Microsoft implementeert ondersteuning voor Network-designated Resolvers (DNR) en SMB-clientversleutelingsmandaten in Windows 11 voor verbeterd netwerken.
Belangrijkste leerpunten
- Windows 11 Canary preview-builds hebben SMB-clientversleutelingsmandaten en ondersteuning voor Network Designated Resolvers (DNR) geïntroduceerd om de netwerkbeveiliging te verbeteren.
- SMB-codering biedt end-to-end beveiliging voor gegevensoverdracht, en IT-beheerders kunnen clientmachines zo configureren dat SMB-codering van de doelserver vereist is.
- DNR elimineert de noodzaak van handmatige eindpuntconfiguratie door clientmachines automatisch te laten tunnelen naar gecodeerde DNS-servers met behulp van gecodeerde protocollen zoals DoH en DoT.
Server Message Block (SMB) is een zeer belangrijk onderdeel als het gaat om het garanderen van geavanceerde netwerkbeveiliging in Windows 11. Microsoft liet SMB in mei het standaardgedrag ondertekenen in de Windows Enterprise-build en had ook wat richtlijnen te delen met betrekking tot de
De eerste implementatie van het MKB-clientversleutelingsmandaat is al aanwezig in Windows 11 Canarische build 25982, die pas een paar uur geleden beschikbaar kwam. Er wordt gebruik gemaakt van SMB-codering om end-to-end-beveiliging te bieden tijdens de overdracht van gegevens via een netwerk. Het is beschikbaar met SMB 3.0 op Windows 8 en Windows Server 2012, en daaropvolgende iteraties hebben ondersteuning toegevoegd voor veiligere cryptografische suites zoals AES-GCM en AES-256-GCM.
De nieuwste verbeteringen aan deze infrastructuur zorgen ervoor dat IT-beheerders nu clientmachines kunnen configureren om ook het gebruik van SMB-codering vanaf de doelserver verplicht te stellen. Dit betekent dat als SMB 3.x niet beschikbaar is of de codering niet is geconfigureerd, de clientmachine de verbinding kan weigeren, waardoor de algehele netwerkbeveiliging wordt vergroot. Microsoft heeft ook de stappen gedeeld die IT-beheerders kunnen gebruiken om deze mogelijkheid te configureren via Groepsbeleid of PowerShell. U kunt ze bekijken hier.
Het technologiebedrijf uit Redmond heeft benadrukt dat, aangezien deze functie enkele beperkingen oplegt aan de connectiviteit, er een bepaald prestatie- en compatibiliteitsevenwicht is waar u rekening mee moet houden. U kunt ervoor kiezen om alleen SMB-ondertekening te gebruiken voor iets mindere beveiliging en verbeterde prestaties, maar als u SMB wel inschakelt codering, onthoud dat deze superieur is aan de eerste, dus het gedrag van SMB-ondertekening wordt uitgeschakeld ten gunste van de codering aangeboden.
Een andere netwerkverbetering in Windows 11 Canary build 25982 is ondersteuning voor DNR, een aanstaande standaard van de Internet Engineering Task Force (IETF) om een efficiëntere detectie van gecodeerde DNS mogelijk te maken servers. Tot nu toe moesten clientmachines het IP-adres vinden van de gecodeerde DNS-server waarmee ze verbinding wilden maken en vervolgens de juiste configuraties uitvoeren. DNR maakt deze handmatige eindpuntconfiguratie overbodig door gebruik te maken van gecodeerde protocollen zoals DNS over HTTPS (DoH) en DNS over TLS (DoT) aan de clientzijde.
DNR is behoorlijk geavanceerd in de implementatie ervan. Wanneer een machine aan de clientzijde waarop DNR is ingeschakeld, probeert verbinding te maken met een nieuw netwerk, verzendt deze een verzoek naar DHCP server om een IP-adres te ontvangen, samen met andere argumenten die specifiek zijn voor DNR, zoals OPTION_V6_DNR en OPTION_V4_DNR. De DHCP-server - die al is geconfigureerd om DNR te gebruiken - reageert op deze vraag door het IP-adres te verzenden van de gecodeerde DNS-server, de ondersteunde gecodeerde protocollen, poorten en de bijbehorende authenticatie informatie. De machine aan de clientzijde gebruikt deze informatie vervolgens om automatisch naar de gecodeerde DNS-server te tunnelen, zonder dat de eindgebruiker een eindpuntconfiguratie hoeft uit te voeren.
Als u geïnteresseerd bent in het gebruik van DNR op een Windows 11 Canary-machine, bekijk dan de richtlijnen van Microsoft over het inschakelen van de functie hier. Houd er rekening mee dat DNR momenteel niet wordt ondersteund voor IPv6 RA-gecodeerde DNS. Houd er ook rekening mee dat zowel de SMB-clientversleutelingsmandaten als de ondersteuning voor DNR in Windows 11 nog steeds bestaan wordt getest in Insider Preview-builds en er is nog geen woord over wanneer de functies zullen worden uitgerold publiekelijk.