Microsoft ottaa käyttöön tuen Network-designated Resolvers (DNR)- ja SMB-asiakassalausvaltuutuksille Windows 11:ssä parantaakseen verkkotoimintaa.
Avaimet takeawayt
- Windows 11 Canaryn esikatseluversiot ovat ottaneet käyttöön SMB-asiakassalausvaltuutukset ja tuen Network-Designated Resolvers (DNR) -verkon turvallisuuden parantamiseksi.
- SMB-salaus tarjoaa päästä päähän -suojauksen tiedonsiirrolle, ja IT-järjestelmänvalvojat voivat määrittää asiakaskoneet vaatimaan SMB-salausta kohdepalvelimelta.
- DNR eliminoi manuaalisen päätepisteen määrityksen tarpeen sallimalla asiakaskoneiden automaattisesti tunnelioida salattuihin DNS-palvelimiin käyttämällä salattuja protokollia, kuten DoH ja DoT.
Server Message Block (SMB) on erittäin tärkeä komponentti, kun halutaan varmistaa edistynyt verkkosuojaus Windows 11:ssä. Microsoft teki SMB-allekirjoituksen oletuskäyttäytymisen Windows Enterprise -versiossa toukokuussa, ja sillä oli myös joitain ohjeita jaettavaksi koskien SMB-todennusprosessi kesäkuussa
SMB-asiakkaan salausvaltuutuksen ensimmäinen toteutus on jo olemassa Windows 11 Canary build 25982, joka tuli saataville vain muutama tunti sitten. SMB-salausta hyödynnetään tarjoamaan päästä päähän -suojausta siirrettäessä tietoja verkon yli. Se on ollut saatavilla SMB 3.0:n kanssa Windows 8:ssa ja Windows Server 2012:ssa, ja myöhemmät iteraatiot ovat lisänneet tuen turvallisemmille salausohjelmistoille, kuten AES-GCM ja AES-256-GCM.
Tämän infrastruktuurin viimeisimmät parannukset varmistavat, että IT-järjestelmänvalvojat voivat nyt määrittää asiakaskoneet myös määräämään SMB-salauksen käytön kohdepalvelimelta. Tämä tarkoittaa, että jos SMB 3.x ei ole saatavilla tai salausta ei ole määritetty, asiakaskone voisi kieltäytyä muodostamasta yhteyttä, mikä lisää verkon yleistä turvallisuutta. Microsoft on myös jakanut vaiheet, joita IT-järjestelmänvalvojat voivat hyödyntää määrittääkseen tämän ominaisuuden ryhmäkäytännön tai PowerShellin avulla. Voit tarkastella niitä tässä.
Redmondin teknologiayritys on korostanut, että koska tämä ominaisuus asettaa joitain rajoituksia yhteyksille, on olemassa tietty suorituskyvyn ja yhteensopivuuden tasapaino, joka sinun on pidettävä mielessä. Voit käyttää vain SMB-allekirjoitusta hieman heikomman turvallisuuden ja suorituskyvyn parantamiseksi, mutta jos otat SMB: n käyttöön salaus, muista, että se on parempi kuin entinen, joten SMB-allekirjoituksen käyttäytyminen poistetaan käytöstä salauksen hyväksi tarjolla.
Toinen Windows 11 Canary build 25982:n verkkoparannus on DNR: n tuki, joka on tulossa Internet Engineering Task Force (IETF) -standardi mahdollistaa tehokkaamman salatun DNS: n löytämisen palvelimia. Tähän asti asiakaskoneiden on pitänyt löytää sen salatun DNS-palvelimen IP-osoite, johon ne haluavat muodostaa yhteyden, ja tehdä sitten asianmukaiset asetukset. DNR poistaa tämän manuaalisen päätepistemäärityksen tarpeen hyödyntämällä salattuja protokollia, kuten DNS over HTTPS (DoH) ja DNS over TLS (DoT) asiakaspuolella.
DNR on toteutuksessaan melko pitkälle kehitetty. Kun asiakaspuolen kone, jossa on DNR käytössä, yrittää liittyä uuteen verkkoon, se lähettää pyynnön DHCP: lle palvelin vastaanottaa IP-osoitteen sekä muut DNR: lle ominaiset argumentit, kuten OPTION_V6_DNR ja OPTION_V4_DNR. DHCP-palvelin - joka on jo määritetty käyttämään DNR: ää - vastaa tähän kyselyyn lähettämällä IP-osoitteen salatun DNS-palvelimen, tuetut salatut protokollat, portit ja niihin liittyvä todennus tiedot. Asiakaspuolen kone käyttää sitten näitä tietoja tunneloidakseen automaattisesti salattuun DNS-palvelimeen ilman, että loppukäyttäjä tekee päätepisteen määrityksiä.
Jos olet kiinnostunut DNR: n hyödyntämisestä Windows 11 Canary -koneessa, tutustu Microsoftin ohjeisiin ominaisuuden käyttöönotosta tässä. Huomaa, että IPv6 RA Encrypted DNS ei tällä hetkellä tue DNR: ää. Muista myös, että sekä SMB-asiakkaan salausvaltuutukset että DNR-tuki Windows 11:ssä ovat edelleen testataan Insider Preview -versioissa, eikä ole vielä tietoa siitä, milloin ominaisuudet otetaan käyttöön julkisesti.