Microsoft は、最新の Windows 11 Canary ビルド 25992 で SMB ファイアウォールの動作と代替ポートの使用の可能性にいくつかの変更を加えました。
重要なポイント
- Windows 11 Insider Preview ビルドでは、ネットワーク セキュリティを向上させるためにデフォルトの SMB 共有動作が変更され、古い SMB1 ポートを使用しない制限的なファイアウォール ルール グループが自動的に有効になります。
- Microsoft は、将来的に必須ポートのみを開き、ICMP、LLMNR、およびスプーラー サービスの受信ポートを閉じることで、SMB 接続の安全性をさらに高めることを目指しています。
- SMB クライアントは、TCP、QUIC、および RDMA の代替ポートを介してサーバーに接続できるようになり、IT 管理者による構成とカスタマイズの柔軟性が向上しました。
マイクロソフトが作ってきた いくつかの機能強化 過去数年間にサーバー メッセージ ブロック (SMB) に移行しました。 Windows 11 Home には SMB1 が同梱されなくなりました セキュリティ上の理由から、レドモンドのテクノロジー巨人はまた、 最近テストサポートを開始しました SMB3.x でのネットワーク指定リゾルバー (DNR) とクライアント暗号化義務について。 本日、発表されました 最新の Windows 11 Insider の展開によるクライアント/サーバー通信プロトコルのさらなる変更 建てる。
ほんの数時間前に公開が開始された Windows 11 Insider Preview Canary ビルド 25992 では、SMB 共有の作成に関する Windows Defender の既定の動作が変更されます。 Windows XP Service Pack 2 のリリース以降、SMB 共有を作成すると、選択したファイアウォール プロファイルの「ファイルとプリンターの共有」ルール グループが自動的に有効になりました。 これは SMB1 を念頭に実装されており、導入の柔軟性と SMB デバイスおよびサービスとの接続性を向上させるように設計されています。
ただし、最新の Windows 11 Insider Preview ビルドで SMB 共有を作成すると、オペレーティング システムは
Microsoft は、この構成変更により、デフォルトでは必要なポートのみが開かれるため、より高いレベルのネットワーク セキュリティが確保されると述べています。 ただし、これは単なるデフォルト構成であり、IT 管理者は好みに応じてファイアウォール グループを変更できることに注意することが重要です。 ただし、レドモンドの会社は、必須のポートのみを開くことで SMB 接続をさらに安全にしようとしていることに留意してください。 インターネット制御メッセージ プロトコル (ICMP)、リンクローカル マルチキャスト名前解決 (LLMNR)、およびスプーラー サービスの受信ポートを閉じます。 未来。
ポートについて言えば、Microsoft は別のポートも公開しています。 ブログ投稿 SMB 接続における代替ポートの変更について説明します。 SMB クライアントは、TCP、QUIC、RDMA 上の代替ポートを介して SMB サーバーに接続できるようになりました。 以前は、SMB サーバーは受信接続に TCP ポート 445 を使用することを義務付けており、SMB TCP クライアントは同じポートに送信接続します。 この構成は変更できませんでした。 ただし、SMB over QUIC では、クライアント サービスとサーバー サービスの両方で UDP ポート 443 を使用できます。
SMB クライアントは、SMB サーバーが特定のポートをサポートし、それをリッスンする限り、他のさまざまなポートを通じて SMB サーバーに接続することもできます。 IT 管理者は、特定のサーバーに特定のポートを構成したり、グループ ポリシーを通じて代替ポートを完全にブロックしたりできます。 Microsoft は、NET USE および New-SmbMapping を使用して代替ポートをマップする方法、またはグループ ポリシーを通じてポートの使用を制御する方法に関する詳細な手順を提供しています。
現在、Windows Server Insider は TCP ポート 445 を他のポートに変更できないことに注意することが重要です。 ただし、Microsoft では、IT 管理者がデフォルトの UDP ポート 443 以外のポートを使用するように SMB over QUIC を構成できるようにします。