Microsoft implementira podršku za Network-designated Resolvers (DNR) i naloge šifriranja SMB klijenta u sustavu Windows 11 za poboljšano umrežavanje.
Ključni zahvati
- Pretpregledne verzije sustava Windows 11 Canary uvele su naloge za enkripciju SMB klijenta i podršku za mrežne razrješivače (DNR) kako bi se poboljšala sigurnost mreže.
- SMB enkripcija pruža end-to-end sigurnost za prijenos podataka, a IT administratori mogu konfigurirati klijentska računala da zahtijevaju SMB enkripciju od odredišnog poslužitelja.
- DNR eliminira potrebu za ručnom konfiguracijom krajnje točke dopuštajući klijentskim strojevima da se automatski tuneliraju na šifrirane DNS poslužitelje koristeći šifrirane protokole kao što su DoH i DoT.
Server Message Block (SMB) vrlo je važna komponenta kada se radi o osiguravanju napredne mrežne sigurnosti u sustavu Windows 11. Microsoft je još u svibnju postavio SMB potpisivanje kao zadano ponašanje u međugradnji sustava Windows Enterprise, a također je podijelio neke smjernice u vezi s
Prva implementacija naloga za šifriranje SMB klijenta već je prisutna u Windows 11 Canary verzija 25982, koji je postao dostupan prije nekoliko sati. SMB enkripcija se koristi za pružanje end-to-end sigurnosti tijekom prijenosa podataka preko mreže. Dostupan je sa SMB 3.0 na Windows 8 i Windows Server 2012, s naknadnim iteracijama koje su dodavale podršku za sigurnije kriptografske pakete kao što su AES-GCM i AES-256-GCM.
Najnovija poboljšanja ove infrastrukture osiguravaju da IT administratori sada mogu konfigurirati klijentska računala da također ovlaste upotrebu SMB enkripcije s odredišnog poslužitelja. To znači da ako SMB 3.x nije dostupan ili enkripcija nije konfigurirana, klijentsko bi računalo moglo odbiti vezu, čime bi se povećala ukupna sigurnost mreže. Microsoft je također podijelio korake koje IT administratori mogu iskoristiti za konfiguriranje ove mogućnosti putem pravila grupe ili PowerShell, možete ih vidjeti ovdje.
Tehnička tvrtka iz Redmonda naglasila je da, budući da ova značajka postavlja neka ograničenja povezivosti, postoji određena ravnoteža između performansi i kompatibilnosti na koju morate obratiti pozornost. Možete odabrati korištenje samo SMB potpisivanja za nešto manju sigurnost i poboljšane performanse, ali ako omogućite SMB enkripcija, imajte na umu da je superiornija od prethodne, tako da će ponašanje SMB potpisivanja biti onemogućeno u korist enkripcije na ponudi.
Još jedno poboljšanje mreže prisutno u Windows 11 Canary build 25982 je podrška za DNR, koja je nadolazeća standard od Internet Engineering Task Force (IETF) kako bi se omogućilo učinkovitije otkrivanje šifriranog DNS-a poslužitelji. Do sada se od klijentskih strojeva tražilo da pronađu IP adresu šifriranog DNS poslužitelja na koji se žele spojiti i zatim naprave odgovarajuće konfiguracije. DNR uklanja potrebu za ovom ručnom konfiguracijom krajnje točke iskorištavanjem kriptiranih protokola kao što su DNS preko HTTPS (DoH) i DNS preko TLS (DoT) na strani klijenta.
DNR je prilično sofisticiran u svojoj implementaciji. Kada se stroj na strani klijenta s omogućenim DNR-om pokuša pridružiti novoj mreži, šalje zahtjev DHCP-u poslužitelj za primanje IP adrese, zajedno s drugim argumentima specifičnim za DNR kao što su OPTION_V6_DNR i OPTION_V4_DNR. DHCP poslužitelj - koji je već konfiguriran za korištenje DNR-a - odgovara na ovaj upit slanjem preko IP adrese šifriranog DNS poslužitelja, podržanih šifriranih protokola, priključaka i pridružene provjere autentičnosti informacija. Stroj na strani klijenta zatim koristi te informacije za automatski tunel do šifriranog DNS poslužitelja, bez konfiguracije krajnje točke od strane krajnjeg korisnika.
Ako ste zainteresirani za iskorištavanje DNR-a na računalu sa sustavom Windows 11 Canary, pogledajte Microsoftove smjernice o omogućavanju značajke ovdje. Imajte na umu da DNR trenutno nije podržan za IPv6 RA šifrirani DNS. Također imajte na umu da i zahtjevi za enkripciju SMB klijenta i podrška za DNR u sustavu Windows 11 još uvijek postoje testira se u verzijama Insider Previewa i još nema riječi o tome kada će se značajke pojaviti javno.