„Microsoft“ įdiegia tinklo paskirtų sprendinių (DNR) ir SMB klientų šifravimo įpareigojimų palaikymą sistemoje „Windows 11“, kad patobulintų tinklą.
Key Takeaways
- „Windows 11 Canary“ peržiūros versijose buvo įdiegti SMB kliento šifravimo įpareigojimai ir tinklo paskirtų sprendžiamųjų (DNR) palaikymas, siekiant pagerinti tinklo saugumą.
- SMB šifravimas užtikrina visišką duomenų perdavimo saugą, o IT administratoriai gali sukonfigūruoti klientų įrenginius taip, kad paskirties serveris reikalautų SMB šifravimo.
- DNR pašalina neautomatinio galutinio taško konfigūravimo poreikį, nes leidžia klientų įrenginiams automatiškai pereiti prie šifruotų DNS serverių naudojant šifruotus protokolus, tokius kaip DoH ir DoT.
Serverio pranešimų blokas (SMB) yra labai svarbus komponentas, kai reikia užtikrinti pažangią tinklo saugą sistemoje „Windows 11“. „Microsoft“ gegužę nustatė, kad SMB pasirašymas yra numatytasis „Windows Enterprise“ versijos veiksmas, taip pat turėjo tam tikrų nurodymų, susijusių su SMB autentifikavimo procesas dar birželio mėn
Pirmasis SMB kliento šifravimo įgaliojimas jau įdiegtas Windows 11 Canary build 25982, kuris tapo prieinamas vos prieš kelias valandas. SMB šifravimas naudojamas siekiant užtikrinti visišką saugumą perduodant duomenis tinklu. Jis buvo pasiekiamas su SMB 3.0 sistemoje „Windows 8“ ir „Windows Server 2012“, o vėlesni iteracijos papildo saugesnių kriptografinių rinkinių, pvz., AES-GCM ir AES-256-GCM, palaikymą.
Naujausi šios infrastruktūros patobulinimai užtikrina, kad IT administratoriai dabar gali sukonfigūruoti klientų įrenginius taip, kad jie įpareigotų naudoti SMB šifravimą iš paskirties serverio. Tai reiškia, kad jei SMB 3.x nepasiekiamas arba šifravimas nesukonfigūruotas, kliento įrenginys galės atsisakyti ryšio, taip padidindamas bendrą tinklo saugumą. „Microsoft“ taip pat pasidalijo veiksmais, kuriuos IT administratoriai gali panaudoti konfigūruodami šią galimybę naudodami grupės strategiją arba „PowerShell“, galite juos peržiūrėti čia.
Redmondo technologijų įmonė pabrėžė, kad kadangi ši funkcija nustato tam tikrus ryšio apribojimus, reikia atsižvelgti į tam tikrą našumo ir suderinamumo pusiausvyrą. Galite pasirinkti naudoti tik SMB pasirašymą, kad sumažintumėte saugumą ir pagerintumėte našumą, bet jei įgalinsite SMB šifravimą, atminkite, kad jis pranašesnis už pirmąjį, todėl SMB pasirašymo elgesys bus išjungtas, o šifravimas pasiūloje.
Kitas tinklo patobulinimas, esantis „Windows 11 Canary build 25982“, yra DNR palaikymas, kuris yra būsimas Interneto inžinerijos darbo grupės (IETF) standartą, kad būtų galima efektyviau aptikti užšifruotą DNS serveriai. Iki šiol klientų mašinos turėjo rasti šifruoto DNS serverio, prie kurio nori prisijungti, IP adresą ir atlikti atitinkamas konfigūracijas. DNR pašalina šios neautomatinės galinio taško konfigūracijos poreikį, nes kliento pusėje naudojami šifruoti protokolai, tokie kaip DNS per HTTPS (DoH) ir DNS per TLS (DoT).
DNR įgyvendinimas yra gana sudėtingas. Kai kliento įrenginys su įjungtu DNR bando prisijungti prie naujo tinklo, jis siunčia užklausą DHCP serveris, kad gautų IP adresą, kartu su kitais DNR būdingais argumentais, pvz., OPTION_V6_DNR ir OPTION_V4_DNR. DHCP serveris, kuris jau sukonfigūruotas naudoti DNR, atsako į šią užklausą siųsdamas per IP adresą užšifruoto DNS serverio, palaikomų šifruotų protokolų, prievadų ir susijusio autentifikavimo informacija. Tada kliento kompiuteris naudoja šią informaciją, kad automatiškai nukreiptų tunelį į užšifruotą DNS serverį, galutiniam vartotojui neatliekant jokios galinio taško konfigūracijos.
Jei jus domina DNR panaudojimas „Windows 11 Canary“ įrenginyje, peržiūrėkite „Microsoft“ gaires dėl šios funkcijos įgalinimo. čia. Atminkite, kad DNR šiuo metu nepalaikomas naudojant IPv6 RA šifruotą DNS. Taip pat atminkite, kad tiek SMB kliento šifravimo įgaliojimai, tiek DNR palaikymas sistemoje „Windows 11“ vis dar yra bandoma „Insider Preview“ versijose ir kol kas nėra jokios informacijos apie tai, kada funkcijos bus išleistos viešai.