Microsoft внесла некоторые изменения в поведение брандмауэра SMB и возможность использования альтернативных портов в последней сборке Windows 11 Canary 25992.
Ключевые выводы
- Сборка Windows 11 Insider Preview изменяет поведение общего ресурса SMB по умолчанию для повышения безопасности сети, автоматически включая ограничительную группу правил брандмауэра без старых портов SMB1.
- Microsoft стремится сделать подключение SMB еще более безопасным, открывая в будущем только обязательные порты и закрывая входящие порты ICMP, LLMNR и службы Spooler.
- Клиенты SMB теперь могут подключаться к серверам через альтернативные порты через TCP, QUIC и RDMA, что обеспечивает большую гибкость настройки и настройки ИТ-администраторами.
Microsoft делает несколько улучшений к блоку сообщений сервера (SMB) за последние пару лет. Windows 11 Home больше не поставляется с SMB1 по соображениям безопасности, и технологический гигант из Редмонда также недавно началось тестирование поддержки для сетевых преобразователей (DNR) и требований шифрования клиентов в SMB3.x. Сегодня было объявлено дальнейшие изменения в протоколе связи клиент-сервер с выпуском последней версии Windows 11 Insider. строить.
Windows 11 Insider Preview Canary, сборка 25992, выпуск которой начался всего несколько часов назад, меняет поведение Защитника Windows по умолчанию, когда дело доходит до создания общего ресурса SMB. Начиная с выпуска пакета обновления 2 для Windows XP, создание общего ресурса SMB автоматически включало группу правил «Общий доступ к файлам и принтерам» для выбранных профилей брандмауэра. Это было реализовано с учетом SMB1 и предназначено для повышения гибкости развертывания и возможности подключения к устройствам и службам SMB.
Однако при создании общего ресурса SMB в последней сборке Windows 11 Insider Preview операционная система будет автоматически включать группу «Общий доступ к файлам и принтерам (ограничительный)», которая не будет содержать входящие порты NetBIOS 137, 138 и 139. Это связано с тем, что эти порты используются SMB1 и не используются SMB2 или более поздними версиями. Это также означает, что если вы включите SMB1 по какой-либо устаревшей причине, вам придется повторно открыть эти порты в брандмауэре.
Microsoft заявляет, что это изменение конфигурации обеспечит более высокий уровень сетевой безопасности, поскольку по умолчанию открываются только необходимые порты. Тем не менее, важно отметить, что это всего лишь конфигурация по умолчанию, ИТ-администраторы могут по-прежнему изменять любую группу брандмауэра по своему усмотрению. Однако имейте в виду, что фирма из Редмонда стремится сделать подключение SMB еще более безопасным, открывая только обязательные порты и закрытие протокола управляющих сообщений Интернета (ICMP), разрешения многоадресных имен локального канала (LLMNR) и входящих портов службы спулера в будущее.
Говоря о портах, Microsoft также опубликовала еще один Сообщение блога для описания альтернативных изменений портов при подключении SMB. Клиенты SMB теперь могут подключаться к серверам SMB через альтернативные порты через TCP, QUIC и RDMA. Ранее серверы SMB требовали использования TCP-порта 445 для входящих подключений, при этом TCP-клиенты SMB подключались к тому же порту; эту конфигурацию нельзя было изменить. Однако при использовании SMB через QUIC порт UDP 443 может использоваться как клиентскими, так и серверными службами.
Клиенты SMB также могут подключаться к серверам SMB через различные другие порты, если последний поддерживает определенный порт и прослушивает его. ИТ-администраторы могут настраивать определенные порты для определенных серверов и даже полностью блокировать альтернативные порты с помощью групповой политики. Microsoft предоставила подробные инструкции о том, как сопоставить альтернативные порты с помощью NET USE и New-SmbMapping или контролировать использование портов с помощью групповой политики.
Важно отметить, что инсайдеры Windows Server в настоящее время не могут изменить TCP-порт 445 на что-то другое. Однако Microsoft позволит ИТ-администраторам настраивать SMB через QUIC для использования других портов, помимо порта UDP по умолчанию 443.