Microsoft sta implementando il supporto per i Resolver designati dalla rete (DNR) e i mandati di crittografia client SMB in Windows 11 per migliorare la rete.
Punti chiave
- Le build di anteprima di Windows 11 Canary hanno introdotto mandati di crittografia client SMB e supporto per Resolver designati dalla rete (DNR) per migliorare la sicurezza della rete.
- La crittografia SMB fornisce sicurezza end-to-end per il trasferimento dei dati e gli amministratori IT possono configurare i computer client per richiedere la crittografia SMB dal server di destinazione.
- DNR elimina la necessità di configurare manualmente gli endpoint consentendo alle macchine client di eseguire automaticamente il tunneling verso server DNS crittografati utilizzando protocolli crittografati come DoH e DoT.
Server Message Block (SMB) è un componente molto importante quando si tratta di garantire una sicurezza di rete avanzata in Windows 11. Microsoft ha reso la firma delle PMI il comportamento predefinito nella build di Windows Enterprise a maggio e aveva anche alcune indicazioni da condividere in merito
Processo di autenticazione SMB a giugno. Ora ha annunciato che sta sviluppando il supporto per i mandati di crittografia client SMB e i Resolver designati dalla rete (DNR) in Windows 11.La prima implementazione del mandato di crittografia del client SMB è già presente in Windows 11 Canary build 25982, disponibile solo poche ore fa. La crittografia PMI viene sfruttata per fornire sicurezza end-to-end durante il trasferimento dei dati su una rete. Era disponibile con SMB 3.0 su Windows 8 e Windows Server 2012, con le iterazioni successive che aggiungevano il supporto per suite crittografiche più sicure come AES-GCM e AES-256-GCM.
Gli ultimi miglioramenti a questa infrastruttura garantiscono che gli amministratori IT possano ora configurare le macchine client per imporre anche l'uso della crittografia SMB dal server di destinazione. Ciò significa che se SMB 3.x non è disponibile o la crittografia non è configurata, il computer client sarà in grado di rifiutare la connessione, aumentando così la sicurezza complessiva della rete. Microsoft ha anche condiviso i passaggi che gli amministratori IT possono sfruttare per configurare questa funzionalità tramite Criteri di gruppo o PowerShell, puoi visualizzarli Qui.
L'azienda tecnologica di Redmond ha sottolineato che, poiché questa funzionalità pone alcune restrizioni sulla connettività, esiste un certo equilibrio tra prestazioni e compatibilità di cui è necessario tenere conto. Potresti scegliere di utilizzare solo la firma SMB per una sicurezza leggermente inferiore e prestazioni migliori, ma se abiliti SMB crittografia, ricorda che è superiore alla prima, quindi i comportamenti di firma SMB verranno disabilitati a favore della crittografia in offerta.
Un altro miglioramento della rete presente in Windows 11 Canary build 25982 è il supporto per DNR, che è una novità imminente standard dell'Internet Engineering Task Force (IETF) per consentire una scoperta più efficiente dei DNS crittografati server. Fino ad ora, le macchine client dovevano trovare l'indirizzo IP del server DNS crittografato a cui desideravano connettersi e quindi effettuare le configurazioni appropriate. DNR elimina la necessità di questa configurazione manuale dell'endpoint sfruttando protocolli crittografati come DNS su HTTPS (DoH) e DNS su TLS (DoT) sul lato client.
DNR è piuttosto sofisticato nella sua implementazione. Quando un computer lato client con DNR abilitato tenta di connettersi a una nuova rete, invia una richiesta al DHCP server per ricevere un indirizzo IP, insieme ad altri argomenti specifici per DNR come OPTION_V6_DNR e OPZIONE_V4_DNR. Il server DHCP, che è già configurato per utilizzare DNR, risponde a questa query inviando l'indirizzo IP del server DNS crittografato, dei protocolli crittografati supportati, delle porte e dell'autenticazione associata informazione. La macchina lato client utilizza quindi queste informazioni per eseguire il tunneling automatico al server DNS crittografato, senza che l'utente finale effettui alcuna configurazione dell'endpoint.
Se sei interessato a sfruttare DNR su un computer Windows 11 Canary, consulta le indicazioni di Microsoft sull'abilitazione della funzionalità Qui. Tieni presente che il DNR non è attualmente supportato per il DNS crittografato IPv6 RA. Tieni inoltre presente che sia i mandati di crittografia del client SMB sia il supporto per DNR in Windows 11 sono ancora attivi in fase di test nelle build di Insider Preview e non si sa ancora quando verranno implementate le funzionalità pubblicamente.