Microsoft je napravio neke promjene u ponašanju SMB vatrozida i mogućnosti korištenja alternativnih priključaka u najnovijoj Windows 11 Canary verziji 25992.
Ključni zahvati
- Windows 11 Insider Preview verzija mijenja zadano ponašanje SMB dijeljenja radi poboljšanja mrežne sigurnosti, automatski omogućavajući restriktivnu grupu pravila vatrozida bez starih SMB1 priključaka.
- Microsoft namjerava učiniti povezivanje SMB-a još sigurnijim otvaranjem samo obaveznih portova i zatvaranjem ulaznih portova ICMP, LLMNR i Spooler Service u budućnosti.
- SMB klijenti sada se mogu povezati s poslužiteljima putem alternativnih priključaka preko TCP-a, QUIC-a i RDMA-a, pružajući veću fleksibilnost za konfiguraciju i prilagodbu od strane IT administratora.
Microsoft je stvarao nekoliko poboljšanja u blok poruka poslužitelja (SMB) tijekom proteklih nekoliko godina. Windows 11 Home više se ne isporučuje sa SMB1 zbog sigurnosnih razloga, kao i tehnološki div iz Redmonda nedavno je započeo testiranje podrške za mrežne razrješivače (DNR) i naloge za enkripciju klijenta u SMB3.x. Danas je objavljeno daljnje promjene u komunikacijskom protokolu klijent-poslužitelj s uvođenjem najnovijeg Windows 11 Insidera izgraditi.
Windows 11 Insider Preview Canary build 25992, koji je počeo izlaziti prije samo nekoliko sati, mijenja zadano ponašanje Windows Defendera kada je u pitanju stvaranje SMB dijeljenja. Od izdanja Windows XP servisnog paketa 2, stvaranje SMB dijeljenja automatski je omogućilo grupu pravila "Dijeljenje datoteka i pisača" za odabrane profile vatrozida. Ovo je implementirano imajući na umu SMB1 i osmišljeno je za poboljšanje fleksibilnosti postavljanja i povezivanja s uređajima i uslugama SMB-a.
Međutim, kada stvorite SMB dijeljenje u najnovijoj verziji Windows 11 Insider Preview, operativni sustav će automatski omogućiti grupa "Dijeljenje datoteka i pisača (ograničeno)", koja neće sadržavati ulazne NetBIOS portove 137, 138 i 139. To je zato što ove priključke koristi SMB1, a ne koriste ih SMB2 ili noviji. To također znači da ako omogućite SMB1 iz nekog naslijeđenog razloga, morat ćete ponovno otvoriti te priključke u svom vatrozidu.
Microsoft kaže da će ova promjena konfiguracije osigurati višu razinu mrežne sigurnosti jer su prema zadanim postavkama otvoreni samo potrebni portovi. Ipak, važno je napomenuti da je ovo samo zadana konfiguracija, IT administratori i dalje mogu mijenjati bilo koju grupu vatrozida prema svojim željama. Međutim, imajte na umu da tvrtka iz Redmonda nastoji povezivanje SMB-a učiniti još sigurnijim otvaranjem samo obveznih portova i zatvaranje ulaznih portova Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) i Spooler Service u budućnost.
Govoreći o portovima, Microsoft je također objavio još jedan post na blogu kako bi se opisale alternativne promjene priključaka u povezivanju SMB-a. SMB klijenti sada se mogu povezati na SMB poslužitelje putem alternativnih portova preko TCP-a, QUIC-a i RDMA-a. Prethodno su SMB poslužitelji nalagali korištenje TCP porta 445 za ulazne veze, sa SMB TCP klijentima koji su se spajali na izlazne na isti port; ovu konfiguraciju nije bilo moguće promijeniti. Međutim, uz SMB preko QUIC-a, UDP priključak 443 mogu koristiti i klijentske i poslužiteljske usluge.
SMB klijenti se također mogu spojiti na SMB poslužitelje preko raznih drugih priključaka sve dok potonji podržava određeni priključak i sluša ga. IT administratori mogu konfigurirati određene priključke za određene poslužitelje, pa čak i potpuno blokirati alternativne priključke putem pravila grupe. Microsoft je pružio detaljne upute o tome kako možete mapirati alternativne priključke pomoću NET USE i New-SmbMapping ili kontrolirati korištenje priključaka putem pravila grupe.
Važno je napomenuti da Windows Server Insiders trenutno ne mogu promijeniti TCP port 445 u nešto drugo. Međutim, Microsoft će omogućiti IT administratorima da konfiguriraju SMB preko QUIC-a za korištenje drugih priključaka osim zadanog UDP priključka 443.