A Microsoft está implementando suporte para Resolvedores Designados de Rede (DNR) e mandatos de criptografia de cliente SMB no Windows 11 para melhorar a rede.
Principais conclusões
- As compilações de visualização do Windows 11 Canary introduziram mandatos de criptografia de cliente SMB e suporte para resolvedores designados pela rede (DNR) para aprimorar a segurança da rede.
- A criptografia SMB fornece segurança ponta a ponta para transferência de dados, e os administradores de TI podem configurar máquinas clientes para exigir criptografia SMB do servidor de destino.
- O DNR elimina a necessidade de configuração manual de endpoints, permitindo que máquinas clientes criem um túnel automaticamente para servidores DNS criptografados usando protocolos criptografados como DoH e DoT.
O Server Message Block (SMB) é um componente altamente importante quando se trata de garantir segurança de rede avançada no Windows 11. A Microsoft tornou a assinatura SMB o comportamento padrão no Windows Enterprise em maio e também tinha algumas orientações para compartilhar sobre o
A primeira implementação do mandato de criptografia de cliente SMB já está presente em Versão Canário do Windows 11 25982, que ficou disponível apenas algumas horas atrás. A criptografia SMB é aproveitada para fornecer segurança ponta a ponta durante a transferência de dados em uma rede. Ele está disponível com SMB 3.0 no Windows 8 e Windows Server 2012, com iterações subsequentes adicionando suporte para conjuntos criptográficos mais seguros, como AES-GCM e AES-256-GCM.
Os aprimoramentos mais recentes nessa infraestrutura garantem que os administradores de TI agora possam configurar máquinas clientes para também exigir o uso de criptografia SMB do servidor de destino. Isso significa que se o SMB 3.x não estiver disponível ou a criptografia não estiver configurada, a máquina cliente poderá recusar a conexão, aumentando assim a segurança geral da rede. A Microsoft também compartilhou as etapas que os administradores de TI podem aproveitar para configurar esse recurso por meio da Política de Grupo ou do PowerShell. aqui.
A empresa de tecnologia de Redmond enfatizou que, como esse recurso impõe algumas restrições à conectividade, há um certo equilíbrio entre desempenho e compatibilidade que você precisa estar atento. Você pode optar por usar apenas a assinatura SMB para obter um pouco menos de segurança e melhorar o desempenho, mas se ativar o SMB criptografia, lembre-se que ela é superior à anterior, portanto os comportamentos de assinatura SMB serão desabilitados em favor da criptografia em oferta.
Outra melhoria de rede presente no Windows 11 Canary build 25982 é o suporte para DNR, que é um próximo lançamento. padrão da Internet Engineering Task Force (IETF) para permitir uma descoberta mais eficiente de DNS criptografado servidores. Até agora, as máquinas clientes eram obrigadas a encontrar o endereço IP do servidor DNS criptografado ao qual desejam se conectar e, em seguida, fazer as configurações apropriadas. O DNR elimina a necessidade dessa configuração manual de endpoint, aproveitando protocolos criptografados como DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT) no lado do cliente.
O DNR é bastante sofisticado na sua implementação. Quando uma máquina do lado do cliente com DNR habilitado tenta ingressar em uma nova rede, ela envia uma solicitação ao DHCP servidor para receber um endereço IP, junto com outros argumentos específicos para DNR como OPTION_V6_DNR e OPÇÃO_V4_DNR. O servidor DHCP - que já está configurado para usar DNR - responde a esta consulta enviando o endereço IP do servidor DNS criptografado, os protocolos criptografados suportados, portas e a autenticação associada Informação. A máquina do lado do cliente utiliza essas informações para criar um túnel automaticamente para o servidor DNS criptografado, sem que nenhuma configuração de endpoint seja feita pelo usuário final.
Se você estiver interessado em aproveitar o DNR em uma máquina Windows 11 Canary, verifique as orientações da Microsoft sobre como ativar o recurso aqui. Observe que o DNR não é atualmente compatível com DNS criptografado por RA IPv6. Lembre-se também de que os mandatos de criptografia do cliente SMB e o suporte para DNR no Windows 11 ainda são sendo testado em compilações do Insider Preview e ainda não há informações sobre quando os recursos serão lançados publicamente.