Microsoft rakendab Windows 11-s võrgu määratud lahenduste (DNR) ja SMB-kliendi krüpteerimismandaatide tuge, et täiustada võrgundust.
Võtmed kaasavõtmiseks
- Windows 11 Canary eelvaate järgud on võrguturbe suurendamiseks kasutusele võtnud SMB-kliendi krüpteerimismandaadid ja toe võrgule määratud lahendustele (DNR).
- SMB-krüptimine pakub andmeedastuseks täielikku turvalisust ja IT-administraatorid saavad konfigureerida kliendimasinad nii, et need nõuavad sihtserverist SMB-krüptimist.
- DNR välistab vajaduse lõpp-punkti käsitsi seadistamise järele, võimaldades kliendimasinatel automaatselt tunneldada krüptitud DNS-serveritesse, kasutades krüptitud protokolle, nagu DoH ja DoT.
Serveri sõnumiblokk (SMB) on Windows 11 täiustatud võrguturbe tagamisel väga oluline komponent. Microsoft muutis SMB allkirjastamise Windows Enterprise'i versiooni vaikekäitumiseks juba mais ning tal oli ka juhiseid jagada SMB autentimisprotsess juunis. Nüüd teatas ta, et arendab Windows 11-s SMB-kliendi krüptimismandaatide ja võrgu määratud lahendajate (DNR) tuge.
SMB-kliendi krüpteerimisvolituse esimene rakendus on juba olemas Windows 11 Canary build 25982, mis sai kättesaadavaks vaid paar tundi tagasi. SMB-krüptimist kasutatakse võrgu kaudu andmete edastamisel täieliku turvalisuse tagamiseks. See on olnud saadaval koos SMB 3.0-ga opsüsteemides Windows 8 ja Windows Server 2012 ning järgnevate iteratsioonidega on lisatud tugi turvalisematele krüptokomplektidele, nagu AES-GCM ja AES-256-GCM.
Selle infrastruktuuri uusimad täiustused tagavad, et IT-administraatorid saavad nüüd kliendimasinaid konfigureerida nii, et need volitavad kasutama ka sihtserverist SMB-krüptimist. See tähendab, et kui SMB 3.x pole saadaval või krüptimine pole konfigureeritud, saab klientmasin ühenduse loomisest keelduda, suurendades sellega üldist võrguturvalisust. Microsoft on jaganud ka samme, mida IT-administraatorid saavad selle võimaluse konfigureerimiseks rühmapoliitika või PowerShelli kaudu kasutada, saate neid vaadata siin.
Redmondi tehnoloogiaettevõte on rõhutanud, et kuna see funktsioon seab ühenduvusele teatud piirangud, on teatud jõudluse ja ühilduvuse tasakaal, mida peate silmas pidama. Veidi väiksema turvalisuse ja parema jõudluse tagamiseks võite kasutada lihtsalt SMB-allkirja, kuid kui lubate SMB krüptimist, pidage meeles, et see on eelmisest parem, nii et SMB-allkirjastamise käitumine keelatakse krüptimise kasuks pakkumisel.
Veel üks Windows 11 Canary build 25982 võrgunduse täiustus on DNR-i tugi, mis on tulevane Internet Engineering Task Force'i (IETF) standard, mis võimaldab krüptitud DNS-i tõhusamat avastamist serverid. Seni on klientmasinad pidanud leidma krüptitud DNS-serveri IP-aadressi, millega nad soovivad ühendust luua, ja seejärel tegema vastavad konfiguratsioonid. DNR eemaldab vajaduse selle lõpp-punkti käsitsi konfigureerimise järele, kasutades kliendi poolel krüpteeritud protokolle, nagu DNS üle HTTPS-i (DoH) ja DNS over TLS (DoT).
DNR on selle rakendamisel üsna keerukas. Kui kliendipoolne masin, millel on lubatud DNR, proovib liituda uue võrguga, saadab see päringu DHCP-le server IP-aadressi vastuvõtmiseks koos muude DNR-i spetsiifiliste argumentidega, nagu OPTION_V6_DNR ja OPTION_V4_DNR. DHCP-server, mis on juba konfigureeritud kasutama DNR-i, vastab sellele päringule, saates üle IP-aadressi krüptitud DNS-serveri, toetatud krüptitud protokollide, pordide ja nendega seotud autentimise kohta teavet. Kliendipoolne masin kasutab seda teavet seejärel automaatselt krüptitud DNS-serverisse tunneldamiseks, ilma lõppkasutaja poolt lõpp-punkti seadistamiseta.
Kui olete huvitatud DNR-i kasutamisest Windows 11 Canary masinas, vaadake Microsofti juhiseid selle funktsiooni lubamise kohta siin. Pange tähele, et IPv6 RA krüptitud DNS-i puhul ei toetata praegu DNR-i. Samuti pidage meeles, et nii SMB kliendi krüpteerimismandaadid kui ka DNR-i tugi Windows 11-s on endiselt alles testitakse Insider Preview järgudes ja pole veel teada, millal funktsioonid kasutusele võetakse avalikult.