Firma Microsoft testuje zmiany reguł zapory SMB i alternatywne porty w systemie Windows 11

Microsoft wprowadził pewne zmiany w zachowaniu zapory SMB i możliwości korzystania z alternatywnych portów w najnowszej kompilacji Windows 11 Canary 25992.

Kluczowe dania na wynos

  • Kompilacja Windows 11 Insider Preview zmienia domyślne zachowanie udziałów SMB w celu poprawy bezpieczeństwa sieci, automatycznie włączając restrykcyjną grupę reguł zapory sieciowej bez starych portów SMB1.
  • Celem firmy Microsoft jest jeszcze większe bezpieczeństwo łączności SMB poprzez otwieranie w przyszłości tylko portów obowiązkowych i zamykanie portów przychodzących ICMP, LLMNR i usługi buforowania.
  • Klienci SMB mogą teraz łączyć się z serwerami poprzez alternatywne porty poprzez TCP, QUIC i RDMA, zapewniając większą elastyczność konfiguracji i dostosowywania przez administratorów IT.

Microsoft tworzył kilka ulepszeń do Server Message Block (SMB) w ciągu ostatnich kilku lat. Windows 11 Home nie jest już dostarczany z protokołem SMB1 ze względów bezpieczeństwa, podobnie jak gigant technologiczny z Redmond niedawno rozpoczęło się testowanie wsparcia

w przypadku resolwerów wyznaczonych przez sieć (DNR) i poleceń szyfrowania klientów w SMB3.x. Dziś ogłoszono dalsze zmiany w protokole komunikacji klient-serwer wraz z wprowadzeniem najnowszego programu Windows 11 Insider zbudować.

Windows 11 Insider Preview Canary, kompilacja 25992, która rozpoczęła się zaledwie kilka godzin temu, zmienia domyślne zachowanie programu Windows Defender podczas tworzenia udziału SMB. Od czasu wydania dodatku Service Pack 2 dla systemu Windows XP utworzenie udziału SMB automatycznie włączało grupę reguł „Udostępnianie plików i drukarek” dla wybranych profili zapory. Zostało to wdrożone z myślą o SMB1 i miało na celu poprawę elastyczności wdrażania i łączności z urządzeniami i usługami SMB.

Jednak po utworzeniu udziału SMB w najnowszej kompilacji Windows 11 Insider Preview system operacyjny to zrobi automatycznie włączyć grupę „Udostępnianie plików i drukarek (ograniczone)”, która nie będzie zawierać przychodzących portów NetBIOS 137, 138 i 139. Dzieje się tak, ponieważ porty te są wykorzystywane przez protokół SMB1 i nie są wykorzystywane przez protokół SMB2 lub nowszy. Oznacza to również, że jeśli z jakiegoś powodu włączysz protokół SMB1, konieczne będzie ponowne otwarcie tych portów w zaporze sieciowej.

Microsoft twierdzi, że ta zmiana konfiguracji zapewni wyższy poziom bezpieczeństwa sieci, ponieważ domyślnie otwierane są tylko wymagane porty. To powiedziawszy, należy zauważyć, że jest to tylko konfiguracja domyślna, administratorzy IT mogą nadal modyfikować dowolną grupę zapór ogniowych zgodnie ze swoimi upodobaniami. Należy jednak pamiętać, że firma z Redmond pragnie jeszcze bardziej zwiększyć bezpieczeństwo łączności SMB, otwierając tylko obowiązkowe porty i zamykanie protokołu komunikatów kontroli Internetu (ICMP), rozpoznawania nazw multiemisji łącza lokalnego (LLMNR) i portów przychodzących usługi buforowania w przyszły.

Skoro już mowa o portach, Microsoft opublikował także kolejny post na blogu aby opisać alternatywne zmiany portów w łączności SMB. Klienci SMB mogą teraz łączyć się z serwerami SMB poprzez alternatywne porty poprzez TCP, QUIC i RDMA. Wcześniej serwery SMB nakazywały używanie portu TCP 445 dla połączeń przychodzących, a klienci SMB TCP łączyli ruch wychodzący z tym samym portem; tej konfiguracji nie można było zmienić. Jednakże w przypadku protokołu SMB przez QUIC port UDP 443 może być używany zarówno przez usługi klienta, jak i serwera.

Klienci SMB mogą także łączyć się z serwerami SMB poprzez różne inne porty, o ile ten ostatni obsługuje określony port i nasłuchuje na nim. Administratorzy IT mogą konfigurować określone porty dla określonych serwerów, a nawet całkowicie blokować porty alternatywne za pomocą zasad grupy. Firma Microsoft udostępniła szczegółowe instrukcje dotyczące mapowania alternatywnych portów za pomocą funkcji NET USE i New-SmbMapping lub kontrolowania użycia portów za pomocą zasad grupy.

Należy zauważyć, że testerzy systemu Windows Server nie mogą obecnie zmienić portu TCP 445 na inny. Firma Microsoft umożliwi jednak administratorom IT skonfigurowanie protokołu SMB przez QUIC w celu korzystania z innych portów oprócz domyślnego portu UDP 443.