Microsoft bygger støtte for DNR- og SMB-klientkrypteringsmandat i Windows 11

Viktige takeaways

• Windows 11 Canary-forhåndsvisninger har introdusert SMB-klientkrypteringsmandater og støtte for Network-designated Resolvers (DNR) for å forbedre nettverkssikkerheten.
• SMB-kryptering gir ende-til-ende-sikkerhet for dataoverføring, og IT-administratorer kan konfigurere klientmaskiner til å kreve SMB-kryptering fra målserveren.
• DNR eliminerer behovet for manuell endepunktkonfigurasjon ved å la klientmaskiner automatisk tunnelere til krypterte DNS-servere ved å bruke krypterte protokoller som DoH og DoT.

Server Message Block (SMB) er en svært viktig komponent når det gjelder å sikre avansert nettverkssikkerhet i Windows 11. Microsoft gjorde SMB-signering standardoppførselen i Windows Enterprise build tilbake i mai og hadde også noen veiledning å dele angående SMB-autentiseringsprosess tilbake i juni. Nå har den kunngjort at den utvikler støtte for SMB-klientkrypteringsmandater og Network-designated Resolvers (DNR) i Windows 11.

Den første implementeringen av SMB-klientkrypteringsmandatet er allerede til stede i Windows 11 Canary build 25982, som ble tilgjengelig for bare noen timer siden. SMB-kryptering utnyttes for å gi ende-til-ende-sikkerhet mens data overføres over et nettverk. Den har vært tilgjengelig med SMB 3.0 på Windows 8 og Windows Server 2012, med påfølgende iterasjoner som har lagt til støtte for sikrere kryptografiske suiter som AES-GCM og AES-256-GCM.

De siste forbedringene av denne infrastrukturen sikrer at IT-administratorer nå kan konfigurere klientmaskiner til også å pålegge bruk av SMB-kryptering fra målserveren. Dette betyr at hvis SMB 3.x ikke er tilgjengelig eller kryptering ikke er konfigurert, vil klientmaskinen kunne nekte tilkoblingen, og dermed øke den generelle nettverkssikkerheten. Microsoft har også delt trinnene som IT-administratorer kan bruke for å konfigurere denne funksjonen via gruppepolicy eller PowerShell, du kan se dem her.

Teknologifirmaet Redmond har understreket at siden denne funksjonen legger noen begrensninger på tilkobling, er det en viss ytelses- og kompatibilitetsbalanse du må være oppmerksom på. Du kan velge å bruke bare SMB-signering for litt mindre sikkerhet og forbedret ytelse, men hvis du aktiverer SMB kryptering, husk at den er overlegen den tidligere, så atferden til SMB-signering vil bli deaktivert til fordel for krypteringen et tilbud.

En annen nettverksforbedring i Windows 11 Canary build 25982 er støtte for DNR, som er en kommende standard fra Internet Engineering Task Force (IETF) for å tillate mer effektiv oppdagelse av kryptert DNS servere. Frem til nå har klientmaskiner vært pålagt å finne IP-adressen til den krypterte DNS-serveren de ønsker å koble til og deretter gjøre de riktige konfigurasjonene. DNR fjerner behovet for denne manuelle endepunktkonfigurasjonen ved å utnytte krypterte protokoller som DNS over HTTPS (DoH) og DNS over TLS (DoT) på klientsiden.

DNR er ganske sofistikert i implementeringen. Når en maskin på klientsiden med DNR aktivert prøver å bli med i et nytt nettverk, sender den en forespørsel til DHCP server for å motta en IP-adresse, sammen med andre argumenter som er spesifikke for DNR som OPTION_V6_DNR og OPTION_V4_DNR. DHCP-serveren - som allerede er konfigurert til å bruke DNR - svarer på denne spørringen ved å sende over IP-adressen av den krypterte DNS-serveren, de støttede krypterte protokollene, portene og den tilhørende autentiseringen informasjon. Maskinen på klientsiden bruker deretter denne informasjonen til å automatisk tunnelere til den krypterte DNS-serveren, uten at sluttbrukeren utfører noen endepunktkonfigurasjon.

Hvis du er interessert i å utnytte DNR på en Windows 11 Canary-maskin, sjekk ut Microsofts veiledning angående aktivering av funksjonen her. Vær oppmerksom på at DNR for øyeblikket ikke støttes for IPv6 RA-kryptert DNS. Husk også at både SMB-klientkrypteringsmandatene og støtte for DNR i Windows 11 fortsatt er blir testet i Insider Preview-bygg, og det er ennå ingen informasjon om når funksjonene vil rulle ut offentlig.