Microsoft a apporté quelques modifications aux comportements du pare-feu SMB et à la possibilité d'utiliser des ports alternatifs dans la dernière version 25992 de Windows 11 Canary.
Points clés à retenir
- La version Windows 11 Insider Preview modifie le comportement de partage SMB par défaut pour améliorer la sécurité du réseau, en activant automatiquement un groupe de règles de pare-feu restrictif sans les anciens ports SMB1.
- Microsoft vise à rendre la connectivité des PME encore plus sécurisée en ouvrant uniquement les ports obligatoires et en fermant à l'avenir les ports entrants ICMP, LLMNR et Spooler Service.
- Les clients PME peuvent désormais se connecter aux serveurs via des ports alternatifs via TCP, QUIC et RDMA, offrant ainsi une plus grande flexibilité de configuration et de personnalisation par les administrateurs informatiques.
Microsoft a fait plusieurs améliorations au Server Message Block (SMB) au cours des deux dernières années. Windows 11 Home n'est plus livré avec SMB1
pour des raisons de sécurité, et le géant de la technologie de Redmond a également support de test récemment commencé pour les résolveurs désignés par le réseau (DNR) et les mandats de chiffrement client dans SMB3.x. Aujourd'hui, il a annoncé nouvelles modifications du protocole de communication client-serveur avec le déploiement de la dernière version de Windows 11 Insider construire.Windows 11 Insider Preview Canary build 25992, dont le déploiement a commencé il y a quelques heures à peine, modifie le comportement par défaut de Windows Defender lorsqu'il s'agit de créer un partage SMB. Depuis la sortie de Windows XP Service Pack 2, la création d'un partage SMB activait automatiquement le groupe de règles « Partage de fichiers et d'imprimantes » pour les profils de pare-feu sélectionnés. Cela a été mis en œuvre en pensant à SMB1 et a été conçu pour améliorer la flexibilité de déploiement et la connectivité avec les appareils et services SMB.
Cependant, lorsque vous créez un partage SMB dans la dernière version de Windows 11 Insider Preview, le système d'exploitation activer automatiquement un groupe « Partage de fichiers et d'imprimantes (restrictif) », qui ne contiendra pas les ports NetBIOS entrants 137, 138 et 139. En effet, ces ports sont exploités par SMB1 et ne sont pas utilisés par SMB2 ou version ultérieure. Cela signifie également que si vous activez SMB1 pour une raison existante, vous devrez rouvrir ces ports dans votre pare-feu.
Microsoft affirme que ce changement de configuration garantira un niveau plus élevé de sécurité du réseau puisque seuls les ports requis sont ouverts par défaut. Cela dit, il est important de noter qu'il ne s'agit que de la configuration par défaut, les administrateurs informatiques peuvent toujours modifier n'importe quel groupe de pare-feu à leur guise. Gardez toutefois à l’esprit que la firme de Redmond cherche à rendre la connectivité des PME encore plus sécurisée en ouvrant uniquement les ports et ports obligatoires. fermeture des ports entrants ICMP (Internet Control Message Protocol), LLMNR (Link-Local Multicast Name Resolution) et Spooler Service dans le avenir.
En parlant de ports, Microsoft a également publié un autre article de blog pour décrire les changements de port alternatifs dans la connectivité SMB. Les clients SMB peuvent désormais se connecter aux serveurs SMB via des ports alternatifs via TCP, QUIC et RDMA. Auparavant, les serveurs SMB imposaient l'utilisation du port TCP 445 pour les connexions entrantes, les clients TCP SMB se connectant en sortie au même port; cette configuration n'a pas pu être modifiée. Cependant, avec SMB sur QUIC, le port UDP 443 peut être utilisé à la fois par les services client et serveur.
Les clients SMB peuvent également se connecter aux serveurs SMB via divers autres ports, à condition que ces derniers prennent en charge un port particulier et l'écoutent. Les administrateurs informatiques peuvent configurer des ports spécifiques pour des serveurs spécifiques et même bloquer entièrement les ports alternatifs via la stratégie de groupe. Microsoft a fourni des instructions détaillées sur la façon dont vous pouvez mapper des ports alternatifs avec NET USE et New-SmbMapping, ou contrôler l'utilisation des ports via la stratégie de groupe.
Il est important de noter que les Windows Server Insiders ne peuvent actuellement pas remplacer le port TCP 445 par autre chose. Cependant, Microsoft permettra aux administrateurs informatiques de configurer SMB sur QUIC pour utiliser d'autres ports que le port UDP 443 par défaut.