Microsoft は、Windows 11 での DNR および SMB クライアント暗号化義務のサポートを構築中です

コンピューティングOct 28, 2023

Microsoft は、ネットワークを改善するために、Windows 11 でネットワーク指定リゾルバー (DNR) と SMB クライアント暗号化義務のサポートを実装しています。

重要なポイント

  • Windows 11 Canary プレビュー ビルドでは、SMB クライアント暗号化の義務とネットワーク指定リゾルバー (DNR) のサポートが導入され、ネットワーク セキュリティが強化されています。
  • SMB 暗号化はデータ転送にエンドツーエンドのセキュリティを提供し、IT 管理者は宛先サーバーからの SMB 暗号化を要求するようにクライアント マシンを構成できます。
  • DNR を使用すると、クライアント マシンが DoH や DoT などの暗号化プロトコルを使用して暗号化された DNS サーバーに自動的にトンネルできるため、手動のエンドポイント構成が不要になります。

サーバー メッセージ ブロック (SMB) は、Windows 11 で高度なネットワーク セキュリティを確保する上で非常に重要なコンポーネントです。 Microsoft は 5 月に Windows Enterprise ビルドで SMB 署名をデフォルトの動作とし、SMB 署名に関するいくつかのガイダンスを共有しました。 SMB 認証プロセスは 6 月に遡ります. 今回、Windows 11 での SMB クライアント暗号化義務とネットワーク指定リゾルバー (DNR) のサポートを開発中であると発表しました。

SMB クライアント暗号化義務の最初の実装は、すでに Windows 11 カナリア ビルド 25982、つい数時間前に利用可能になりました。 SMB 暗号化は、ネットワーク上でデータを転送する際にエンドツーエンドのセキュリティを提供するために利用されます。 これは、Windows 8 および Windows Server 2012 上の SMB 3.0 で利用可能であり、その後の反復により、AES-GCM や AES-256-GCM などのより安全な暗号化スイートのサポートが追加されました。

このインフラストラクチャの最新の機能強化により、IT 管理者は、宛先サーバーからの SMB 暗号化の使用を必須にするようにクライアント マシンを構成できるようになりました。 つまり、SMB 3.x が利用できない場合、または暗号化が構成されていない場合、クライアント マシンは接続を拒否できるため、ネットワーク全体のセキュリティが向上します。 Microsoft は、IT 管理者がグループ ポリシーまたは PowerShell を介してこの機能を構成するために利用できる手順も共有しています。これらの手順は参照できます。

ここ.

レドモンドのテクノロジー企業は、この機能は接続にある程度の制限を課すため、一定のパフォーマンスと互換性のバランスに留意する必要があると強調しました。 セキュリティをわずかに低下させてパフォーマンスを向上させるために、SMB 署名のみを使用することを選択することもできますが、SMB を有効にすると、 暗号化は前者よりも優れているため、暗号化を優先して SMB 署名の動作が無効になることに注意してください。 提供中です。

Windows 11 Canary ビルド 25982 に含まれるネットワークのもう 1 つの改善点は、DNR のサポートです。 暗号化された DNS のより効率的な検出を可能にする Internet Engineering Task Force (IETF) の標準 サーバー。 これまで、クライアント マシンは、接続する暗号化された DNS サーバーの IP アドレスを見つけて、適切な構成を行う必要がありました。 DNR は、クライアント側で DNS over HTTPS (DoH) や DNS over TLS (DoT) などの暗号化プロトコルを利用することで、この手動のエンドポイント構成の必要性を排除します。

DNR は実装において非常に洗練されています。 DNR が有効になっているクライアント側マシンが新しいネットワークに参加しようとすると、DHCP にリクエストを送信します。 サーバーは、OPTION_V6_DNR や OPTION_V6_DNR などの DNR に固有の他の引数とともに、IP アドレスを受け取ります。 オプション_V4_DNR。 DHCP サーバーは、DNR を使用するようにすでに構成されており、IP アドレスを送信することでこのクエリに応答します。 暗号化された DNS サーバー、サポートされている暗号化プロトコル、ポート、および関連する認証の情報 情報。 次に、クライアント側マシンはこの情報を利用して、エンドユーザーがエンドポイント構成を行うことなく、暗号化された DNS サーバーに自動的にトンネルします。

Windows 11 Canary マシンで DNR を活用することに興味がある場合は、機能の有効化に関する Microsoft のガイダンスを確認してください。 ここ. 現在、DNR は IPv6 RA 暗号化 DNS ではサポートされていないことに注意してください。 また、SMB クライアント暗号化の義務付けと Windows 11 での DNR のサポートはまだ残っていることにも注意してください。 Insider Preview ビルドでテストされており、機能がいつ公開されるかについてはまだ発表されていません 公に。