Firma Microsoft wdraża obsługę funkcji rozpoznawania nazw sieciowych (DNR) i poleceń szyfrowania klientów SMB w systemie Windows 11 w celu usprawnienia pracy w sieci.
Kluczowe dania na wynos
- W wersjach zapoznawczych systemu Windows 11 Canary wprowadzono wymogi szyfrowania klienta SMB i obsługę resolwerów wyznaczonych przez sieć (DNR) w celu zwiększenia bezpieczeństwa sieci.
- Szyfrowanie SMB zapewnia kompleksowe bezpieczeństwo transferu danych, a administratorzy IT mogą skonfigurować komputery klienckie tak, aby wymagały szyfrowania SMB z serwera docelowego.
- DNR eliminuje potrzebę ręcznej konfiguracji punktu końcowego, umożliwiając maszynom klienckim automatyczne tunelowanie do zaszyfrowanych serwerów DNS przy użyciu szyfrowanych protokołów, takich jak DoH i DoT.
Blok komunikatów serwera (SMB) jest bardzo ważnym elementem zapewniającym zaawansowane bezpieczeństwo sieci w systemie Windows 11. Firma Microsoft wprowadziła podpisywanie SMB jako domyślne zachowanie w kompilacji systemu Windows Enterprise już w maju i udostępniła pewne wskazówki dotyczące
Pierwsza implementacja mandatu szyfrowania klienta SMB jest już dostępna w Windows 11 Canary, kompilacja 25982, który stał się dostępny zaledwie kilka godzin temu. Szyfrowanie SMB jest wykorzystywane w celu zapewnienia kompleksowego bezpieczeństwa podczas przesyłania danych przez sieć. Jest dostępny z protokołem SMB 3.0 w systemach Windows 8 i Windows Server 2012, a kolejne wersje dodają obsługę bezpieczniejszych pakietów kryptograficznych, takich jak AES-GCM i AES-256-GCM.
Dzięki najnowszym ulepszeniom tej infrastruktury administratorzy IT mogą teraz konfigurować komputery klienckie tak, aby wymagały również stosowania szyfrowania SMB z serwera docelowego. Oznacza to, że jeśli protokół SMB 3.x nie jest dostępny lub szyfrowanie nie jest skonfigurowane, komputer kliencki będzie mógł odmówić połączenia, zwiększając w ten sposób ogólne bezpieczeństwo sieci. Firma Microsoft udostępniła również kroki, które administratorzy IT mogą wykorzystać, aby skonfigurować tę funkcję za pomocą zasad grupy lub programu PowerShell. Możesz je wyświetlić Tutaj.
Firma technologiczna z Redmond podkreśliła, że ponieważ ta funkcja rzeczywiście nakłada pewne ograniczenia na łączność, należy pamiętać o pewnej równowadze wydajności i kompatybilności. Możesz zdecydować się na użycie samego podpisywania SMB, aby uzyskać nieco mniejsze bezpieczeństwo i lepszą wydajność, ale jeśli tak, włączysz SMB szyfrowanie, pamiętaj, że jest lepsze od pierwszego, więc zachowania podpisywania SMB zostaną wyłączone na rzecz szyfrowania w ofercie.
Kolejnym ulepszeniem sieciowym obecnym w systemie Windows 11 Canary w kompilacji 25982 jest obsługa DNR, która jest nadchodzącą standard opracowany przez Internet Engineering Task Force (IETF), aby umożliwić skuteczniejsze wykrywanie zaszyfrowanych DNS serwery. Do tej pory komputery klienckie musiały znaleźć adres IP zaszyfrowanego serwera DNS, z którym chcą się połączyć, a następnie dokonać odpowiednich konfiguracji. DNR eliminuje potrzebę ręcznej konfiguracji punktu końcowego, wykorzystując szyfrowane protokoły, takie jak DNS przez HTTPS (DoH) i DNS przez TLS (DoT) po stronie klienta.
DNR jest dość wyrafinowany w swojej implementacji. Gdy komputer po stronie klienta z włączoną funkcją DNR próbuje przyłączyć się do nowej sieci, wysyła żądanie do serwera DHCP serwerowi, aby otrzymał adres IP wraz z innymi argumentami specyficznymi dla DNR, takimi jak OPTION_V6_DNR i OPTION_V4_DNR. Serwer DHCP, który jest już skonfigurowany do korzystania z DNR, odpowiada na to zapytanie, przesyłając adres IP zaszyfrowanego serwera DNS, obsługiwanych szyfrowanych protokołów, portów i powiązanego uwierzytelniania Informacja. Następnie maszyna po stronie klienta wykorzystuje te informacje do automatycznego tunelowania do zaszyfrowanego serwera DNS, bez konieczności wykonywania jakiejkolwiek konfiguracji punktu końcowego przez użytkownika końcowego.
Jeśli chcesz wykorzystać DNR na komputerze z systemem Windows 11 Canary, zapoznaj się ze wskazówkami firmy Microsoft dotyczącymi włączania tej funkcji Tutaj. Należy pamiętać, że DNR nie jest obecnie obsługiwany w przypadku szyfrowanego DNS IPv6 RA. Należy również pamiętać, że zarówno wymagania dotyczące szyfrowania klienta SMB, jak i obsługa DNR w systemie Windows 11 nadal obowiązują jest testowany w kompilacjach Insider Preview i nie ma jeszcze informacji, kiedy funkcje zostaną wprowadzone publicznie.