Microsoft реализует поддержку сетевых преобразователей (DNR) и требований шифрования клиентов SMB в Windows 11 для улучшения работы сети.
Ключевые выводы
- В предварительных сборках Windows 11 Canary реализованы требования к шифрованию клиентов SMB и поддержка сетевых преобразователей (DNR) для повышения сетевой безопасности.
- Шифрование SMB обеспечивает сквозную безопасность передачи данных, а ИТ-администраторы могут настроить клиентские компьютеры на требование шифрования SMB от целевого сервера.
- DNR устраняет необходимость ручной настройки конечной точки, позволяя клиентским компьютерам автоматически туннелировать к зашифрованным DNS-серверам с использованием зашифрованных протоколов, таких как DoH и DoT.
Блок сообщений сервера (SMB) — очень важный компонент, когда речь идет об обеспечении расширенной сетевой безопасности в Windows 11. Microsoft сделала подпись SMB стандартным поведением в сборке Windows Enterprise еще в мае, а также поделилась некоторыми рекомендациями относительно Процесс аутентификации SMB еще в июне
. Теперь компания объявила, что разрабатывает поддержку мандатов шифрования клиентов SMB и сетевых преобразователей (DNR) в Windows 11.Первая реализация мандата на шифрование клиента SMB уже присутствует в Windows 11 Канарская сборка 25982, который стал доступен всего несколько часов назад. Шифрование SMB используется для обеспечения сквозной безопасности при передаче данных по сети. Он был доступен с SMB 3.0 в Windows 8 и Windows Server 2012, а в последующих итерациях была добавлена поддержка более безопасных криптографических наборов, таких как AES-GCM и AES-256-GCM.
Последние усовершенствования этой инфраструктуры гарантируют, что ИТ-администраторы теперь могут настраивать клиентские компьютеры для обязательного использования шифрования SMB на целевом сервере. Это означает, что если SMB 3.x недоступен или не настроено шифрование, клиентский компьютер сможет отклонить соединение, тем самым повысив общую безопасность сети. Microsoft также поделилась шагами, которые ИТ-администраторы могут использовать для настройки этой возможности с помощью групповой политики или PowerShell. Вы можете просмотреть их. здесь.
Техническая фирма из Редмонда подчеркнула, что, поскольку эта функция накладывает некоторые ограничения на подключение, существует определенный баланс производительности и совместимости, о котором необходимо помнить. Вы можете использовать только подпись SMB для немного меньшей безопасности и повышения производительности, но если вы все же включите SMB шифрование, помните, что оно превосходит первое, поэтому поведение подписи SMB будет отключено в пользу шифрования. в продаже.
Еще одно сетевое улучшение, представленное в сборке Windows 11 Canary 25982, — это поддержка DNR, которая появится в будущем. стандарт Инженерной группы Интернета (IETF), позволяющий более эффективно обнаруживать зашифрованные DNS. серверы. До сих пор клиентским машинам требовалось найти IP-адрес зашифрованного DNS-сервера, к которому они хотят подключиться, а затем выполнить соответствующие настройки. DNR устраняет необходимость в ручной настройке конечной точки за счет использования зашифрованных протоколов, таких как DNS через HTTPS (DoH) и DNS через TLS (DoT) на стороне клиента.
ДНР довольно сложна в своей реализации. Когда клиентский компьютер с включенным DNR пытается подключиться к новой сети, он отправляет запрос DHCP сервер для получения IP-адреса, а также других аргументов, специфичных для DNR, таких как OPTION_V6_DNR и OPTION_V4_DNR. DHCP-сервер, который уже настроен на использование DNR, отвечает на этот запрос, отправляя IP-адрес. зашифрованного DNS-сервера, поддерживаемых зашифрованных протоколов, портов и соответствующей аутентификации. информация. Затем клиентский компьютер использует эту информацию для автоматического туннелирования к зашифрованному DNS-серверу без какой-либо настройки конечной точки конечным пользователем.
Если вы заинтересованы в использовании DNR на компьютере с Windows 11 Canary, ознакомьтесь с руководством Microsoft по включению этой функции. здесь. Обратите внимание, что DNR в настоящее время не поддерживается для IPv6 RA Encrypted DNS. Также имейте в виду, что как требования к шифрованию клиента SMB, так и поддержка DNR в Windows 11 по-прежнему доступны. тестируется в сборках Insider Preview, и пока нет информации о том, когда эти функции будут реализованы. публично.