A Microsoft fez algumas alterações nos comportamentos do firewall SMB e na possibilidade de usar portas alternativas no Windows 11 Canary build 25992 mais recente.
Principais conclusões
- A compilação do Windows 11 Insider Preview altera o comportamento padrão do compartilhamento SMB para melhorar a segurança da rede, habilitando automaticamente um grupo de regras de firewall restritivo sem as antigas portas SMB1.
- A Microsoft pretende tornar a conectividade SMB ainda mais segura, abrindo apenas portas obrigatórias e fechando portas de entrada ICMP, LLMNR e Spooler Service no futuro.
- Os clientes SMB agora podem se conectar a servidores por meio de portas alternativas via TCP, QUIC e RDMA, proporcionando maior flexibilidade para configuração e personalização por administradores de TI.
A Microsoft tem feito várias melhorias ao Server Message Block (SMB) nos últimos dois anos. O Windows 11 Home não vem mais com SMB1 por razões de segurança, e a gigante da tecnologia de Redmond também recentemente começou a testar o suporte
O Windows 11 Insider Preview Canary build 25992, que começou a ser implementado há apenas algumas horas, altera o comportamento padrão do Windows Defender quando se trata de criar um compartilhamento SMB. Desde o lançamento do Windows XP Service Pack 2, a criação de um compartilhamento SMB habilitou automaticamente o grupo de regras "Compartilhamento de arquivos e impressoras" para os perfis de firewall selecionados. Isso foi implementado pensando no SMB1 e foi projetado para melhorar a flexibilidade de implantação e a conectividade com dispositivos e serviços SMB.
No entanto, quando você cria um compartilhamento SMB na versão mais recente do Windows 11 Insider Preview, o sistema operacional irá ativar automaticamente um grupo "Compartilhamento de arquivos e impressoras (restritivo)", que não conterá as portas NetBIOS de entrada 137, 138 e 139. Isso ocorre porque essas portas são aproveitadas pelo SMB1 e não são utilizadas pelo SMB2 ou posterior. Isso também significa que se você ativar o SMB1 por algum motivo herdado, precisará reabrir essas portas no seu Firewall.
A Microsoft afirma que esta mudança de configuração garantirá um nível mais alto de segurança de rede, já que apenas as portas necessárias são abertas por padrão. Dito isto, é importante observar que esta é apenas a configuração padrão, os administradores de TI ainda podem modificar qualquer grupo de firewall de acordo com sua preferência. No entanto, tenha em mente que a empresa de Redmond está procurando tornar a conectividade para pequenas e médias empresas ainda mais segura, abrindo apenas portas obrigatórias e fechando o protocolo de mensagens de controle da Internet (ICMP), a resolução de nomes de multicast local de link (LLMNR) e as portas de entrada do serviço de spooler no futuro.
Falando em portos, a Microsoft também publicou outro postagem no blog para descrever mudanças de portas alternativas na conectividade SMB. Os clientes SMB agora podem se conectar a servidores SMB por meio de portas alternativas via TCP, QUIC e RDMA. Anteriormente, os servidores SMB exigiam o uso da porta TCP 445 para conexões de entrada, com clientes TCP SMB conectando-se de saída à mesma porta; esta configuração não pôde ser alterada. No entanto, com SMB sobre QUIC, a porta UDP 443 pode ser usada por serviços de cliente e servidor.
Os clientes SMB também podem se conectar a servidores SMB através de várias outras portas, desde que estas últimas suportem uma porta específica e a escutem. Os administradores de TI podem configurar portas específicas para servidores específicos e até mesmo bloquear totalmente portas alternativas por meio da Política de Grupo. A Microsoft forneceu instruções detalhadas sobre como mapear portas alternativas com NET USE e New-SmbMapping ou controlar o uso de portas por meio de Política de Grupo.
É importante observar que o Windows Server Insiders atualmente não pode alterar a porta TCP 445 para outra coisa. No entanto, a Microsoft permitirá que os administradores de TI configurem o SMB sobre QUIC para usar outras portas além da porta UDP 443 padrão.