Spoločnosť Microsoft buduje podporu pre mandát šifrovania DNR a klienta SMB v systéme Windows 11

Microsoft implementuje podporu pre Network-designated Resolvers (DNR) a príkazy na šifrovanie klientov SMB v systéme Windows 11 na zlepšenie siete.

Kľúčové informácie

  • Ukážkové zostavy Windows 11 Canary zaviedli mandáty na šifrovanie klientov SMB a podporu pre riešenie sieťových riešení (DNR) na zvýšenie zabezpečenia siete.
  • Šifrovanie SMB poskytuje komplexné zabezpečenie prenosu údajov a správcovia IT môžu nakonfigurovať klientske počítače tak, aby od cieľového servera vyžadovali šifrovanie SMB.
  • DNR eliminuje potrebu manuálnej konfigurácie koncového bodu tým, že klientskym počítačom umožňuje automaticky tunelovať na šifrované servery DNS pomocou šifrovaných protokolov ako DoH a DoT.

Server Message Block (SMB) je veľmi dôležitý komponent, pokiaľ ide o zabezpečenie pokročilého zabezpečenia siete v systéme Windows 11. Spoločnosť Microsoft urobila z podpisovania malých a stredných podnikov predvolené správanie v zostave Windows Enterprise už v máji a mala k dispozícii aj určité usmernenia týkajúce sa tohto

Proces overovania SMB ešte v júni. Teraz oznámila, že vyvíja podporu pre šifrovacie mandáty klientov SMB a sieťové riešenia (DNR) v systéme Windows 11.

Prvá implementácia šifrovacieho mandátu klienta SMB je už prítomná v Windows 11 Canary zostava 25982, ktorý bol dostupný len pred pár hodinami. Šifrovanie SMB sa využíva na zabezpečenie komplexného zabezpečenia pri prenose údajov cez sieť. Je k dispozícii s SMB 3.0 na Windows 8 a Windows Server 2012 s následnými iteráciami, ktoré pridávajú podporu pre bezpečnejšie kryptografické sady, ako sú AES-GCM a AES-256-GCM.

Najnovšie vylepšenia tejto infraštruktúry zaisťujú, že správcovia IT môžu teraz nakonfigurovať klientske počítače tak, aby tiež nariadili používanie šifrovania SMB z cieľového servera. To znamená, že ak SMB 3.x nie je k dispozícii alebo nie je nakonfigurované šifrovanie, klientsky počítač bude môcť odmietnuť pripojenie, čím sa zvýši celková bezpečnosť siete. Spoločnosť Microsoft tiež zdieľala kroky, ktoré môžu správcovia IT využiť na konfiguráciu tejto funkcie prostredníctvom skupinovej politiky alebo prostredia PowerShell, môžete si ich pozrieť tu.

Technická firma v Redmonde zdôraznila, že keďže táto funkcia kladie určité obmedzenia na konektivitu, existuje určitá rovnováha medzi výkonom a kompatibilitou, na ktorú si musíte dávať pozor. Môžete sa rozhodnúť použiť iba podpisovanie SMB pre mierne nižšiu bezpečnosť a lepší výkon, ale ak povolíte SMB šifrovanie, pamätajte, že je lepšie ako prvé, takže správanie podpisovania SMB bude zakázané v prospech šifrovania v ponuke.

Ďalším sieťovým vylepšením prítomným v systéme Windows 11 Canary build 25982 je podpora pre DNR, ktorá sa blíži štandard od Internet Engineering Task Force (IETF), ktorý umožňuje efektívnejšie zisťovanie šifrovaných DNS serverov. Doteraz sa od klientskych počítačov vyžadovalo, aby našli IP adresu šifrovaného servera DNS, ku ktorému sa chcú pripojiť, a potom vykonali príslušné konfigurácie. DNR odstraňuje potrebu tejto manuálnej konfigurácie koncového bodu využívaním šifrovaných protokolov, ako sú DNS cez HTTPS (DoH) a DNS cez TLS (DoT) na strane klienta.

DNR je vo svojej implementácii dosť sofistikované. Keď sa počítač na strane klienta s povoleným DNR pokúsi pripojiť k novej sieti, odošle požiadavku do DHCP server na získanie IP adresy spolu s ďalšími argumentmi špecifickými pre DNR, ako je OPTION_V6_DNR a OPTION_V4_DNR. Server DHCP – ktorý je už nakonfigurovaný na používanie DNR – odpovie na tento dotaz odoslaním adresy IP šifrovaného servera DNS, podporované šifrované protokoly, porty a súvisiace overenie informácie. Počítač na strane klienta potom použije tieto informácie na automatické tunelovanie na šifrovaný server DNS bez toho, aby koncový používateľ vykonal akúkoľvek konfiguráciu koncového bodu.

Ak máte záujem o využitie DNR na počítači so systémom Windows 11 Canary, prečítajte si pokyny spoločnosti Microsoft týkajúce sa povolenia tejto funkcie tu. Upozorňujeme, že DNR momentálne nie je podporovaný pre IPv6 RA Encrypted DNS. Majte tiež na pamäti, že príkazy na šifrovanie klienta SMB a podpora pre DNR v systéme Windows 11 stále platí testuje sa v zostavách Insider Preview a zatiaľ nie je známe, kedy budú funkcie uvedené na trh verejne.