Microsoft met en œuvre la prise en charge des mandats de chiffrement des résolveurs désignés par réseau (DNR) et des clients SMB dans Windows 11 pour une mise en réseau améliorée.
Points clés à retenir
- Les versions préliminaires de Windows 11 Canary ont introduit des mandats de chiffrement des clients SMB et la prise en charge des résolveurs désignés par le réseau (DNR) pour améliorer la sécurité du réseau.
- Le chiffrement SMB offre une sécurité de bout en bout pour le transfert de données, et les administrateurs informatiques peuvent configurer les machines clientes pour qu'elles exigent le chiffrement SMB du serveur de destination.
- DNR élimine le besoin de configuration manuelle des points de terminaison en permettant aux machines clientes d'établir automatiquement un tunnel vers des serveurs DNS chiffrés à l'aide de protocoles chiffrés tels que DoH et DoT.
Server Message Block (SMB) est un composant très important lorsqu'il s'agit de garantir une sécurité réseau avancée dans Windows 11. Microsoft a fait de la signature SMB le comportement par défaut dans la version Windows Enterprise en mai et avait également quelques conseils à partager concernant le
La première implémentation du mandat de chiffrement client SMB est déjà présente dans Windows 11 Canary version 25982, qui est devenu disponible il y a quelques heures seulement. Le chiffrement SMB est exploité pour fournir une sécurité de bout en bout lors du transfert de données sur un réseau. Il est disponible avec SMB 3.0 sur Windows 8 et Windows Server 2012, les itérations suivantes ajoutant la prise en charge de suites cryptographiques plus sécurisées telles que AES-GCM et AES-256-GCM.
Les dernières améliorations apportées à cette infrastructure garantissent que les administrateurs informatiques peuvent désormais configurer les machines clientes pour imposer également l'utilisation du cryptage SMB à partir du serveur de destination. Cela signifie que si SMB 3.x n'est pas disponible ou si le cryptage n'est pas configuré, la machine client pourra refuser la connexion, augmentant ainsi la sécurité globale du réseau. Microsoft a également partagé les étapes que les administrateurs informatiques peuvent exploiter pour configurer cette fonctionnalité via la stratégie de groupe ou PowerShell. Vous pouvez les consulter. ici.
La société technologique de Redmond a souligné que, étant donné que cette fonctionnalité impose certaines restrictions sur la connectivité, vous devez tenir compte d'un certain équilibre en termes de performances et de compatibilité. Vous pouvez choisir d'utiliser uniquement la signature SMB pour une sécurité légèrement moindre et des performances améliorées, mais si vous activez SMB chiffrement, rappelez-vous qu'il est supérieur au premier, donc les comportements de signature SMB seront désactivés au profit du chiffrement proposés.
Une autre amélioration de la mise en réseau présente dans Windows 11 Canary build 25982 est la prise en charge de DNR, qui est une prochaine version. norme de l'Internet Engineering Task Force (IETF) pour permettre une découverte plus efficace du DNS crypté les serveurs. Jusqu'à présent, les machines clientes devaient trouver l'adresse IP du serveur DNS crypté auquel elles souhaitent se connecter, puis effectuer les configurations appropriées. DNR supprime le besoin de cette configuration manuelle des points de terminaison en tirant parti de protocoles cryptés tels que DNS sur HTTPS (DoH) et DNS sur TLS (DoT) côté client.
Le DNR est assez sophistiqué dans sa mise en œuvre. Lorsqu'une machine côté client avec DNR activé tente de rejoindre un nouveau réseau, elle envoie une demande au DHCP serveur pour recevoir une adresse IP, ainsi que d'autres arguments spécifiques au DNR comme OPTION_V6_DNR et OPTION_V4_DNR. Le serveur DHCP - qui est déjà configuré pour utiliser DNR - répond à cette requête en envoyant via l'adresse IP du serveur DNS chiffré, des protocoles chiffrés pris en charge, des ports et de l'authentification associée information. La machine côté client utilise ensuite ces informations pour créer automatiquement un tunnel vers le serveur DNS crypté, sans qu'aucune configuration de point final ne soit effectuée par l'utilisateur final.
Si vous souhaitez tirer parti du DNR sur une machine Windows 11 Canary, consultez les conseils de Microsoft concernant l'activation de la fonctionnalité. ici. Notez que le DNR n’est actuellement pas pris en charge pour le DNS crypté IPv6 RA. Gardez également à l’esprit que les mandats de chiffrement des clients SMB et la prise en charge du DNR dans Windows 11 sont toujours en cours de test dans les versions Insider Preview et on ne sait pas encore quand les fonctionnalités seront déployées publiquement.