A Microsoft a hálózat által kijelölt feloldók (DNR) és az SMB-kliens-titkosítási megbízások támogatását valósítja meg a Windows 11 rendszerben a jobb hálózatkezelés érdekében.
Kulcs elvitelek
- A Windows 11 Canary előzetes verziói bevezették az SMB-kliensek titkosítási megbízatását és a hálózati biztonság fokozása érdekében a Network-designated Resolver (DNR) támogatását.
- Az SMB-titkosítás végpontok közötti biztonságot nyújt az adatátvitelhez, az informatikai rendszergazdák pedig beállíthatják az ügyfélgépeket úgy, hogy SMB-titkosítást igényeljenek a célkiszolgálótól.
- A DNR kiküszöböli a végpont kézi konfigurálásának szükségességét, mivel lehetővé teszi az ügyfélgépek számára, hogy automatikusan titkosított DNS-kiszolgálókhoz csatlakozzanak olyan titkosított protokollok használatával, mint a DoH és a DoT.
A Server Message Block (SMB) rendkívül fontos összetevő a Windows 11 fejlett hálózati biztonságának biztosításában. A Microsoft még májusban az SMB-aláírást az alapértelmezett viselkedéssé tette a Windows Enterprise buildben, és néhány útmutatást is meg kellett osztania a
Az SMB-kliens titkosítási megbízásának első megvalósítása már jelen van Windows 11 Canary build 25982, amely alig néhány órája vált elérhetővé. Az SMB titkosítás teljes körű biztonságot nyújt a hálózaton keresztüli adatátvitel során. SMB 3.0-val elérhető volt Windows 8 és Windows Server 2012 rendszeren, a későbbi iterációk pedig a biztonságosabb kriptográfiai csomagok, például az AES-GCM és az AES-256-GCM támogatásával bővültek.
Az infrastruktúra legújabb fejlesztései biztosítják, hogy az informatikai rendszergazdák mostantól úgy konfigurálhatják az ügyfélgépeket, hogy az SMB-titkosítás használatát is előírják a célkiszolgálóról. Ez azt jelenti, hogy ha az SMB 3.x nem érhető el, vagy a titkosítás nincs konfigurálva, a kliensgép képes lesz megtagadni a kapcsolatot, ezáltal növelve a hálózat általános biztonságát. A Microsoft megosztotta azokat a lépéseket is, amelyeket az informatikai rendszergazdák felhasználhatnak a képesség csoportházirend vagy PowerShell segítségével történő konfigurálásához. Ezeket megtekintheti itt.
A redmondi technológiai cég hangsúlyozta, hogy mivel ez a funkció bizonyos korlátozásokat támaszt a csatlakoztathatósággal kapcsolatban, van egy bizonyos teljesítmény és kompatibilitás egyensúlya, amelyet szem előtt kell tartani. Dönthet úgy, hogy csak az SMB-aláírást használja a kisebb biztonság és a jobb teljesítmény érdekében, de ha engedélyezi az SMB-t titkosítást, ne feledje, hogy jobb az előbbinél, így az SMB-aláírás viselkedése le lesz tiltva a titkosítás javára kínálatban.
A Windows 11 Canary build 25982 másik hálózati fejlesztése a DNR támogatása, amely egy közelgő az Internet Engineering Task Force (IETF) szabványa, amely lehetővé teszi a titkosított DNS hatékonyabb felfedezését szerverek. Eddig a kliensgépeknek meg kellett találniuk annak a titkosított DNS-kiszolgálónak az IP-címét, amelyhez csatlakozni szeretnének, majd elvégezni a megfelelő konfigurációkat. A DNR szükségtelenné teszi ezt a kézi végpont-konfigurációt azáltal, hogy olyan titkosított protokollokat használ, mint a DNS over HTTPS (DoH) és a DNS over TLS (DoT) az ügyféloldalon.
A DNR megvalósítása meglehetősen kifinomult. Amikor egy kliensoldali gép DNR-t engedélyezve megpróbál csatlakozni egy új hálózathoz, kérést küld a DHCP-nek. szerver kap egy IP-címet a DNR-re jellemző egyéb argumentumokkal együtt, mint például az OPTION_V6_DNR és OPTION_V4_DNR. A DHCP szerver – amely már be van állítva a DNR használatára – az IP cím elküldésével válaszol erre a lekérdezésre a titkosított DNS-kiszolgálóról, a támogatott titkosított protokollokról, portokról és a kapcsolódó hitelesítésről információ. A kliensoldali gép ezután ezeket az információkat használja fel a titkosított DNS-kiszolgálóhoz való automatikus alagútra, anélkül, hogy a végfelhasználó bármilyen végpont-konfigurációt végezne.
Ha szeretné kihasználni a DNR-t egy Windows 11 Canary gépen, tekintse meg a Microsoft útmutatásait a funkció engedélyezésével kapcsolatban itt. Vegye figyelembe, hogy a DNR jelenleg nem támogatott az IPv6 RA titkosított DNS esetén. Ne feledje azt is, hogy mind az SMB-kliens titkosítási megbízásai, mind a DNR támogatása a Windows 11 rendszerben továbbra is fennáll. Az Insider Preview buildekben tesztelik, és egyelőre nincs hír arról, hogy a funkciók mikor fognak megjelenni nyilvánosan.