Microsoft a făcut câteva modificări comportamentului firewall-ului IMM-urilor și a posibilității de a utiliza porturi alternative în cea mai recentă versiune Windows 11 Canary 25992.
Recomandări cheie
- Windows 11 Insider Preview build modifică comportamentul implicit de partajare SMB pentru a îmbunătăți securitatea rețelei, activând automat un grup restrictiv de reguli de firewall fără vechile porturi SMB1.
- Microsoft își propune să facă conectivitatea IMM-urilor și mai sigură prin deschiderea doar porturi obligatorii și prin închiderea porturilor de intrare ICMP, LLMNR și Spooler Service în viitor.
- Clienții SMB se pot conecta acum la servere prin porturi alternative prin TCP, QUIC și RDMA, oferind o mai mare flexibilitate pentru configurare și personalizare de către administratorii IT.
Microsoft a făcut mai multe îmbunătățiri la Server Message Block (SMB) în ultimii doi ani. Windows 11 Home nu mai este livrat cu SMB1 din motive de securitate, iar gigantul tehnologic de la Redmond a făcut-o de asemenea
a început recent testarea suportului pentru Resolverele desemnate de rețea (DNR) și mandatele de criptare a clientului în SMB3.x. Astăzi, a anunțat modificări suplimentare ale protocolului de comunicare client-server odată cu lansarea celui mai recent Windows 11 Insider construi.Windows 11 Insider Preview Canary build 25992, care a început să fie lansat cu doar câteva ore în urmă, schimbă comportamentul implicit al Windows Defender atunci când vine vorba de crearea unei partajări SMB. De la lansarea Windows XP Service Pack 2, crearea unei partajări SMB a activat automat grupul de reguli „Partajare fișiere și imprimante” pentru profilurile de firewall selectate. Acest lucru a fost implementat având în vedere SMB1 și a fost conceput pentru a îmbunătăți flexibilitatea implementării și conectivitatea cu dispozitivele și serviciile IMM-urilor.
Cu toate acestea, atunci când creați o partajare SMB în cea mai recentă versiune Windows 11 Insider Preview, sistemul de operare va activați automat un grup „Partajare fișiere și imprimante (restrictive)”, care nu va conține porturile NetBIOS de intrare 137, 138 și 139. Acest lucru se datorează faptului că aceste porturi sunt utilizate de SMB1 și nu sunt utilizate de SMB2 sau mai târziu. Aceasta înseamnă, de asemenea, că, dacă activați SMB1 dintr-un motiv vechi, va trebui să redeschideți aceste porturi în Firewall.
Microsoft spune că această modificare a configurației va asigura un nivel mai ridicat de securitate a rețelei, deoarece numai porturile necesare sunt deschise în mod implicit. Acestea fiind spuse, este important de reținut că aceasta este doar configurația implicită, administratorii IT pot modifica în continuare orice grup de firewall după preferințele lor. Cu toate acestea, rețineți că firma de la Redmond încearcă să facă conectivitatea IMM-urilor și mai sigură prin deschiderea doar a porturi obligatorii și închiderea Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) și porturile de intrare ale serviciului Spooler în viitor.
Vorbind despre porturi, Microsoft a publicat și un altul postare pe blog pentru a descrie modificările alternative ale porturilor în conectivitatea SMB. Clienții SMB se pot conecta acum la serverele SMB prin porturi alternative prin TCP, QUIC și RDMA. Anterior, serverele SMB au impus utilizarea portului TCP 445 pentru conexiunile de intrare, cu clienții SMB TCP conectându-se la ieșire la același port; această configurație nu a putut fi schimbată. Cu toate acestea, cu SMB peste QUIC, portul UDP 443 poate fi utilizat atât de către serviciile client, cât și de către server.
Clienții SMB se pot conecta și la serverele SMB prin diferite alte porturi, atâta timp cât acesta din urmă acceptă un anumit port și ascultă pe el. Administratorii IT pot configura anumite porturi pentru anumite servere și chiar pot bloca complet porturi alternative prin politica de grup. Microsoft a oferit instrucțiuni detaliate despre cum puteți mapa porturi alternative cu NET USE și New-SmbMapping sau puteți controla utilizarea porturilor prin Politica de grup.
Este important de reținut că Windows Server Insiders nu poate schimba în prezent portul TCP 445 cu altceva. Cu toate acestea, Microsoft va permite administratorilor IT să configureze SMB prin QUIC pentru a utiliza alte porturi în afară de portul UDP implicit 443.