A Microsoft néhány változtatást hajtott végre az SMB tűzfal viselkedésében és az alternatív portok használatában a legújabb Windows 11 Canary build 25992-ben.
Kulcs elvitelek
- A Windows 11 Insider Preview build megváltoztatja az alapértelmezett SMB-megosztási viselkedést a hálózat biztonságának javítása érdekében, és automatikusan engedélyezi a korlátozó tűzfalszabálycsoportot a régi SMB1-portok nélkül.
- A Microsoft célja az SMB-kapcsolat még biztonságosabbá tétele azáltal, hogy csak a kötelező portokat nyitja meg, és a jövőben bezárja az ICMP, LLMNR és Spooler Service bejövő portokat.
- Az SMB-kliensek mostantól alternatív portokon keresztül kapcsolódhatnak a szerverekhez TCP-n, QUIC-n és RDMA-n keresztül, így nagyobb rugalmasságot biztosítanak az informatikai rendszergazdák számára a konfigurációban és a testreszabásban.
A Microsoft készített számos fejlesztés kiszolgáló üzenetblokkjára (SMB) az elmúlt néhány évben. A Windows 11 Home már nem tartalmazza az SMB1-et biztonsági okokból, és a redmondi technológiai óriás is
A Windows 11 Insider Preview Canary build 25992, amely alig néhány órája kezdődött, megváltoztatja a Windows Defender alapértelmezett viselkedését az SMB megosztás létrehozása során. A Windows XP Service Pack 2 kiadása óta az SMB megosztás létrehozása automatikusan engedélyezte a „Fájl- és nyomtatómegosztás” szabálycsoportot a kiválasztott tűzfalprofilokhoz. Ezt az SMB1 szem előtt tartásával valósították meg, és az üzembe helyezés rugalmasságát és az SMB-eszközökkel és -szolgáltatásokkal való összeköttetést javították.
Amikor azonban létrehoz egy SMB-megosztást a Windows 11 Insider Preview legújabb verziójában, az operációs rendszer ezt megteszi automatikusan engedélyezi egy "Fájl- és nyomtatómegosztás (korlátozott)" csoport, amely nem tartalmazza a bejövő 137-es, 138-as és 139-es NetBIOS-portokat. Ennek az az oka, hogy ezeket a portokat az SMB1 használja, és az SMB2 vagy újabb nem használja őket. Ez azt is jelenti, hogy ha valamilyen örökölt okból engedélyezi az SMB1-et, akkor újra meg kell nyitnia ezeket a portokat a tűzfalban.
A Microsoft szerint ez a konfigurációs módosítás magasabb szintű hálózati biztonságot biztosít, mivel alapértelmezés szerint csak a szükséges portok vannak megnyitva. Ennek ellenére fontos megjegyezni, hogy ez csak az alapértelmezett konfiguráció, a rendszergazdák továbbra is tetszés szerint módosíthatják a tűzfalcsoportokat. Ne feledje azonban, hogy a redmondi cég az SMB-kapcsolatot még biztonságosabbá kívánja tenni azáltal, hogy csak a kötelező portokat nyitja meg és az Internet Control Message Protocol (ICMP), a Link-Local Multicast Name Resolution (LLMNR) és a Spooler Service bejövő portjainak bezárása a jövő.
A portokról beszélve a Microsoft egy másikat is közzétett blog bejegyzés az SMB-kapcsolat alternatív portváltásainak leírására. Az SMB-kliensek mostantól alternatív portokon keresztül csatlakozhatnak SMB-kiszolgálókhoz TCP-n, QUIC-n és RDMA-n keresztül. Korábban az SMB-kiszolgálók a 445-ös TCP-port használatát írták elő a bejövő kapcsolatokhoz, és az SMB TCP-kliensek ugyanahhoz a porthoz csatlakoztak a kimenő adatokhoz; ez a konfiguráció nem módosítható. A QUIC feletti SMB-vel azonban a 443-as UDP-port az ügyfél- és a szerverszolgáltatások számára is használható.
Az SMB-kliensek más portokon keresztül is csatlakozhatnak az SMB-kiszolgálókhoz, amennyiben az utóbbi támogat egy adott portot, és figyel rá. Az informatikai adminisztrátorok konfigurálhatnak adott portokat adott kiszolgálókhoz, és a csoportházirend segítségével teljesen blokkolhatják az alternatív portokat. A Microsoft részletes útmutatást adott arról, hogyan rendelhet hozzá alternatív portokat a NET USE és a New-SmbMapping segítségével, vagy hogyan szabályozhatja a portok használatát a csoportházirend segítségével.
Fontos megjegyezni, hogy a Windows Server Insiders jelenleg nem módosíthatja a 445-ös TCP-portot valami másra. A Microsoft azonban lehetővé teszi a rendszergazdák számára, hogy az SMB-t a QUIC-on keresztül konfigurálják, hogy az alapértelmezett 443-as UDP-porton kívül más portokat is használhassanak.