Korporācija Microsoft ievieš atbalstu tīkla noteiktajiem atrisinātājiem (DNR) un SMB klientu šifrēšanas mandātiem operētājsistēmā Windows 11, lai uzlabotu tīklu izveidi.
Key Takeaways
- Windows 11 Canary priekšskatījuma būvējumos ir ieviestas SMB klientu šifrēšanas pilnvaras un atbalsts tīkla noteiktajiem atrisinātājiem (DNR), lai uzlabotu tīkla drošību.
- SMB šifrēšana nodrošina pilnīgu drošību datu pārsūtīšanai, un IT administratori var konfigurēt klientu iekārtas, lai pieprasītu SMB šifrēšanu no mērķa servera.
- DNR novērš vajadzību pēc manuālas galapunkta konfigurācijas, ļaujot klientu iekārtām automātiski izveidot tuneli uz šifrētiem DNS serveriem, izmantojot šifrētus protokolus, piemēram, DoH un DoT.
Servera ziņojumu bloks (SMB) ir ļoti svarīgs komponents, lai nodrošinātu uzlabotu tīkla drošību operētājsistēmā Windows 11. Microsoft jau maijā noteica SMB parakstīšanu par noklusējuma darbību Windows Enterprise versijā, kā arī sniedza dažus norādījumus par SMB autentifikācijas process jūnijā
Pirmā SMB klienta šifrēšanas mandāta ieviešana jau ir pieejama Windows 11 Canary build 25982, kas kļuva pieejama tikai pirms dažām stundām. SMB šifrēšana tiek izmantota, lai nodrošinātu pilnīgu drošību, pārsūtot datus tīklā. Tas ir bijis pieejams ar SMB 3.0 operētājsistēmās Windows 8 un Windows Server 2012, ar sekojošām iterācijām pievienojot atbalstu drošākiem kriptogrāfijas komplektiem, piemēram, AES-GCM un AES-256-GCM.
Jaunākie šīs infrastruktūras uzlabojumi nodrošina, ka IT administratori tagad var konfigurēt klientu mašīnas, lai arī pilnvarotu izmantot SMB šifrēšanu no mērķa servera. Tas nozīmē, ka, ja SMB 3.x nav pieejams vai šifrēšana nav konfigurēta, klienta iekārta varēs atteikt savienojumu, tādējādi palielinot kopējo tīkla drošību. Microsoft ir arī kopīgojis darbības, ko IT administratori var izmantot, lai konfigurētu šo iespēju, izmantojot grupas politiku vai PowerShell. šeit.
Redmondas tehnoloģiju uzņēmums ir uzsvēris, ka, tā kā šī funkcija uzliek dažus savienojamības ierobežojumus, jums ir jāievēro zināms veiktspējas un saderības līdzsvars. Varat izvēlēties izmantot tikai SMB parakstīšanu, lai nodrošinātu nedaudz mazāku drošību un uzlabotu veiktspēju, bet, ja tomēr iespējojat SMB šifrēšanu, atcerieties, ka tas ir pārāks par pirmo, tāpēc SMB parakstīšanas darbības tiks atspējotas par labu šifrēšanai piedāvājumā.
Vēl viens tīkla uzlabojums, kas pieejams operētājsistēmas Windows 11 Canary build 25982, ir atbalsts DNR, kas ir gaidāms standarts no Internet Engineering Task Force (IETF), lai ļautu efektīvāk atklāt šifrētu DNS serveriem. Līdz šim klientu iekārtām bija jāatrod šifrētā DNS servera IP adrese, ar kuru tās vēlas izveidot savienojumu, un pēc tam jāveic atbilstošas konfigurācijas. DNR novērš nepieciešamību pēc šīs manuālās galapunkta konfigurācijas, klienta pusē izmantojot šifrētus protokolus, piemēram, DNS, izmantojot HTTPS (DoH) un DNS, izmantojot TLS (DoT).
DNR ir diezgan sarežģīts savā īstenošanā. Kad klienta puses iekārta ar iespējotu DNR mēģina pievienoties jaunam tīklam, tā nosūta pieprasījumu DHCP. serveri, lai saņemtu IP adresi, kā arī citus argumentus, kas raksturīgi DNR, piemēram, OPTION_V6_DNR un OPTION_V4_DNR. DHCP serveris, kas jau ir konfigurēts, lai izmantotu DNR, atbild uz šo vaicājumu, nosūtot pa IP adresi šifrētā DNS servera, atbalstītie šifrētie protokoli, porti un saistītā autentifikācija informāciju. Pēc tam klienta puses iekārta izmanto šo informāciju, lai automātiski pārietu uz šifrētu DNS serveri, galalietotājam neveicot galapunkta konfigurēšanu.
Ja vēlaties izmantot DNR operētājsistēmā Windows 11 Canary, skatiet Microsoft norādījumus par šīs funkcijas iespējošanu. šeit. Ņemiet vērā, ka DNR pašlaik netiek atbalstīts IPv6 RA šifrētajam DNS. Ņemiet vērā arī to, ka gan SMB klienta šifrēšanas pilnvaras, gan DNR atbalsts operētājsistēmā Windows 11 joprojām ir spēkā. tiek testēts Insider Preview būvējumos, un vēl nav zināms, kad funkcijas tiks ieviestas publiski.