Microsoft heeft enkele wijzigingen aangebracht in het SMB-firewallgedrag en de mogelijkheid om alternatieve poorten te gebruiken in de nieuwste Windows 11 Canary build 25992.
Belangrijkste leerpunten
- De Windows 11 Insider Preview-build wijzigt het standaard SMB-deelgedrag om de netwerkbeveiliging te verbeteren, waarbij automatisch een beperkende firewallregelgroep wordt ingeschakeld zonder de oude SMB1-poorten.
- Microsoft streeft ernaar de MKB-connectiviteit nog veiliger te maken door in de toekomst alleen verplichte poorten te openen en inkomende poorten van ICMP, LLMNR en Spooler Service te sluiten.
- MKB-clients kunnen nu verbinding maken met servers via alternatieve poorten via TCP, QUIC en RDMA, waardoor IT-beheerders meer flexibiliteit krijgen bij het configureren en aanpassen.
Microsoft heeft gemaakt diverse verbeteringen naar Server Message Block (SMB) in de afgelopen paar jaar. Windows 11 Home wordt niet langer geleverd met SMB1 vanwege veiligheidsredenen, en de technologiegigant uit Redmond heeft dat ook gedaan
onlangs begonnen met het testen van ondersteuning voor Network-designated Resolvers (DNR) en client-encryptiemandaten in SMB3.x. Vandaag is dat bekend gemaakt verdere wijzigingen in het client-server-communicatieprotocol met de uitrol van de nieuwste Windows 11 Insider bouwen.Windows 11 Insider Preview Canary build 25992, die pas een paar uur geleden werd uitgerold, verandert het standaardgedrag van Windows Defender als het gaat om het maken van een SMB-share. Sinds de release van Windows XP Service Pack 2 werd bij het maken van een SMB-share automatisch de regelgroep "Bestands- en printerdeling" ingeschakeld voor de geselecteerde firewallprofielen. Dit werd geïmplementeerd met SMB1 in gedachten en was ontworpen om de implementatieflexibiliteit en connectiviteit met SMB-apparaten en -services te verbeteren.
Wanneer u echter een SMB-share maakt in de nieuwste Windows 11 Insider Preview-build, zal het besturingssysteem dat wel doen automatisch inschakelen een groep "Bestands- en printerdeling (beperkt)", die niet de inkomende NetBIOS-poorten 137, 138 en 139 bevat. Dit komt omdat deze poorten worden gebruikt door SMB1 en niet worden gebruikt door SMB2 of hoger. Dit betekent ook dat als u SMB1 om een bepaalde reden inschakelt, u deze poorten in uw firewall opnieuw moet openen.
Microsoft zegt dat deze configuratiewijziging voor een hoger niveau van netwerkbeveiliging zal zorgen, omdat standaard alleen de vereiste poorten worden geopend. Dat gezegd hebbende, is het belangrijk op te merken dat dit slechts de standaardconfiguratie is. IT-beheerders kunnen nog steeds elke firewallgroep naar eigen wens aanpassen. Houd er echter rekening mee dat het bedrijf uit Redmond de MKB-connectiviteit nog veiliger wil maken door alleen verplichte poorten te openen het sluiten van Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) en Spooler Service inkomende poorten in de toekomst.
Over poorten gesproken, Microsoft heeft er ook nog een gepubliceerd blogpost om alternatieve poortwijzigingen in SMB-connectiviteit te beschrijven. SMB-clients kunnen nu verbinding maken met SMB-servers via alternatieve poorten via TCP, QUIC en RDMA. Voorheen hadden SMB-servers het gebruik van TCP-poort 445 verplicht gesteld voor inkomende verbindingen, waarbij SMB TCP-clients uitgaand verbinding maakten met dezelfde poort; deze configuratie kon niet worden gewijzigd. Met SMB via QUIC kan UDP-poort 443 echter door zowel client- als serverservices worden gebruikt.
SMB-clients kunnen ook via verschillende andere poorten verbinding maken met SMB-servers, zolang deze laatste een bepaalde poort ondersteunt en ernaar luistert. IT-beheerders kunnen specifieke poorten voor specifieke servers configureren en zelfs alternatieve poorten volledig blokkeren via Groepsbeleid. Microsoft heeft gedetailleerde instructies gegeven over hoe u alternatieve poorten kunt toewijzen met NET USE en New-SmbMapping, of hoe u het gebruik van poorten kunt beheren via Groepsbeleid.
Het is belangrijk op te merken dat Windows Server Insiders momenteel TCP-poort 445 niet kunnen wijzigen in iets anders. Microsoft zal IT-beheerders echter in staat stellen SMB via QUIC te configureren om andere poorten te gebruiken naast de standaard UDP-poort 443.