Microsoft implementează suport pentru Rezolvatorii desemnati în rețea (DNR) și mandatele de criptare a clientului SMB în Windows 11 pentru o rețea îmbunătățită.
Recomandări cheie
- Versiunile de previzualizare Windows 11 Canary au introdus mandate de criptare a clientului SMB și suport pentru rezolutori desemnati în rețea (DNR) pentru a îmbunătăți securitatea rețelei.
- Criptarea SMB oferă securitate de la capăt la capăt pentru transferul de date, iar administratorii IT pot configura mașinile client pentru a necesita criptarea SMB de la serverul de destinație.
- DNR elimină necesitatea configurării manuale a punctelor terminale, permițând mașinilor client să facă un tunel automat către serverele DNS criptate folosind protocoale criptate precum DoH și DoT.
Server Message Block (SMB) este o componentă foarte importantă atunci când vine vorba de asigurarea securității avansate a rețelei în Windows 11. Microsoft a făcut ca SMB să semneze comportamentul implicit în versiunea Windows Enterprise încă din mai și a avut, de asemenea, câteva îndrumări de împărtășit cu privire la
Prima implementare a mandatului de criptare a clientului SMB este deja prezentă în Windows 11 Canary build 25982, care a devenit disponibil cu doar câteva ore în urmă. Criptarea SMB este valorificată pentru a oferi securitate de la capăt la capăt în timp ce se transferă date printr-o rețea. A fost disponibil cu SMB 3.0 pe Windows 8 și Windows Server 2012, cu iterațiile ulterioare adăugând suport pentru suite criptografice mai sigure precum AES-GCM și AES-256-GCM.
Cele mai recente îmbunătățiri aduse acestei infrastructuri asigură că administratorii IT pot configura acum mașinile client pentru a impune și utilizarea criptării SMB de la serverul de destinație. Aceasta înseamnă că dacă SMB 3.x nu este disponibil sau criptarea nu este configurată, mașina client ar putea refuza conexiunea, crescând astfel securitatea generală a rețelei. Microsoft a împărtășit, de asemenea, pașii pe care administratorii IT îi pot folosi pentru a configura această capacitate prin Politica de grup sau PowerShell, îi puteți vizualiza Aici.
Firma de tehnologie Redmond a subliniat că, deoarece această caracteristică impune anumite restricții asupra conectivității, există un anumit echilibru de performanță și compatibilitate de care trebuie să fii atent. Puteți alege să utilizați doar semnarea SMB pentru o securitate puțin mai mică și o performanță îmbunătățită, dar dacă activați SMB criptare, amintiți-vă că este superioară celei dintâi, astfel încât comportamentele semnării SMB vor fi dezactivate în favoarea criptării la ofertă.
O altă îmbunătățire a rețelei prezentă în Windows 11 Canary build 25982 este suportul pentru DNR, care este un viitor standard de la Internet Engineering Task Force (IETF) pentru a permite descoperirea mai eficientă a DNS-ului criptat servere. Până acum, mașinile client au fost obligate să găsească adresa IP a serverului DNS criptat la care doresc să se conecteze și apoi să facă configurațiile corespunzătoare. DNR elimină necesitatea acestei configurări manuale a punctului final, utilizând protocoale criptate precum DNS over HTTPS (DoH) și DNS over TLS (DoT) pe partea clientului.
DNR este destul de sofisticat în implementarea sa. Când o mașină de pe partea clientului cu DNR activat încearcă să se alăture unei noi rețele, trimite o solicitare către DHCP server pentru a primi o adresă IP, împreună cu alte argumente specifice DNR precum OPTION_V6_DNR și OPTION_V4_DNR. Serverul DHCP - care este deja configurat pentru a utiliza DNR - răspunde la această interogare trimițând prin adresa IP a serverului DNS criptat, protocoalele criptate acceptate, porturile și autentificarea asociată informație. Mașina de pe partea clientului utilizează apoi aceste informații pentru a se tunel automat către serverul DNS criptat, fără ca utilizatorul final să efectueze nicio configurație a punctului final.
Dacă sunteți interesat să utilizați DNR pe un computer Windows 11 Canary, consultați îndrumările Microsoft privind activarea funcției Aici. Rețineți că DNR nu este acceptat în prezent pentru DNS criptat IPv6 RA. De asemenea, rețineți că atât mandatele de criptare a clientului SMB, cât și suportul pentru DNR în Windows 11 sunt încă fiind testat în versiunile Insider Preview și încă nu se știe când vor fi lansate funcțiile public.