Microsoft menerapkan dukungan untuk Network-designated Resolvers (DNR) dan mandat enkripsi klien SMB di Windows 11 untuk meningkatkan jaringan.
Poin Penting
- Versi pratinjau Windows 11 Canary telah memperkenalkan mandat enkripsi klien SMB dan dukungan untuk Network-designated Resolver (DNR) untuk meningkatkan keamanan jaringan.
- Enkripsi SMB memberikan keamanan ujung ke ujung untuk transfer data, dan admin TI dapat mengonfigurasi mesin klien agar memerlukan enkripsi SMB dari server tujuan.
- DNR menghilangkan kebutuhan akan konfigurasi titik akhir manual dengan memungkinkan mesin klien melakukan terowongan otomatis ke server DNS terenkripsi menggunakan protokol terenkripsi seperti DoH dan DoT.
Blok Pesan Server (SMB) adalah komponen yang sangat penting untuk memastikan keamanan jaringan tingkat lanjut di Windows 11. Microsoft menjadikan penandatanganan SMB sebagai perilaku default di Windows Enterprise build pada bulan Mei dan juga memiliki beberapa panduan untuk dibagikan mengenai hal tersebut
Implementasi pertama dari mandat enkripsi klien SMB sudah ada Windows 11 Canary versi 25982, yang baru tersedia beberapa jam yang lalu. Enkripsi SMB dimanfaatkan untuk memberikan keamanan ujung ke ujung saat mentransfer data melalui jaringan. Ini telah tersedia dengan SMB 3.0 di Windows 8 dan Windows Server 2012, dengan iterasi berikutnya menambahkan dukungan untuk rangkaian kriptografi yang lebih aman seperti AES-GCM dan AES-256-GCM.
Peningkatan terbaru pada infrastruktur ini memastikan bahwa admin TI kini dapat mengonfigurasi mesin klien untuk juga mewajibkan penggunaan enkripsi SMB dari server tujuan. Artinya jika SMB 3.x tidak tersedia atau enkripsi tidak dikonfigurasi, mesin klien akan dapat menolak koneksi, sehingga meningkatkan keamanan jaringan secara keseluruhan. Microsoft juga telah membagikan langkah-langkah yang dapat dimanfaatkan oleh admin TI untuk mengonfigurasi kemampuan ini melalui Kebijakan Grup atau PowerShell, Anda dapat melihatnya Di Sini.
Perusahaan teknologi Redmond telah menekankan bahwa karena fitur ini memberikan beberapa batasan pada konektivitas, ada keseimbangan kinerja dan kompatibilitas tertentu yang perlu Anda perhatikan. Anda dapat memilih untuk hanya menggunakan penandatanganan SMB untuk keamanan yang sedikit lebih rendah dan peningkatan kinerja, tetapi jika Anda mengaktifkan SMB enkripsi, ingatlah bahwa ini lebih unggul dari yang sebelumnya, sehingga perilaku penandatanganan SMB akan dinonaktifkan demi enkripsi ditawarkan.
Peningkatan jaringan lain yang hadir di Windows 11 Canary build 25982 adalah dukungan untuk DNR, yang akan segera hadir. standar dari Internet Engineering Task Force (IETF) untuk memungkinkan penemuan DNS terenkripsi secara lebih efisien server. Hingga saat ini, mesin klien diharuskan menemukan alamat IP server DNS terenkripsi yang ingin mereka sambungkan dan kemudian membuat konfigurasi yang sesuai. DNR menghilangkan kebutuhan akan konfigurasi titik akhir manual ini dengan memanfaatkan protokol terenkripsi seperti DNS over HTTPS (DoH) dan DNS over TLS (DoT) di sisi klien.
DNR cukup canggih dalam implementasinya. Ketika mesin sisi klien dengan DNR diaktifkan mencoba untuk bergabung dengan jaringan baru, mesin tersebut mengirimkan permintaan ke DHCP server untuk menerima alamat IP, bersama dengan argumen lain yang khusus untuk DNR seperti OPTION_V6_DNR dan OPTION_V4_DNR. Server DHCP - yang telah dikonfigurasi untuk menggunakan DNR - merespons permintaan ini dengan mengirimkan melalui alamat IP server DNS terenkripsi, protokol terenkripsi yang didukung, port, dan otentikasi terkait informasi. Mesin sisi klien kemudian menggunakan informasi ini untuk secara otomatis melakukan terowongan ke server DNS terenkripsi, tanpa konfigurasi titik akhir apa pun yang dilakukan oleh pengguna akhir.
Jika Anda tertarik untuk memanfaatkan DNR pada mesin Windows 11 Canary, lihat panduan Microsoft mengenai mengaktifkan fitur tersebut Di Sini. Perhatikan bahwa DNR saat ini tidak didukung untuk DNS Terenkripsi IPv6 RA. Perlu diingat juga bahwa mandat enkripsi klien SMB dan dukungan untuk DNR di Windows 11 masih ada sedang diuji dalam versi Pratinjau Orang Dalam dan belum ada kabar kapan fitur tersebut akan diluncurkan di depan umum.