Microsoft ha apportato alcune modifiche ai comportamenti del firewall SMB e alla possibilità di utilizzare porte alternative nell'ultima build 25992 di Windows 11 Canary.
Punti chiave
- La build di Windows 11 Insider Preview modifica il comportamento predefinito della condivisione SMB per migliorare la sicurezza della rete, abilitando automaticamente un gruppo di regole firewall restrittivo senza le vecchie porte SMB1.
- Microsoft mira a rendere la connettività delle PMI ancora più sicura aprendo solo le porte obbligatorie e chiudendo in futuro le porte in ingresso ICMP, LLMNR e Spooler Service.
- I client PMI possono ora connettersi ai server tramite porte alternative su TCP, QUIC e RDMA, offrendo maggiore flessibilità per la configurazione e la personalizzazione da parte degli amministratori IT.
Microsoft ha fatto diversi miglioramenti al Server Message Block (SMB) negli ultimi due anni. Windows 11 Home non viene più fornito con SMB1 per motivi di sicurezza, e anche il colosso tecnologico di Redmond lo ha fatto
recentemente iniziato a testare il supporto per i Resolver designati dalla rete (DNR) e i mandati di crittografia del client in SMB3.x. Oggi lo ha annunciato ulteriori modifiche al protocollo di comunicazione client-server con il rollout dell'ultimo Windows 11 Insider costruire.Windows 11 Insider Preview Canary build 25992, iniziato solo poche ore fa, modifica il comportamento predefinito di Windows Defender quando si tratta di creare una condivisione SMB. Dal rilascio di Windows XP Service Pack 2, la creazione di una condivisione SMB abilitava automaticamente il gruppo di regole "Condivisione file e stampanti" per i profili firewall selezionati. Questo è stato implementato pensando alle PMI1 ed è stato progettato per migliorare la flessibilità di implementazione e la connettività con dispositivi e servizi SMB.
Tuttavia, quando crei una condivisione SMB nell'ultima build di Windows 11 Insider Preview, il sistema operativo lo farà abilitare automaticamente un gruppo "Condivisione file e stampanti (restrittivo)", che non conterrà le porte NetBIOS in entrata 137, 138 e 139. Questo perché queste porte vengono sfruttate da SMB1 e non vengono utilizzate da SMB2 o versioni successive. Ciò significa anche che se abiliti SMB1 per qualche motivo legacy, dovrai riaprire queste porte nel firewall.
Microsoft afferma che questa modifica alla configurazione garantirà un livello più elevato di sicurezza di rete poiché solo le porte richieste vengono aperte per impostazione predefinita. Detto questo, è importante notare che questa è solo la configurazione predefinita, gli amministratori IT possono comunque modificare qualsiasi gruppo firewall a proprio piacimento. Tuttavia, tieni presente che l’azienda di Redmond sta cercando di rendere la connettività delle PMI ancora più sicura aprendo solo le porte obbligatorie chiudendo le porte in entrata del protocollo ICMP (Internet Control Message Protocol), della risoluzione dei nomi multicast link locale (LLMNR) e del servizio spooler nel futuro.
Parlando di port, Microsoft ne ha pubblicato anche un altro post sul blog per descrivere modifiche delle porte alternative nella connettività SMB. I client PMI ora possono connettersi ai server PMI tramite porte alternative su TCP, QUIC e RDMA. In precedenza, i server PMI imponevano l'uso della porta TCP 445 per le connessioni in entrata, con i client TCP SMB che si connettevano in uscita alla stessa porta; questa configurazione non può essere modificata. Tuttavia, con SMB su QUIC, la porta UDP 443 può essere utilizzata sia dai servizi client che da quelli server.
I client PMI possono anche connettersi ai server SMB attraverso varie altre porte purché quest'ultimo supporti una porta particolare e sia in ascolto su di essa. Gli amministratori IT possono configurare porte specifiche per server specifici e persino bloccare completamente porte alternative tramite Criteri di gruppo. Microsoft ha fornito istruzioni dettagliate su come mappare porte alternative con NET USE e New-SmbMapping o controllare l'utilizzo delle porte tramite Criteri di gruppo.
È importante notare che Windows Server Insider attualmente non può modificare la porta TCP 445 con qualcos'altro. Tuttavia, Microsoft consentirà agli amministratori IT di configurare SMB su QUIC per utilizzare altre porte oltre alla porta UDP predefinita 443.