Microsoft har gjort noen endringer i SMB-brannmuradferd og muligheten for å bruke alternative porter i den nyeste Windows 11 Canary build 25992.
Viktige takeaways
- Windows 11 Insider Preview-bygg endrer standard SMB-delingsatferd for å forbedre nettverkssikkerheten, og aktiverer automatisk en restriktiv brannmurregelgruppe uten de gamle SMB1-portene.
- Microsoft har som mål å gjøre SMB-tilkobling enda sikrere ved å åpne bare obligatoriske porter og stenge inngående porter for ICMP, LLMNR og Spooler Service i fremtiden.
- SMB-klienter kan nå koble til servere gjennom alternative porter over TCP, QUIC og RDMA, noe som gir større fleksibilitet for konfigurasjon og tilpasning av IT-administratorer.
Microsoft har laget flere forbedringer til Server Message Block (SMB) de siste par årene. Windows 11 Home leveres ikke lenger med SMB1 på grunn av sikkerhetsmessige årsaker, og Redmond-teknologigiganten har også nylig begynt å teste støtte for nettverksutpekte resolvere (DNR) og klientkrypteringsmandater i SMB3.x. I dag har det annonsert ytterligere endringer i klient-server kommunikasjonsprotokollen med utrullingen av den nyeste Windows 11 Insider bygge.
Windows 11 Insider Preview Canary build 25992, som begynte å rulle ut for bare noen timer siden, endrer standardoppførselen til Windows Defender når det gjelder å lage en SMB-andel. Siden utgivelsen av Windows XP Service Pack 2 har opprettelse av en SMB-ressurs automatisk aktivert regelgruppen "Fil- og skriverdeling" for de valgte brannmurprofilene. Dette ble implementert med SMB1 i tankene og ble designet for å forbedre distribusjonsfleksibilitet og tilkobling til SMB-enheter og -tjenester.
Men når du oppretter en SMB-andel i den nyeste Windows 11 Insider Preview-bygget, vil operativsystemet automatisk aktivere en "File and Printer Sharing (Restrictive)"-gruppe, som ikke vil inneholde de innkommende NetBIOS-portene 137, 138 og 139. Dette er fordi disse portene utnyttes av SMB1, og ikke brukes av SMB2 eller senere. Dette betyr også at hvis du aktiverer SMB1 av en eller annen grunn, må du åpne disse portene på nytt i brannmuren.
Microsoft sier at denne konfigurasjonsendringen vil sikre et høyere nivå av nettverkssikkerhet ettersom bare de nødvendige portene åpnes som standard. Når det er sagt, er det viktig å merke seg at dette bare er standardkonfigurasjonen, IT-administratorer kan fortsatt endre hvilken som helst brannmurgruppe i henhold til deres smak. Men husk at Redmond-firmaet ønsker å gjøre SMB-tilkobling enda sikrere ved å åpne bare obligatoriske porter og lukking av Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) og Spooler Service inngående porter i framtid.
Når vi snakker om porter, har Microsoft også publisert en annen blogg innlegg for å beskrive alternative portendringer i SMB-tilkobling. SMB-klienter kan nå koble til SMB-servere gjennom alternative porter over TCP, QUIC og RDMA. Tidligere hadde SMB-servere pålagt bruk av TCP-port 445 for inngående tilkoblinger, med SMB TCP-klienter som koblet utgående til samme port; denne konfigurasjonen kunne ikke endres. Med SMB over QUIC kan imidlertid UDP-port 443 brukes av både klient- og servertjenester.
SMB-klienter kan også koble til SMB-servere gjennom forskjellige andre porter så lenge sistnevnte støtter en bestemt port og lytter på den. IT-administratorer kan konfigurere spesifikke porter for spesifikke servere, og til og med blokkere alternative porter fullstendig gjennom gruppepolicy. Microsoft har gitt detaljerte instruksjoner om hvordan du kan kartlegge alternative porter med NET USE og New-SmbMapping, eller kontrollere bruken av porter gjennom gruppepolicy.
Det er viktig å merke seg at Windows Server Insiders for øyeblikket ikke kan endre TCP-port 445 til noe annet. Microsoft vil imidlertid gjøre det mulig for IT-administratorer å konfigurere SMB over QUIC til å bruke andre porter i tillegg til standard UDP-port 443.