Microsoft ამოწმებს SMB firewall-ის წესების ცვლილებებს და ალტერნატიულ პორტებს Windows 11-ში

Microsoft-მა შეიტანა გარკვეული ცვლილებები SMB firewall-ის ქცევებში და ალტერნატიული პორტების გამოყენების შესაძლებლობას უახლეს Windows 11 Canary build 25992-ში.

გასაღები Takeaways

  • Windows 11 Insider Preview build ცვლის ნაგულისხმევი SMB გაზიარების ქცევას, რათა გააუმჯობესოს ქსელის უსაფრთხოება, ავტომატურად ჩართოს შემზღუდავი firewall-ის წესების ჯგუფი ძველი SMB1 პორტების გარეშე.
  • Microsoft მიზნად ისახავს SMB კავშირის კიდევ უფრო უსაფრთხო გახადოს მხოლოდ სავალდებულო პორტების გახსნით და მომავალში ICMP, LLMNR და Spooler Service შემომავალი პორტების დახურვით.
  • SMB კლიენტებს ახლა შეუძლიათ სერვერებთან დაკავშირება ალტერნატიული პორტების მეშვეობით TCP, QUIC და RDMA, რაც უზრუნველყოფს უფრო მეტ მოქნილობას კონფიგურაციისა და პერსონალიზაციისთვის IT ადმინისტრატორების მიერ.

მაიკროსოფტი აწარმოებს რამდენიმე გაუმჯობესება სერვერის შეტყობინებების ბლოკზე (SMB) ბოლო რამდენიმე წლის განმავლობაში. Windows 11 Home აღარ გამოდის SMB1-ით უსაფრთხოების მიზეზების გამო და რედმონდის ტექნოლოგიურ გიგანტსაც აქვს ახლახან დაიწყო მხარდაჭერის ტესტირება

ქსელის მიერ დანიშნული გადამწყვეტებისთვის (DNR) და კლიენტის დაშიფვრის მანდატებისთვის SMB3.x-ში. დღეს ამის შესახებ განცხადება გააკეთა შემდგომი ცვლილებები კლიენტ-სერვერის კომუნიკაციის პროტოკოლში უახლესი Windows 11 Insider-ის გამოშვებით აშენება.

Windows 11 Insider Preview Canary build 25992, რომელიც სულ რამდენიმე საათის წინ დაიწყო, ცვლის Windows Defender-ის ნაგულისხმევ ქცევას, როდესაც საქმე ეხება SMB წილის შექმნას. Windows XP Service Pack 2-ის გამოშვების დღიდან, SMB გაზიარების შექმნამ ავტომატურად გაააქტიურა "ფაილისა და პრინტერის გაზიარების" წესების ჯგუფი შერჩეული ფაირვოლ პროფილებისთვის. ეს განხორციელდა SMB1-ის გათვალისწინებით და შექმნილია განლაგების მოქნილობისა და SMB მოწყობილობებთან და სერვისებთან დაკავშირების გასაუმჯობესებლად.

თუმცა, როდესაც თქვენ შექმნით SMB წილს Windows 11 Insider Preview-ის უახლეს ვერსიაში, ოპერაციული სისტემა ავტომატურად ჩართვა "ფაილისა და პრინტერის გაზიარება (შეზღუდული)" ჯგუფი, რომელიც არ შეიცავს შემომავალ NetBIOS პორტებს 137, 138 და 139. ეს იმიტომ ხდება, რომ ეს პორტები გამოყენებულია SMB1-ის მიერ და არ გამოიყენება SMB2-ის ან უფრო გვიან. ეს ასევე ნიშნავს, რომ თუ ჩართავთ SMB1-ს რაიმე ძველი მიზეზის გამო, მოგიწევთ ხელახლა გახსნათ ეს პორტები თქვენს Firewall-ში.

Microsoft ამბობს, რომ კონფიგურაციის ეს ცვლილება უზრუნველყოფს ქსელის უსაფრთხოების უფრო მაღალ დონეს, რადგან მხოლოდ საჭირო პორტები იხსნება ნაგულისხმევად. ამის თქმით, მნიშვნელოვანია აღინიშნოს, რომ ეს მხოლოდ ნაგულისხმევი კონფიგურაციაა, IT ადმინისტრატორებს მაინც შეუძლიათ შეცვალონ ნებისმიერი firewall ჯგუფი მათი სურვილის მიხედვით. თუმცა, გახსოვდეთ, რომ რედმონდის ფირმა ცდილობს SMB კავშირი კიდევ უფრო უსაფრთხო გახადოს მხოლოდ სავალდებულო პორტების გახსნით და ინტერნეტის კონტროლის შეტყობინებების პროტოკოლის (ICMP), Link-Local Multicast Name Resolution (LLMNR) და Spooler Service შემომავალი პორტების დახურვა მომავალი.

პორტებზე საუბრისას, Microsoft-მა კიდევ ერთი გამოაქვეყნა ბლოგის პოსტი SMB კავშირის ალტერნატიული პორტის ცვლილებების აღწერისთვის. SMB კლიენტებს ახლა შეუძლიათ SMB სერვერებთან დაკავშირება ალტერნატიული პორტების მეშვეობით TCP, QUIC და RDMA. მანამდე, SMB სერვერები ავალდებულებდნენ TCP პორტის 445 გამოყენებას შემომავალი კავშირებისთვის, SMB TCP კლიენტები აკავშირებდნენ გამავალ იმავე პორტს; ამ კონფიგურაციის შეცვლა შეუძლებელია. თუმცა, SMB-ზე QUIC-ზე, UDP პორტი 443 შეიძლება გამოყენებულ იქნას როგორც კლიენტის, ასევე სერვერის სერვისების მიერ.

SMB კლიენტებს ასევე შეუძლიათ SMB სერვერებთან დაკავშირება სხვადასხვა სხვა პორტების საშუალებით, სანამ ეს უკანასკნელი მხარს უჭერს კონკრეტულ პორტს და უსმენს მას. IT ადმინისტრატორებს შეუძლიათ კონკრეტული პორტების კონფიგურაცია კონკრეტული სერვერებისთვის და ალტერნატიული პორტების სრულად დაბლოკვაც კი ჯგუფის პოლიტიკის საშუალებით. Microsoft-მა მოგვაწოდა დეტალური ინსტრუქციები იმის შესახებ, თუ როგორ შეგიძლიათ ალტერნატიული პორტების რუკა NET USE-ით და New-SmbMapping-ით, ან აკონტროლოთ პორტების გამოყენება ჯგუფური პოლიტიკის მეშვეობით.

მნიშვნელოვანია აღინიშნოს, რომ Windows Server Insiders-ს ამჟამად არ შეუძლია TCP პორტის 445 შეცვლა სხვაზე. თუმცა, Microsoft საშუალებას მისცემს IT ადმინისტრატორებს დააკონფიგურირონ SMB QUIC-ზე, რათა გამოიყენონ სხვა პორტები, გარდა ნაგულისხმევი UDP პორტი 443.