„Microsoft“ išbando SMB ugniasienės taisyklių pakeitimus ir alternatyvius prievadus sistemoje „Windows 11“.

„Microsoft“ padarė keletą SMB ugniasienės veikimo ir alternatyvių prievadų naudojimo pakeitimų naujausioje „Windows 11 Canary“ versijoje 25992.

Key Takeaways

  • „Windows 11 Insider Preview“ versija pakeičia numatytąjį SMB bendrinimo elgesį, kad pagerintų tinklo saugumą, automatiškai įgalindama ribojančią ugniasienės taisyklių grupę be senų SMB1 prievadų.
  • „Microsoft“ siekia, kad SMB ryšys būtų dar saugesnis, atidarydama tik privalomus prievadus ir uždarydama ICMP, LLMNR ir „Spooler Service“ įeinančius prievadus.
  • SMB klientai dabar gali prisijungti prie serverių per alternatyvius prievadus per TCP, QUIC ir RDMA, todėl IT administratoriai gali lanksčiau konfigūruoti ir tinkinti.

„Microsoft“ kūrė keli patobulinimai į serverio pranešimų bloką (SMB) per pastaruosius porą metų. „Windows 11 Home“ nebebus pristatoma kartu su SMB1 dėl saugumo priežasčių, o Redmondo technologijų milžinas taip pat turi neseniai pradėtas bandomasis palaikymas tinklo paskirtiems sprendžiamiesiems (DNR) ir kliento šifravimo mandatams SMB3.x. Šiandien ji paskelbė tolesni kliento ir serverio ryšio protokolo pakeitimai, kai bus išleista naujausia „Windows 11 Insider“. statyti.

Windows 11 Insider Preview Canary build 25992, kuris buvo pradėtas išleisti vos prieš kelias valandas, pakeičia numatytąją Windows Defender elgseną, kai reikia sukurti SMB bendrinimą. Nuo „Windows XP“ 2 pakeitimų paketo išleidimo, sukūrus SMB bendrinimą, pasirinktų ugniasienės profilių taisyklės grupė „Failų ir spausdintuvų bendrinimas“ buvo automatiškai įjungta. Tai buvo įgyvendinta atsižvelgiant į SMB1 ir buvo sukurta siekiant pagerinti diegimo lankstumą ir ryšį su SMB įrenginiais ir paslaugomis.

Tačiau kai sukuriate SMB bendrinimą naujausioje „Windows 11 Insider Preview“ versijoje, operacinė sistema tai padarys automatiškai įjungti grupė „Failų ir spausdintuvų bendrinimas (ribojamas)“, kurioje nebus gaunamų NetBIOS 137, 138 ir 139 prievadų. Taip yra todėl, kad šiuos prievadus naudoja SMB1, o SMB2 ar naujesnis jų nenaudoja. Tai taip pat reiškia, kad jei įjungsite SMB1 dėl kokių nors senų priežasčių, turėsite iš naujo atidaryti šiuos prievadus savo užkardoje.

„Microsoft“ teigia, kad šis konfigūracijos pakeitimas užtikrins aukštesnį tinklo saugumo lygį, nes pagal nutylėjimą atidaromi tik reikalingi prievadai. Be to, svarbu pažymėti, kad tai tik numatytoji konfigūracija, IT administratoriai vis tiek gali keisti bet kurią ugniasienės grupę pagal savo skonį. Tačiau atminkite, kad Redmondo įmonė siekia, kad SMB ryšys būtų dar saugesnis atidarydama tik privalomus prievadus ir uždarant interneto valdymo pranešimų protokolą (ICMP), „Link-Local Multicast Name Resolution“ (LLMNR) ir „Spooler Service“ įeinančius prievadus ateitis.

Kalbant apie prievadus, „Microsoft“ paskelbė ir kitą tinklaraščio straipsnis apibūdinti alternatyvius prievadų pakeitimus SMB jungtyje. SMB klientai dabar gali prisijungti prie SMB serverių per alternatyvius prievadus per TCP, QUIC ir RDMA. Anksčiau SMB serveriai buvo įpareigoti naudoti 445 TCP prievadą įeinantiems ryšiams, o SMB TCP klientai jungdavosi prie to paties prievado; šios konfigūracijos pakeisti nepavyko. Tačiau naudojant SMB per QUIC, UDP 443 prievadą gali naudoti ir kliento, ir serverio paslaugos.

SMB klientai taip pat gali prisijungti prie SMB serverių per įvairius kitus prievadus, jei pastarasis palaiko tam tikrą prievadą ir jo klausosi. IT administratoriai gali konfigūruoti konkrečius prievadus konkretiems serveriams ir netgi visiškai blokuoti alternatyvius prievadus naudodami grupės politiką. „Microsoft“ pateikė išsamias instrukcijas, kaip galite susieti alternatyvius prievadus naudodami NET USE ir New-SmbMapping arba valdyti prievadų naudojimą naudodami grupės politiką.

Svarbu pažymėti, kad „Windows Server Insiders“ šiuo metu negali pakeisti TCP 445 prievado į ką nors kitą. Tačiau „Microsoft“ leis IT administratoriams sukonfigūruoti SMB per QUIC, kad būtų naudojami kiti prievadai, išskyrus numatytąjį UDP prievadą 443.