Microsoft는 Windows 11에서 SMB 방화벽 규칙 변경 사항 및 대체 포트를 테스트하고 있습니다.

컴퓨팅Nov 23, 2023

Microsoft는 최신 Windows 11 Canary 빌드 25992에서 SMB 방화벽 동작과 대체 포트 사용 가능성을 일부 변경했습니다.

주요 시사점

  • Windows 11 Insider Preview 빌드는 네트워크 보안을 개선하기 위해 기본 SMB 공유 동작을 변경하여 이전 SMB1 포트 없이 제한적인 방화벽 규칙 그룹을 자동으로 활성화합니다.
  • Microsoft는 향후 필수 포트만 열고 ICMP, LLMNR 및 스풀러 서비스 인바운드 포트를 닫아 SMB 연결을 더욱 안전하게 만드는 것을 목표로 합니다.
  • 이제 SMB 클라이언트는 TCP, QUIC 및 RDMA를 통한 대체 포트를 통해 서버에 연결할 수 있으므로 IT 관리자의 구성 및 사용자 정의에 대한 유연성이 향상됩니다.

마이크로소프트가 만들어온 여러 가지 개선 사항 지난 몇 년 동안 SMB(서버 메시지 블록)로 전환되었습니다. Windows 11 Home은 더 이상 SMB1과 함께 제공되지 않습니다. 보안상의 이유로 Redmond 기술 대기업도 최근 테스트 지원을 시작했습니다. SMB3.x의 DNR(Network-Designated Resolvers) 및 클라이언트 암호화 규정에 대한 것입니다. 오늘 발표한 최신 Windows 11 Insider 출시로 클라이언트-서버 통신 프로토콜이 추가로 변경되었습니다. 짓다.

불과 몇 시간 전에 출시되기 시작한 Windows 11 Insider Preview Canary 빌드 25992는 SMB 공유 생성과 관련하여 Windows Defender의 기본 동작을 변경합니다. Windows XP 서비스 팩 2 출시 이후 SMB 공유를 생성하면 선택한 방화벽 프로필에 대해 "파일 및 프린터 공유" 규칙 그룹이 자동으로 활성화됩니다. 이는 SMB1을 염두에 두고 구현되었으며 SMB 장치 및 서비스와의 배포 유연성과 연결성을 향상하도록 설계되었습니다.

그러나 최신 Windows 11 Insider Preview 빌드에서 SMB 공유를 생성하면 운영 체제는 자동으로 활성화 인바운드 NetBIOS 포트 137, 138 및 139를 포함하지 않는 "파일 및 프린터 공유(제한적)" 그룹. 이는 이러한 포트가 SMB1에서 활용되고 SMB2 이상에서는 활용되지 않기 때문입니다. 이는 또한 일부 레거시 이유로 SMB1을 활성화하는 경우 방화벽에서 해당 포트를 다시 열어야 함을 의미합니다.

Microsoft는 이러한 구성 변경을 통해 기본적으로 필요한 포트만 열리므로 더 높은 수준의 네트워크 보안이 보장될 것이라고 밝혔습니다. 즉, 이는 기본 구성일 뿐이며 IT 관리자는 원하는 대로 모든 방화벽 그룹을 수정할 수 있다는 점에 유의하는 것이 중요합니다. 그러나 Redmond 회사는 필수 포트만 열어서 SMB 연결을 더욱 안전하게 만들려고 노력하고 있다는 점을 명심하십시오. ICMP(인터넷 제어 메시지 프로토콜), LLMNR(링크-로컬 멀티캐스트 이름 확인) 및 스풀러 서비스 인바운드 포트를 종료합니다. 미래.

포트에 관해 이야기하면서 Microsoft는 또 다른 포트도 발표했습니다. 블로그 게시물 SMB 연결의 대체 포트 변경 사항을 설명합니다. 이제 SMB 클라이언트는 TCP, QUIC 및 RDMA를 통한 대체 포트를 통해 SMB 서버에 연결할 수 있습니다. 이전에는 SMB 서버에서 인바운드 연결에 TCP 포트 445를 사용해야 했으며, SMB TCP 클라이언트는 동일한 포트에 아웃바운드로 연결했습니다. 이 구성은 변경할 수 없습니다. 그러나 QUIC를 통한 SMB를 사용하면 UDP 포트 443을 클라이언트 서비스와 서버 서비스 모두에서 사용할 수 있습니다.

SMB 클라이언트는 SMB 서버가 특정 포트를 지원하고 이를 수신하는 한 다양한 다른 포트를 통해 SMB 서버에 연결할 수도 있습니다. IT 관리자는 특정 서버에 대해 특정 포트를 구성할 수 있으며 그룹 정책을 통해 대체 포트를 완전히 차단할 수도 있습니다. Microsoft는 NET USE 및 New-SmbMapping을 사용하여 대체 포트를 매핑하거나 그룹 정책을 통해 포트 사용을 제어하는 ​​방법에 대한 자세한 지침을 제공했습니다.

Windows Server 참가자는 현재 TCP 포트 445를 다른 포트로 변경할 수 없다는 점에 유의하는 것이 중요합니다. 그러나 Microsoft는 IT 관리자가 기본 UDP 포트 443 외에 다른 포트를 사용하도록 SMB over QUIC를 구성할 수 있도록 할 것입니다.