מיקרוסופט בודקת שינויים בכללי חומת האש של SMB ויציאות חלופיות ב-Windows 11

מחשובNov 23, 2023
click fraud protection

מיקרוסופט ביצעה כמה שינויים בהתנהגויות של חומת אש SMB ובאפשרות להשתמש ביציאות חלופיות בגרסה האחרונה של Windows 11 Canary build 25992.

טייק אווי מפתח

  • Windows 11 Insider Preview build משנה את התנהגות ברירת המחדל של שיתוף SMB כדי לשפר את אבטחת הרשת, ומאפשרת באופן אוטומטי קבוצת חוקים מגבילה של חומת אש ללא יציאות SMB1 הישנות.
  • מיקרוסופט שואפת להפוך את קישוריות SMB לאבטחה עוד יותר על ידי פתיחת יציאות חובה בלבד וסגירת יציאות נכנסות של ICMP, LLMNR ו-Spooler Service בעתיד.
  • לקוחות SMB יכולים כעת להתחבר לשרתים דרך יציאות חלופיות דרך TCP, QUIC ו-RDMA, מה שמספק גמישות רבה יותר לתצורה והתאמה אישית על ידי מנהלי IT.

מיקרוסופט יצרה מספר שיפורים לחסום הודעות שרת (SMB) במהלך השנים האחרונות. Windows 11 Home כבר לא נשלח עם SMB1 מסיבות ביטחוניות, וגם ענקית הטכנולוגיה רדמונד עשתה זאת החל לאחרונה בבדיקת תמיכה עבור Resolvers המיועדים לרשת (DNR) ומנדטים להצפנת לקוח ב-SMB3.x. היום, זה הודיע שינויים נוספים בפרוטוקול התקשורת של שרת-לקוח עם השקת ה-Windows 11 Insider העדכני ביותר לִבנוֹת.

Windows 11 Insider Preview Canary build 25992, שהחל לצאת רק לפני מספר שעות, משנה את התנהגות ברירת המחדל של Windows Defender בכל הנוגע ליצירת שיתוף SMB. מאז השקת Windows XP Service Pack 2, יצירת שיתוף SMB הפעילה אוטומטית את קבוצת הכללים "שיתוף קבצים ומדפסות" עבור פרופילי חומת האש שנבחרו. זה יושם מתוך מחשבה על SMB1 ונועד לשפר את גמישות הפריסה והקישוריות עם התקנים ושירותי SMB.

עם זאת, כאשר אתה יוצר שיתוף SMB במבנה האחרון של Windows 11 Insider Preview, מערכת ההפעלה תעשה זאת הפעלה אוטומטית קבוצה "שיתוף קבצים ומדפסות (מגביל)", שלא תכיל את יציאות NetBIOS הנכנסות 137, 138 ו-139. הסיבה לכך היא שהיציאות הללו ממונפות על ידי SMB1, ואינן מנוצלות על ידי SMB2 ואילך. זה גם אומר שאם תפעיל את SMB1 מסיבה מדור קודם, תצטרך לפתוח מחדש את היציאות האלה בחומת האש שלך.

מיקרוסופט אומרת ששינוי תצורה זה יבטיח רמה גבוהה יותר של אבטחת רשת מכיוון שרק היציאות הנדרשות נפתחות כברירת מחדל. עם זאת, חשוב לציין שזוהי רק תצורת ברירת המחדל, מנהלי IT עדיין יכולים לשנות כל קבוצת חומת אש לפי טעמם. עם זאת, זכור שחברת רדמונד מחפשת להפוך את קישוריות SMB לאבטחה עוד יותר על ידי פתיחת יציאות חובה בלבד סגירת פרוטוקול הודעות שליטה באינטרנט (ICMP), רזולוציית שם ריבוי שידורים קישור מקומי (LLMNR) ויציאות נכנסות של שירות ספולר ב- עתיד.

אם כבר מדברים על יציאות, מיקרוסופט פרסמה גם אחרת פוסט בבלוג כדי לתאר שינויים ביציאה חלופית בקישוריות SMB. לקוחות SMB יכולים כעת להתחבר לשרתי SMB דרך יציאות חלופיות דרך TCP, QUIC ו-RDMA. בעבר, שרתי SMB קבעו שימוש ביציאת TCP 445 עבור חיבורים נכנסים, כאשר לקוחות SMB TCP מתחברים יוצאים לאותה יציאה; לא ניתן היה לשנות את התצורה הזו. עם זאת, עם SMB על QUIC, יציאת UDP 443 יכולה לשמש גם שירותי לקוח ושרת.

לקוחות SMB יכולים גם להתחבר לשרתי SMB דרך יציאות שונות אחרות כל עוד האחרון תומך ביציאה מסוימת ומאזין לה. מנהלי IT יכולים להגדיר יציאות ספציפיות עבור שרתים ספציפיים, ואפילו לחסום יציאות חלופיות באופן מלא באמצעות מדיניות קבוצתית. מיקרוסופט סיפקה הנחיות מפורטות כיצד ניתן למפות יציאות חלופיות עם NET USE ו-New-SmbMapping, או לשלוט בשימוש ביציאות באמצעות מדיניות קבוצתית.

חשוב לציין ש-Windows Server Insiders לא יכולים כרגע לשנות את יציאת TCP 445 למשהו אחר. עם זאת, מיקרוסופט תאפשר למנהלי IT להגדיר את SMB מעל QUIC להשתמש ביציאות אחרות מלבד יציאת ברירת המחדל של UDP 443.