माइक्रोसॉफ्ट विंडोज 11 में एसएमबी फ़ायरवॉल नियम परिवर्तन और वैकल्पिक पोर्ट का परीक्षण कर रहा है

चाबी छीनना

• विंडोज 11 इनसाइडर प्रीव्यू बिल्ड नेटवर्क सुरक्षा में सुधार के लिए डिफ़ॉल्ट एसएमबी शेयर व्यवहार को बदलता है, पुराने एसएमबी1 पोर्ट के बिना स्वचालित रूप से एक प्रतिबंधात्मक फ़ायरवॉल नियम समूह को सक्षम करता है।
• Microsoft का लक्ष्य केवल अनिवार्य पोर्ट खोलकर और भविष्य में ICMP, LLMNR और स्पूलर सर्विस इनबाउंड पोर्ट को बंद करके SMB कनेक्टिविटी को और भी अधिक सुरक्षित बनाना है।
• एसएमबी क्लाइंट अब टीसीपी, क्विक और आरडीएमए पर वैकल्पिक पोर्ट के माध्यम से सर्वर से जुड़ सकते हैं, जो आईटी व्यवस्थापकों द्वारा कॉन्फ़िगरेशन और अनुकूलन के लिए अधिक लचीलापन प्रदान करता है।

माइक्रोसॉफ्ट बना रहा है कई संवर्द्धन पिछले कुछ वर्षों में सर्वर मैसेज ब्लॉक (एसएमबी) के लिए। Windows 11 Home अब SMB1 के साथ शिप नहीं किया जाएगा सुरक्षा कारणों से, और रेडमंड तकनीकी दिग्गज ने भी ऐसा किया है हाल ही में समर्थन का परीक्षण शुरू हुआ SMB3.x में नेटवर्क-नामित रिज़ॉल्वर (DNR) और क्लाइंट एन्क्रिप्शन अधिदेशों के लिए। आज इसका ऐलान हो गया है नवीनतम विंडोज 11 इनसाइडर के रोलआउट के साथ क्लाइंट-सर्वर संचार प्रोटोकॉल में और बदलाव निर्माण।

विंडोज 11 इनसाइडर प्रीव्यू कैनरी बिल्ड 25992, जो कुछ ही घंटे पहले रोल आउट होना शुरू हुआ, जब एसएमबी शेयर बनाने की बात आती है तो विंडोज डिफेंडर के डिफ़ॉल्ट व्यवहार को बदल देता है। Windows XP सर्विस पैक 2 के रिलीज़ होने के बाद से, SMB शेयर बनाने से चयनित फ़ायरवॉल प्रोफ़ाइल के लिए "फ़ाइल और प्रिंटर शेयरिंग" नियम समूह स्वचालित रूप से सक्षम हो गया। इसे SMB1 को ध्यान में रखकर लागू किया गया था और इसे SMB उपकरणों और सेवाओं के साथ तैनाती लचीलेपन और कनेक्टिविटी में सुधार करने के लिए डिज़ाइन किया गया था।

हालाँकि, जब आप नवीनतम विंडोज 11 इनसाइडर प्रीव्यू बिल्ड में एक एसएमबी शेयर बनाते हैं, तो ऑपरेटिंग सिस्टम ऐसा करेगा स्वचालित रूप से सक्षम करें एक "फ़ाइल और प्रिंटर साझाकरण (प्रतिबंधात्मक)" समूह, जिसमें इनबाउंड NetBIOS पोर्ट 137, 138, और 139 शामिल नहीं होंगे। ऐसा इसलिए है क्योंकि ये पोर्ट SMB1 द्वारा लीवरेज्ड हैं, और SMB2 या बाद के संस्करण द्वारा उपयोग नहीं किए जाते हैं। इसका यह भी अर्थ है कि यदि आप किसी विरासती कारण से SMB1 को सक्षम करते हैं, तो आपको अपने फ़ायरवॉल में इन पोर्ट को फिर से खोलना होगा।

माइक्रोसॉफ्ट का कहना है कि यह कॉन्फ़िगरेशन परिवर्तन उच्च स्तर की नेटवर्क सुरक्षा सुनिश्चित करेगा क्योंकि डिफ़ॉल्ट रूप से केवल आवश्यक पोर्ट ही खोले जाते हैं। उसने कहा, यह ध्यान रखना महत्वपूर्ण है कि यह केवल डिफ़ॉल्ट कॉन्फ़िगरेशन है, आईटी व्यवस्थापक अभी भी अपनी पसंद के अनुसार किसी भी फ़ायरवॉल समूह को संशोधित कर सकते हैं। हालाँकि, ध्यान रखें कि रेडमंड फर्म केवल अनिवार्य पोर्ट खोलकर एसएमबी कनेक्टिविटी को और भी अधिक सुरक्षित बनाना चाहती है। इंटरनेट कंट्रोल मैसेज प्रोटोकॉल (आईसीएमपी), लिंक-लोकल मल्टीकास्ट नेम रेजोल्यूशन (एलएलएमएनआर), और स्पूलर सर्विस इनबाउंड पोर्ट को बंद करना भविष्य।

पोर्ट्स की बात करें तो माइक्रोसॉफ्ट ने एक और भी प्रकाशित किया है ब्लॉग भेजा एसएमबी कनेक्टिविटी में वैकल्पिक पोर्ट परिवर्तनों का वर्णन करने के लिए। SMB क्लाइंट अब TCP, QUIC और RDMA पर वैकल्पिक पोर्ट के माध्यम से SMB सर्वर से जुड़ सकते हैं। पहले, एसएमबी सर्वर ने इनबाउंड कनेक्शन के लिए टीसीपी पोर्ट 445 का उपयोग अनिवार्य किया था, एसएमबी टीसीपी क्लाइंट आउटबाउंड को उसी पोर्ट से कनेक्ट करते थे; यह कॉन्फ़िगरेशन बदला नहीं जा सका. हालाँकि, QUIC पर SMB के साथ, UDP पोर्ट 443 का उपयोग क्लाइंट और सर्वर दोनों सेवाओं द्वारा किया जा सकता है।

एसएमबी क्लाइंट विभिन्न अन्य पोर्ट के माध्यम से एसएमबी सर्वर से भी जुड़ सकते हैं, जब तक कि एसएमबी एक विशेष पोर्ट का समर्थन करता है और उस पर सुनता है। आईटी व्यवस्थापक विशिष्ट सर्वर के लिए विशिष्ट पोर्ट कॉन्फ़िगर कर सकते हैं, और समूह नीति के माध्यम से वैकल्पिक पोर्ट को पूरी तरह से ब्लॉक भी कर सकते हैं। Microsoft ने इस बारे में विस्तृत निर्देश दिए हैं कि आप NET USE और New-SmbMapping के साथ वैकल्पिक पोर्ट को कैसे मैप कर सकते हैं, या समूह नीति के माध्यम से पोर्ट के उपयोग को नियंत्रित कर सकते हैं।

यह ध्यान रखना महत्वपूर्ण है कि विंडोज़ सर्वर इनसाइडर्स वर्तमान में टीसीपी पोर्ट 445 को किसी और चीज़ में नहीं बदल सकते हैं। हालाँकि, Microsoft IT व्यवस्थापकों को डिफ़ॉल्ट UDP पोर्ट 443 के अलावा अन्य पोर्ट का उपयोग करने के लिए QUIC पर SMB को कॉन्फ़िगर करने में सक्षम करेगा।