Microsoft testaa SMB-palomuurisääntömuutoksia ja vaihtoehtoisia portteja Windows 11:ssä

Avaimet takeawayt

• Windows 11 Insider Preview -koontiversio muuttaa SMB-jaon oletuskäyttäytymistä parantaakseen verkon turvallisuutta ja ottaa automaattisesti käyttöön rajoittavan palomuurisääntöryhmän ilman vanhoja SMB1-portteja.
• Microsoft pyrkii tekemään SMB-yhteyksistä entistä turvallisempia avaamalla vain pakollisia portteja ja sulkemalla ICMP-, LLMNR- ja Spooler Service -saapuvien porttien tulevaisuudessa.
• SMB-asiakkaat voivat nyt muodostaa yhteyden palvelimiin vaihtoehtoisten porttien kautta TCP: n, QUIC: n ja RDMA: n kautta, mikä tarjoaa enemmän joustavuutta IT-järjestelmänvalvojien määrittämiseen ja mukauttamiseen.

Microsoft on tehnyt useita parannuksia palvelinviestilohkoon (SMB) viimeisten parin vuoden aikana. Windows 11 Home ei enää toimiteta SMB1:n kanssa turvallisuussyistä, ja Redmondin teknologiajätti on myös tehnyt

äskettäin alkanut testaustuki Network-designated Resolver (DNR) ja asiakkaan salausvaltuutuksia varten SMB3.x: ssä. Tänään se ilmoitti lisämuutoksia asiakas-palvelin-viestintäprotokollaan uusimman Windows 11 Insiderin julkaisun myötä rakentaa.

Windows 11 Insider Preview Canary build 25992, joka alkoi julkaista vain muutama tunti sitten, muuttaa Windows Defenderin oletuskäyttäytymistä SMB-osuuden luomisessa. Windows XP Service Pack 2:n julkaisun jälkeen SMB-jaon luominen otti automaattisesti käyttöön "Tiedostojen ja tulostimien jakamisen" sääntöryhmän valituille palomuuriprofiileille. Tämä toteutettiin SMB1:tä ajatellen, ja sen tarkoituksena oli parantaa käyttöönoton joustavuutta ja yhteyksiä SMB-laitteiden ja -palvelujen kanssa.

Kun kuitenkin luot SMB-osuuden uusimmassa Windows 11 Insider Preview -koontiversiossa, käyttöjärjestelmä tekee sen automaattisesti käyttöön "Tiedostojen ja tulostimien jakaminen (rajoittava)" -ryhmä, joka ei sisällä saapuvia NetBIOS-portteja 137, 138 ja 139. Tämä johtuu siitä, että SMB1 hyödyntää näitä portteja, eikä SMB2 tai uudempi käytä niitä. Tämä tarkoittaa myös, että jos otat SMB1:n käyttöön jostain vanhasta syystä, sinun on avattava nämä portit uudelleen palomuurissasi.

Microsoft sanoo, että tämä konfiguraatiomuutos varmistaa korkeamman tason verkkoturvallisuuden, koska vain vaaditut portit avataan oletuksena. On kuitenkin tärkeää huomata, että tämä on vain oletusasetus, ja IT-järjestelmänvalvojat voivat silti muokata mitä tahansa palomuuriryhmää mielensä mukaan. Muista kuitenkin, että Redmond-yritys haluaa tehdä SMB-yhteyksistä entistä turvallisempia avaamalla vain pakollisia portteja ja sulkemalla Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) ja taustatulostuspalvelun saapuvat portit tulevaisuutta.

Porteista puhuttaessa Microsoft on myös julkaissut toisen blogipostaus kuvaamaan vaihtoehtoisia porttimuutoksia SMB-yhteyksissä. SMB-asiakkaat voivat nyt muodostaa yhteyden SMB-palvelimiin vaihtoehtoisten porttien kautta TCP: n, QUIC: n ja RDMA: n kautta. Aikaisemmin SMB-palvelimet olivat velvoittaneet käyttämään TCP-porttia 445 saapuville yhteyksille, ja SMB TCP -asiakkaat muodostivat yhteyden samaan porttiin. tätä kokoonpanoa ei voitu muuttaa. SMB over QUIC: n kanssa UDP-porttia 443 voidaan kuitenkin käyttää sekä asiakas- että palvelinpalveluissa.

SMB-asiakkaat voivat myös muodostaa yhteyden SMB-palvelimiin useiden muiden porttien kautta, kunhan viimeksi mainittu tukee tiettyä porttia ja kuuntelee sitä. IT-järjestelmänvalvojat voivat määrittää tietyt portit tietyille palvelimille ja jopa estää vaihtoehtoiset portit kokonaan ryhmäkäytännön avulla. Microsoft on toimittanut yksityiskohtaiset ohjeet vaihtoehtoisten porttien yhdistämisestä NET USE: n ja New-SmbMappingin avulla tai porttien käytön ohjaamiseen ryhmäkäytännön avulla.

On tärkeää huomata, että Windows Server Insiders ei voi tällä hetkellä muuttaa TCP-porttia 445 johonkin muuhun. Microsoft kuitenkin antaa IT-järjestelmänvalvojille mahdollisuuden määrittää SMB: n QUIC: n kautta käyttämään muita portteja oletusarvoisen UDP-portin 443 lisäksi.