Microsoft on teinud mõned muudatused SMB tulemüüri käitumises ja alternatiivsete portide kasutamise võimaluses Windows 11 Canary uusimas versioonis 25992.
Võtmed kaasavõtmiseks
- Windows 11 Insider Preview järg muudab SMB jagamise vaikekäitumist, et parandada võrgu turvalisust, lubades automaatselt piirava tulemüürireeglirühma ilma vanade SMB1-portideta.
- Microsofti eesmärk on muuta SMB-ühenduvus veelgi turvalisemaks, avades ainult kohustuslikud pordid ning sulgedes tulevikus ICMP, LLMNR ja spoolerteenuse sissetulevad pordid.
- SMB kliendid saavad nüüd luua ühenduse serveritega alternatiivsete portide kaudu TCP, QUIC ja RDMA kaudu, pakkudes IT-administraatoritele suuremat paindlikkust konfigureerimiseks ja kohandamiseks.
Microsoft on teinud mitmeid täiustusi serveri sõnumiblokki (SMB) viimase paari aasta jooksul. Windows 11 Home ei tarnita enam koos SMB1-ga turvakaalutlustel ja Redmondi tehnikahiiglane samuti alustas hiljuti tugiteenuste testimist Võrgu määratud lahendajate (DNR) ja kliendi krüpteerimismandaatide jaoks SMB3.x-s. Täna teatati Kliendi-serveri sideprotokolli täiendavad muudatused koos uusima Windows 11 Insideri kasutuselevõtuga ehitada.
Windows 11 Insider Preview Canary build 25992, mis algas vaid paar tundi tagasi, muudab Windows Defenderi vaikekäitumist SMB jagamise loomisel. Alates Windows XP hoolduspaketi Service Pack 2 väljalaskmisest lubas SMB ühiskasutuse loomine valitud tulemüüriprofiilide jaoks automaatselt reeglirühma "Failide ja printerite ühiskasutus". Seda rakendati SMB1 silmas pidades ning selle eesmärk oli parandada juurutamise paindlikkust ja ühenduvust SMB seadmete ja teenustega.
Kui aga loote Windows 11 Insider Preview uusimas järgus SMB jagamise, teeb seda operatsioonisüsteem automaatselt lubama rühm "Failide ja printerite ühiskasutus (piirav)", mis ei sisalda sissetulevaid NetBIOS-i porte 137, 138 ja 139. Seda seetõttu, et neid porte kasutab SMB1 ja SMB2 või uuem neid ei kasuta. See tähendab ka seda, et kui lubate SMB1 mingil pärandpõhjusel, peate need pordid tulemüüris uuesti avama.
Microsoft ütleb, et see konfiguratsioonimuudatus tagab võrgu turvalisuse kõrgema taseme, kuna vaikimisi avatakse ainult vajalikud pordid. Sellegipoolest on oluline märkida, et see on vaid vaikekonfiguratsioon, IT-administraatorid saavad siiski muuta mis tahes tulemüürirühma vastavalt oma maitsele. Kuid pidage meeles, et Redmondi ettevõte soovib muuta SMB-ühenduvuse veelgi turvalisemaks, avades ainult kohustuslikud pordid ja Interneti-juhtsõnumiprotokolli (ICMP), Link-Local Multicast Name Resolution (LLMNR) ja spuuleriteenuse sissetulevate pordide sulgemine tulevik.
Portidest rääkides on Microsoft avaldanud ka teise ajaveebi postitus kirjeldada alternatiivseid pordimuudatusi SMB-ühenduvuses. SMB kliendid saavad nüüd SMB serveritega ühenduse luua alternatiivsete portide kaudu TCP, QUIC ja RDMA kaudu. Varem olid SMB-serverid lubanud sissetulevate ühenduste jaoks kasutada TCP-porti 445, kusjuures SMB TCP-kliendid ühenduvad väljaminekuga samasse porti; seda konfiguratsiooni ei saanud muuta. Kuid SMB-ga üle QUIC-i saavad UDP-porti 443 kasutada nii kliendi- kui ka serveriteenused.
SMB-kliendid saavad SMB-serveritega ühenduse luua ka erinevate muude portide kaudu, kui viimane toetab konkreetset porti ja kuulab seda. IT-administraatorid saavad konkreetsete serverite jaoks konkreetseid porte konfigureerida ja isegi alternatiivsed pordid rühmapoliitika kaudu täielikult blokeerida. Microsoft on esitanud üksikasjalikud juhised selle kohta, kuidas saate NET USE ja New-SmbMapping abil alternatiivseid porte kaardistada või rühmapoliitika kaudu portide kasutamist juhtida.
Oluline on märkida, et Windows Server Insiders ei saa praegu muuta TCP-porti 445 millekski muuks. Siiski võimaldab Microsoft IT-administraatoritel konfigureerida SMB-d QUIC-i kaudu kasutama peale UDP vaikepordi 443 muid porte.