מיקרוסופט מיישמת תמיכה במנדטים להצפנת לקוח SMB ב-Windows 11 לשיפור הרשתות.
טייק אווי מפתח
- תוכנות תצוגה מקדימה של Windows 11 Canary הציגו מנדטים להצפנת לקוח SMB ותמיכה ב-Network-Designated Resolvers (DNR) כדי לשפר את אבטחת הרשת.
- הצפנת SMB מספקת אבטחה מקצה לקצה להעברת נתונים, ומנהלי IT יכולים להגדיר מכונות לקוח לדרוש הצפנת SMB משרת היעד.
- DNR מבטל את הצורך בתצורה ידנית של נקודות קצה על ידי מתן אפשרות למכונות לקוח לעבור אוטומטית לשרתי DNS מוצפנים באמצעות פרוטוקולים מוצפנים כמו DoH ו-DoT.
חסימת הודעות שרת (SMB) היא מרכיב חשוב ביותר בכל הנוגע להבטחת אבטחת רשת מתקדמת ב-Windows 11. מיקרוסופט הפכה את החתימה ל-SMB על התנהגות ברירת המחדל ב-Windows Enterprise build עוד במאי, וגם הייתה לו כמה הנחיות לשתף לגבי תהליך אימות SMB עוד ביוני. כעת, היא הודיעה שהיא מפתחת תמיכה עבור מנדטים להצפנת לקוח SMB ו-Network-Resolvers (DNR) ב-Windows 11.
היישום הראשון של מנדט ההצפנה של לקוח SMB כבר קיים ב Windows 11 Canary build 25982, שהפך זמין רק לפני כמה שעות. הצפנת SMB מופעלת כדי לספק אבטחה מקצה לקצה בזמן העברת נתונים ברשת. זה היה זמין עם SMB 3.0 ב-Windows 8 ו-Windows Server 2012, עם איטרציות עוקבות שהוסיפו תמיכה עבור חבילות קריפטוגרפיות מאובטחות יותר כמו AES-GCM ו-AES-256-GCM.
השיפורים האחרונים לתשתית זו מבטיחים שמנהלי IT יכולים כעת להגדיר את מכונות הלקוח כך שיחייבו גם את השימוש בהצפנת SMB משרת היעד. משמעות הדבר היא שאם SMB 3.x אינו זמין או שההצפנה אינה מוגדרת, מחשב הלקוח יוכל לסרב לחיבור, ובכך להגדיל את אבטחת הרשת הכוללת. מיקרוסופט גם שיתפה את השלבים שמנהלי IT יכולים למנף כדי להגדיר יכולת זו באמצעות מדיניות קבוצתית או PowerShell, אתה יכול לראות אותם כאן.
חברת הטכנולוגיה רדמונד הדגישה שמכיוון שתכונה זו אכן מציבה הגבלות מסוימות על קישוריות, יש איזון מסוים של ביצועים ותאימות שעליך לשים לב אליו. אתה יכול לבחור להשתמש רק בחתימת SMB עבור אבטחה מעט פחותה וביצועים משופרים, אבל אם תאפשר SMB הצפנה, זכור שהיא עדיפה על הקודמת, כך שההתנהגויות של חתימת SMB יושבתו לטובת ההצפנה בהיצע.
שיפור רשת נוסף הקיים ב-Windows 11 Canary build 25982 הוא תמיכה ב-DNR, שהוא בקרוב תקן מ-Internet Engineering Task Force (IETF) כדי לאפשר גילוי יעיל יותר של DNS מוצפן שרתים. עד כה, מחשבי לקוח נדרשו למצוא את כתובת ה-IP של שרת ה-DNS המוצפן אליו הם רוצים להתחבר ולאחר מכן לבצע את התצורות המתאימות. DNR מסיר את הצורך בתצורת נקודת קצה ידנית זו על ידי מינוף פרוטוקולים מוצפנים כמו DNS over HTTPS (DoH) ו-DNS over TLS (DoT) בצד הלקוח.
DNR די מתוחכם ביישום שלו. כאשר מחשב בצד הלקוח עם DNR מופעל מנסה להצטרף לרשת חדשה, הוא שולח בקשה ל-DHCP שרת כדי לקבל כתובת IP, יחד עם ארגומנטים אחרים ספציפיים ל-DNR כמו OPTION_V6_DNR ו OPTION_V4_DNR. שרת ה-DHCP - שכבר מוגדר להשתמש ב-DNR - מגיב לשאילתה זו על ידי שליחת כתובת ה-IP של שרת ה-DNS המוצפן, הפרוטוקולים המוצפנים הנתמכים, היציאות והאימות המשויך מֵידָע. לאחר מכן, המחשב בצד הלקוח משתמש במידע זה כדי לעבור אוטומטית לשרת ה-DNS המוצפן, מבלי שמשתמש הקצה יעשה כל תצורה של נקודת הקצה.
אם אתה מעוניין למנף DNR במחשב Windows 11 Canary, עיין בהנחיות של מיקרוסופט לגבי הפעלת התכונה כאן. שים לב ש-DNR אינו נתמך כעת עבור IPv6 RA מוצפן DNS. כמו כן, זכור כי גם צווי ההצפנה של לקוח SMB וגם התמיכה ב-DNR ב-Windows 11 עדיין נבדק ב-Insider Preview builds ועדיין אין מילה לגבי מתי התכונות ייפתחו בְּפוּמבֵּי.