Microsoft ახორციელებს მხარდაჭერას ქსელის მიერ დანიშნულ Resolvers (DNR) და SMB კლიენტის დაშიფვრის მანდატებისთვის Windows 11-ში გაუმჯობესებული ქსელისთვის.
გასაღები Takeaways
- Windows 11 Canary-ის წინასწარი გადახედვის ნაგებობებმა შემოიტანა SMB კლიენტის დაშიფვრის მანდატები და მხარდაჭერა ქსელის მიერ დანიშნული გადამწყვეტებისთვის (DNR) ქსელის უსაფრთხოების გასაძლიერებლად.
- SMB დაშიფვრა უზრუნველყოფს მონაცემთა გადაცემის ბოლომდე უსაფრთხოებას, ხოლო IT ადმინისტრატორებს შეუძლიათ კლიენტის მანქანების კონფიგურაცია ისე, რომ მოითხოვონ SMB დაშიფვრა დანიშნულების სერვერიდან.
- DNR გამორიცხავს ხელით საბოლოო წერტილის კონფიგურაციის აუცილებლობას, რაც საშუალებას აძლევს კლიენტის მანქანებს ავტომატურად გვირაბი გაიარონ დაშიფრულ DNS სერვერებზე დაშიფრული პროტოკოლების გამოყენებით, როგორიცაა DoH და DoT.
სერვერის შეტყობინებების ბლოკი (SMB) უაღრესად მნიშვნელოვანი კომპონენტია Windows 11-ში გაფართოებული ქსელის უსაფრთხოების უზრუნველყოფისას. მაიკროსოფტმა მაისში დააწესა SMB ხელმოწერის ნაგულისხმევი ქცევა Windows Enterprise-ში და ასევე ჰქონდა გარკვეული მითითებები გასაზიარებლად.
SMB ავთენტიფიკაციის პროცესი ჯერ კიდევ ივნისში. ახლა, მან გამოაცხადა, რომ ავითარებს მხარდაჭერას SMB კლიენტის დაშიფვრის მანდატებისა და ქსელის მიერ დანიშნული გადამწყვეტებისთვის (DNR) Windows 11-ში.SMB კლიენტის დაშიფვრის მანდატის პირველი განხორციელება უკვე არსებობს Windows 11 Canary build 25982, რომელიც სულ რამდენიმე საათის წინ გახდა ხელმისაწვდომი. SMB დაშიფვრა გამოიყენება, რათა უზრუნველყოს ბოლომდე უსაფრთხოება ქსელში მონაცემთა გადაცემისას. ის ხელმისაწვდომი იყო SMB 3.0-ით Windows 8-ზე და Windows Server 2012-ზე, შემდგომი გამეორებებით დაემატა მხარდაჭერა უფრო უსაფრთხო კრიპტოგრაფიული კომპლექტების, როგორიცაა AES-GCM და AES-256-GCM.
ამ ინფრასტრუქტურის უახლესი გაუმჯობესებები უზრუნველყოფს, რომ IT ადმინისტრატორებს ახლა შეუძლიათ კლიენტის მანქანების კონფიგურაცია, რათა ასევე დაავალონ SMB დაშიფვრის გამოყენება დანიშნულების სერვერიდან. ეს ნიშნავს, რომ თუ SMB 3.x არ არის ხელმისაწვდომი ან დაშიფვრა არ არის კონფიგურირებული, კლიენტის მანქანას შეეძლება უარი თქვას კავშირზე, რითაც გაზრდის საერთო ქსელის უსაფრთხოებას. Microsoft-მა ასევე გააზიარა ის ნაბიჯები, რომლებიც IT ადმინისტრატორებს შეუძლიათ გამოიყენონ ამ შესაძლებლობის კონფიგურაციისთვის ჯგუფის პოლიტიკის ან PowerShell-ის მეშვეობით, შეგიძლიათ მათი ნახვა აქ.
რედმონდის ტექნიკურმა ფირმამ ხაზგასმით აღნიშნა, რომ ვინაიდან ეს ფუნქცია აწესებს გარკვეულ შეზღუდვებს კავშირის შესახებ, არსებობს გარკვეული შესრულებისა და თავსებადობის ბალანსი, რომელიც უნდა გაითვალისწინოთ. თქვენ შეგიძლიათ გამოიყენოთ მხოლოდ SMB ხელმოწერა ოდნავ ნაკლები უსაფრთხოებისთვის და გაუმჯობესებული მუშაობისთვის, მაგრამ თუ ჩართავთ SMB-ს დაშიფვრა, გახსოვდეთ, რომ ის პირველზე სჯობს, ამიტომ SMB ხელმოწერის ქცევა გამორთული იქნება დაშიფვრის სასარგებლოდ შემოთავაზებაზე.
Windows 11 Canary build 25982-ში კიდევ ერთი ქსელის გაუმჯობესება არის DNR-ის მხარდაჭერა, რომელიც არის მომავალი სტანდარტი ინტერნეტ ინჟინერიის სამუშაო ჯგუფისგან (IETF) დაშიფრული DNS-ის უფრო ეფექტური აღმოჩენის დასაშვებად სერვერები. აქამდე კლიენტის აპარატებს მოეთხოვებოდათ დაშიფრული DNS სერვერის IP მისამართის პოვნა, რომელთანაც სურთ დაკავშირება და შემდეგ შესაბამისი კონფიგურაციების გაკეთება. DNR ხსნის ამ ხელით საბოლოო წერტილის კონფიგურაციის საჭიროებას დაშიფრული პროტოკოლების გამოყენებით, როგორიცაა DNS HTTPS-ზე (DoH) და DNS TLS-ზე (DoT) კლიენტის მხარეს.
DNR საკმაოდ დახვეწილია მის განხორციელებაში. როდესაც კლიენტის მხარის აპარატი DNR ჩართულით ცდილობს ახალ ქსელში შეერთებას, ის აგზავნის მოთხოვნას DHCP-ს სერვერი მიიღოს IP მისამართი, სხვა არგუმენტებთან ერთად, რომლებიც სპეციფიკურია DNR-სთვის, როგორიცაა OPTION_V6_DNR და OPTION_V4_DNR. DHCP სერვერი - რომელიც უკვე კონფიგურირებულია DNR-ის გამოსაყენებლად - პასუხობს ამ შეკითხვას IP მისამართის გაგზავნით დაშიფრული DNS სერვერის, მხარდაჭერილი დაშიფრული პროტოკოლების, პორტების და დაკავშირებული ავთენტიფიკაციის შესახებ ინფორმაცია. კლიენტის მხარის აპარატი იყენებს ამ ინფორმაციას დაშიფრული DNS სერვერის ავტომატური გვირაბის მისაღებად, საბოლოო მომხმარებლის მიერ რაიმე საბოლოო კონფიგურაციის გარეშე.
თუ გაინტერესებთ DNR-ის გამოყენება Windows 11 Canary აპარატზე, გაეცანით Microsoft-ის მითითებებს ფუნქციის ჩართვასთან დაკავშირებით აქ. გაითვალისწინეთ, რომ DNR ამჟამად არ არის მხარდაჭერილი IPv6 RA დაშიფრული DNS-ისთვის. ასევე გაითვალისწინეთ, რომ როგორც SMB კლიენტის დაშიფვრის მანდატები, ასევე DNR-ის მხარდაჭერა Windows 11-ში კვლავ რჩება მიმდინარეობს ტესტირება Insider Preview-ში და ჯერ არ არის ნათქვამი, როდის გამოვა ფუნქციები საჯაროდ.