Korporācija Microsoft ir veikusi dažas izmaiņas SMB ugunsmūra darbībā un iespēja izmantot alternatīvus portus jaunākajā Windows 11 Canary būvniecībā 25992.
Key Takeaways
- Windows 11 Insider Preview būvējums maina noklusējuma SMB koplietošanas darbību, lai uzlabotu tīkla drošību, automātiski iespējojot ierobežojošu ugunsmūra noteikumu grupu bez vecajiem SMB1 portiem.
- Microsoft mērķis ir padarīt SMB savienojumu vēl drošāku, atverot tikai obligātos portus un nākotnē slēdzot ICMP, LLMNR un Spooler Service ienākošos portus.
- SMB klienti tagad var izveidot savienojumu ar serveriem, izmantojot alternatīvus portus, izmantojot TCP, QUIC un RDMA, nodrošinot lielāku IT administratoru konfigurācijas un pielāgošanas elastību.
Microsoft ir veidojis vairāki uzlabojumi uz servera ziņojumu bloku (SMB) pēdējo pāris gadu laikā. Windows 11 Home vairs netiek piegādāts kopā ar SMB1 drošības apsvērumu dēļ, un arī Redmondas tehnoloģiju gigants nesen sāka testēšanas atbalstu tīkla noteiktajiem atrisinātājiem (DNR) un klienta šifrēšanas mandātiem SMB3.x. Šodien tā ir paziņojusi papildu izmaiņas klienta-servera sakaru protokolā, izlaižot jaunāko Windows 11 Insider būvēt.
Windows 11 Insider Preview Canary build 25992, kas tika sākta tikai pirms dažām stundām, maina Windows Defender noklusējuma darbību, kad runa ir par SMB koplietošanas izveidi. Kopš Windows XP 2. servisa pakotnes izlaišanas, izveidojot SMB koplietošanu, atlasītajiem ugunsmūra profiliem tika automātiski iespējota kārtulu grupa "Failu un printeru koplietošana". Tas tika ieviests, paturot prātā SMB1, un tika izstrādāts, lai uzlabotu izvietošanas elastību un savienojamību ar SMB ierīcēm un pakalpojumiem.
Tomēr, veidojot SMB koplietojumu jaunākajā Windows 11 Insider Preview versijā, operētājsistēma to darīs automātiski iespējot grupa "Failu un printeru koplietošana (ierobežota)", kurā nebūs ienākošie NetBIOS porti 137, 138 un 139. Tas ir tāpēc, ka šos portus izmanto SMB1, un tos neizmanto SMB2 vai jaunāka versija. Tas nozīmē arī to, ka, ja kāda mantota iemesla dēļ iespējosit SMB1, šie porti būs atkārtoti jāatver savā ugunsmūrī.
Microsoft saka, ka šīs konfigurācijas izmaiņas nodrošinās augstāku tīkla drošības līmeni, jo pēc noklusējuma tiek atvērti tikai nepieciešamie porti. Tomēr ir svarīgi atzīmēt, ka šī ir tikai noklusējuma konfigurācija, IT administratori joprojām var modificēt jebkuru ugunsmūra grupu atbilstoši savām vēlmēm. Tomēr paturiet prātā, ka Redmondas uzņēmums vēlas padarīt SMB savienojumu vēl drošāku, atverot tikai obligātos portus un interneta vadības ziņojumu protokola (ICMP), Link-Local multicast nosaukuma izšķirtspējas (LLMNR) un spolēšanas pakalpojuma ienākošo portu slēgšana nākotnē.
Runājot par ostām, Microsoft ir publicējusi arī citu emuāra ieraksts lai aprakstītu alternatīvas portu izmaiņas SMB savienojamībā. SMB klienti tagad var izveidot savienojumu ar SMB serveriem, izmantojot alternatīvus portus, izmantojot TCP, QUIC un RDMA. Iepriekš SMB serveri bija ļāvuši izmantot TCP portu 445 ienākošajiem savienojumiem, un SMB TCP klienti savienoja izejošos ar to pašu portu; šo konfigurāciju nevarēja mainīt. Tomēr, izmantojot SMB, izmantojot QUIC, UDP portu 443 var izmantot gan klienta, gan servera pakalpojumi.
SMB klienti var arī izveidot savienojumu ar SMB serveriem, izmantojot dažādus citus portus, ja vien tie atbalsta konkrētu portu un klausās tajā. IT administratori var konfigurēt konkrētus portus konkrētiem serveriem un pat pilnībā bloķēt alternatīvos portus, izmantojot grupas politiku. Microsoft ir sniedzis detalizētus norādījumus par to, kā kartēt alternatīvus portus, izmantojot NET USE un New-SmbMapping, vai kontrolēt portu izmantošanu, izmantojot grupas politiku.
Ir svarīgi atzīmēt, ka Windows Server Insiders pašlaik nevar mainīt TCP portu 445 uz kaut ko citu. Tomēr Microsoft ļaus IT administratoriem konfigurēt SMB, izmantojot QUIC, lai papildus noklusējuma UDP portam 443 izmantotu citus portus.