Microsoft는 Windows 11에서 DNR 및 SMB 클라이언트 암호화 의무에 대한 지원을 구축하고 있습니다.

컴퓨팅Oct 28, 2023

Microsoft는 향상된 네트워킹을 위해 Windows 11에서 DNR(Network-designated Resolvers) 및 SMB 클라이언트 암호화 요구 사항에 대한 지원을 구현하고 있습니다.

주요 시사점

  • Windows 11 Canary 미리 보기 빌드에는 네트워크 보안을 강화하기 위해 SMB 클라이언트 암호화 필수 사항과 DNR(네트워크 지정 확인자) 지원이 도입되었습니다.
  • SMB 암호화는 데이터 전송에 대한 엔드투엔드 보안을 제공하며, IT 관리자는 대상 서버에서 SMB 암호화를 요구하도록 클라이언트 시스템을 구성할 수 있습니다.
  • DNR은 클라이언트 시스템이 DoH 및 DoT와 같은 암호화된 프로토콜을 사용하여 암호화된 DNS 서버에 자동으로 터널링할 수 있도록 함으로써 수동 엔드포인트 구성의 필요성을 제거합니다.

SMB(서버 메시지 블록)는 Windows 11에서 고급 네트워크 보안을 보장하는 데 매우 중요한 구성 요소입니다. Microsoft는 5월에 Windows Enterprise 빌드에서 SMB 서명을 기본 동작으로 설정했으며 다음과 관련하여 몇 가지 지침을 공유했습니다. 6월부터 SMB 인증 절차 진행. 이제 Windows 11에서 SMB 클라이언트 암호화 필수 사항 및 DNR(네트워크 지정 확인자)에 대한 지원을 개발 중이라고 발표했습니다.

SMB 클라이언트 암호화 의무의 첫 번째 구현은 이미 다음과 같습니다. Windows 11 카나리아 빌드 25982, 불과 몇 시간 전에 사용할 수 있게 되었습니다. SMB 암호화는 네트워크를 통해 데이터를 전송하는 동안 종단 간 보안을 제공하기 위해 활용됩니다. Windows 8 및 Windows Server 2012의 SMB 3.0에서 사용할 수 있었으며 후속 반복에는 AES-GCM 및 AES-256-GCM과 같은 보다 안전한 암호화 제품군에 대한 지원이 추가되었습니다.

이 인프라의 최신 개선 사항을 통해 이제 IT 관리자는 대상 서버에서 SMB 암호화 사용을 의무화하도록 클라이언트 시스템을 구성할 수 있습니다. 즉, SMB 3.x를 사용할 수 없거나 암호화가 구성되지 않은 경우 클라이언트 시스템이 연결을 거부할 수 있으므로 전체 네트워크 보안이 향상됩니다. Microsoft는 또한 IT 관리자가 그룹 정책 또는 PowerShell을 통해 이 기능을 구성하기 위해 활용할 수 있는 단계를 공유했습니다. 이를 볼 수 있습니다.

여기.

Redmond 기술 회사는 이 기능이 연결에 일부 제한을 두기 때문에 염두에 두어야 할 특정 성능과 호환성 균형이 있다고 강조했습니다. 약간 낮은 보안과 향상된 성능을 위해 SMB 서명만 사용하도록 선택할 수 있지만 SMB를 활성화하는 경우 암호화는 이전보다 우수하므로 암호화를 위해 SMB 서명 동작이 비활성화됩니다. 제공 중입니다.

Windows 11 Canary 빌드 25982의 또 다른 네트워킹 개선 사항은 곧 출시될 DNR 지원입니다. 암호화된 DNS를 보다 효율적으로 검색할 수 있도록 IETF(Internet Engineering Task Force)의 표준 서버. 지금까지 클라이언트 시스템은 연결하려는 암호화된 DNS 서버의 IP 주소를 찾은 다음 적절한 구성을 수행해야 했습니다. DNR은 클라이언트 측에서 DoH(DNS over HTTPS) 및 DoT(DNS over TLS)와 같은 암호화된 프로토콜을 활용하여 이러한 수동 엔드포인트 구성의 필요성을 제거합니다.

DNR은 구현이 매우 정교합니다. DNR이 활성화된 클라이언트 측 시스템이 새 네트워크에 연결을 시도하면 DHCP에 요청을 보냅니다. OPTION_V6_DNR과 같은 DNR과 관련된 다른 인수와 함께 IP 주소를 수신하는 서버 OPTION_V4_DNR. DNR을 사용하도록 이미 구성된 DHCP 서버는 IP 주소를 통해 전송하여 이 쿼리에 응답합니다. 암호화된 DNS 서버, 지원되는 암호화된 프로토콜, 포트 및 관련 인증 정보. 그런 다음 클라이언트 측 시스템은 이 정보를 활용하여 최종 사용자가 엔드포인트 구성을 수행하지 않고도 암호화된 DNS 서버에 자동으로 터널링합니다.

Windows 11 Canary 시스템에서 DNR을 활용하는 데 관심이 있는 경우 해당 기능 활성화에 관한 Microsoft의 지침을 확인하세요. 여기. 현재 IPv6 RA 암호화된 DNS에는 DNR이 지원되지 않습니다. 또한 Windows 11의 SMB 클라이언트 암호화 요구 사항과 DNR 지원은 모두 여전히 유효합니다. Insider Preview 빌드에서 테스트 중이며 기능이 언제 출시될지는 아직 알려지지 않았습니다. 공개적으로.