, la máquina cliente podría rechazar la conexión, aumentando así la seguridad general de la red. Microsoft también ha compartido los pasos que los administradores de TI pueden aprovechar para configurar esta capacidad a través de la Política de grupo o PowerShell. Puede verlos. aquí.
La firma de tecnología de Redmond ha enfatizado que dado que esta característica impone algunas restricciones a la conectividad, existe un cierto equilibrio entre rendimiento y compatibilidad que debes tener en cuenta. Puede optar por utilizar solo la firma SMB para obtener una seguridad ligeramente menor y un rendimiento mejorado, pero si habilita SMB cifrado, recuerde que es superior al anterior, por lo que los comportamientos de firma SMB se desactivarán a favor del cifrado en oferta.
Otra mejora de red presente en Windows 11 Canary build 25982 es la compatibilidad con DNR, que es una próxima estándar del Grupo de Trabajo de Ingeniería de Internet (IETF) para permitir un descubrimiento más eficiente de DNS cifrados servidores. Hasta ahora, las máquinas cliente debían encontrar la dirección IP del servidor DNS cifrado al que deseaban conectarse y luego realizar las configuraciones apropiadas. DNR elimina la necesidad de esta configuración manual de puntos finales al aprovechar protocolos cifrados como DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) en el lado del cliente.
DNR es bastante sofisticado en su implementación. Cuando una máquina del lado del cliente con DNR habilitado intenta unirse a una nueva red, envía una solicitud al DHCP servidor para recibir una dirección IP, junto con otros argumentos específicos de DNR como OPTION_V6_DNR y OPCIÓN_V4_DNR. El servidor DHCP, que ya está configurado para usar DNR, responde a esta consulta enviando la dirección IP del servidor DNS cifrado, los protocolos cifrados admitidos, los puertos y la autenticación asociada información. Luego, la máquina del lado del cliente utiliza esta información para hacer un túnel automáticamente al servidor DNS cifrado, sin que el usuario final realice ninguna configuración del punto final.
Si está interesado en aprovechar DNR en una máquina Canary con Windows 11, consulte la guía de Microsoft sobre cómo habilitar la función. aquí. Tenga en cuenta que DNR no es compatible actualmente con DNS cifrado IPv6 RA. También tenga en cuenta que tanto los mandatos de cifrado del cliente SMB como la compatibilidad con DNR en Windows 11 aún están disponibles. se está probando en compilaciones de Insider Preview y aún no se sabe cuándo se implementarán las funciones en público.