Microsoft telah membuat beberapa perubahan pada perilaku firewall SMB dan kemungkinan menggunakan port alternatif di Windows 11 Canary build 25992 terbaru.
Poin Penting
- Versi Pratinjau Orang Dalam Windows 11 mengubah perilaku berbagi SMB default untuk meningkatkan keamanan jaringan, secara otomatis mengaktifkan grup aturan firewall yang membatasi tanpa port SMB1 lama.
- Microsoft bertujuan untuk membuat konektivitas UKM menjadi lebih aman dengan hanya membuka port wajib dan menutup port masuk ICMP, LLMNR, dan Spooler Service di masa mendatang.
- Klien UKM kini dapat terhubung ke server melalui port alternatif melalui TCP, QUIC, dan RDMA, memberikan fleksibilitas lebih besar untuk konfigurasi dan penyesuaian oleh admin TI.
Microsoft telah membuat beberapa peningkatan ke Server Message Block (SMB) selama beberapa tahun terakhir. Windows 11 Home tidak lagi dikirimkan bersama SMB1 karena alasan keamanan, dan raksasa teknologi Redmond juga melakukannya baru-baru ini mulai menguji dukungan untuk Network-designated Resolver (DNR) dan mandat enkripsi klien di SMB3.x. Hari ini telah diumumkan perubahan lebih lanjut pada protokol komunikasi klien-server dengan peluncuran Windows 11 Insider terbaru membangun.
Pratinjau Orang Dalam Windows 11 Canary build 25992, yang mulai diluncurkan beberapa jam yang lalu, mengubah perilaku default Windows Defender saat membuat share SMB. Sejak peluncuran Windows XP Service Pack 2, membuat berbagi SMB secara otomatis mengaktifkan grup aturan "Berbagi File dan Printer" untuk profil firewall yang dipilih. Hal ini diterapkan dengan mempertimbangkan SMB1 dan dirancang untuk meningkatkan fleksibilitas penerapan dan konektivitas dengan perangkat dan layanan SMB.
Namun, saat Anda membuat share SMB di Windows 11 Insider Preview build terbaru, sistem operasi akan melakukannya aktifkan secara otomatis grup "Berbagi File dan Printer (Restriktif)", yang tidak akan berisi port NetBIOS masuk 137, 138, dan 139. Hal ini karena port ini dimanfaatkan oleh SMB1, dan tidak digunakan oleh SMB2 atau yang lebih baru. Ini juga berarti bahwa jika Anda mengaktifkan SMB1 karena alasan lama, Anda harus membuka kembali port ini di Firewall Anda.
Microsoft mengatakan perubahan konfigurasi ini akan memastikan tingkat keamanan jaringan yang lebih tinggi karena hanya port yang diperlukan yang dibuka secara default. Meskipun demikian, penting untuk dicatat bahwa ini hanyalah konfigurasi default, admin TI masih dapat memodifikasi grup firewall mana pun sesuai keinginan mereka. Namun, perlu diingat bahwa perusahaan Redmond ingin membuat konektivitas UKM menjadi lebih aman dengan hanya membuka port wajib dan menutup Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolusi (LLMNR), dan port masuk Layanan Spooler di masa depan.
Berbicara tentang port, Microsoft juga telah menerbitkan yang lain postingan blog untuk menjelaskan perubahan port alternatif dalam konektivitas SMB. Klien SMB sekarang dapat terhubung ke server SMB melalui port alternatif melalui TCP, QUIC, dan RDMA. Sebelumnya, server SMB telah mengamanatkan penggunaan port TCP 445 untuk koneksi masuk, dengan klien SMB TCP menghubungkan keluar ke port yang sama; konfigurasi ini tidak dapat diubah. Namun, dengan SMB melalui QUIC, port UDP 443 dapat digunakan oleh layanan klien dan server.
Klien SMB juga dapat terhubung ke server SMB melalui berbagai port lain selama port tersebut mendukung port tertentu dan mendengarkannya. Admin TI dapat mengonfigurasi port tertentu untuk server tertentu, dan bahkan memblokir port alternatif sepenuhnya melalui Kebijakan Grup. Microsoft telah memberikan instruksi terperinci tentang bagaimana Anda dapat memetakan port alternatif dengan NET USE dan New-SmbMapping, atau mengontrol penggunaan port melalui Kebijakan Grup.
Penting untuk dicatat bahwa Windows Server Insiders saat ini tidak dapat mengubah port TCP 445 ke yang lain. Namun, Microsoft akan mengizinkan admin TI untuk mengonfigurasi SMB melalui QUIC untuk menggunakan port lain selain port UDP default 443.