Microsoft uvaja podporo za omrežne razreševalce (DNR) in pooblastila za šifriranje odjemalcev SMB v sistemu Windows 11 za izboljšano mreženje.
Ključni zaključki
- Zgradbe za predogled sistema Windows 11 Canary so uvedle pooblastila za šifriranje odjemalca SMB in podporo za omrežne razločevalce (DNR) za izboljšanje varnosti omrežja.
- Šifriranje SMB zagotavlja varnost od konca do konca za prenos podatkov, skrbniki IT pa lahko konfigurirajo odjemalske stroje tako, da od ciljnega strežnika zahtevajo šifriranje SMB.
- DNR odpravlja potrebo po ročni konfiguraciji končne točke, saj odjemalskim napravam omogoča samodejno tuneliranje do šifriranih strežnikov DNS z uporabo šifriranih protokolov, kot sta DoH in DoT.
Blok sporočil strežnika (SMB) je zelo pomembna komponenta, ko gre za zagotavljanje napredne varnosti omrežja v sistemu Windows 11. Microsoft je podpisovanje za mala in srednja podjetja postavil kot privzeto vedenje v gradnji sistema Windows Enterprise že maja in je imel tudi nekaj napotkov za delitev glede
Prva izvedba pooblastila za šifriranje odjemalca SMB je že prisotna v Windows 11 Canary build 25982, ki je bil na voljo le nekaj ur nazaj. Šifriranje SMB se uporablja za zagotavljanje varnosti od konca do konca med prenosom podatkov po omrežju. Na voljo je bil s SMB 3.0 v sistemih Windows 8 in Windows Server 2012, z naslednjimi iteracijami pa je dodana podpora za varnejše kriptografske pakete, kot sta AES-GCM in AES-256-GCM.
Najnovejše izboljšave te infrastrukture zagotavljajo, da lahko skrbniki IT zdaj konfigurirajo odjemalske stroje tako, da zahtevajo tudi uporabo šifriranja SMB iz ciljnega strežnika. To pomeni, da če SMB 3.x ni na voljo ali šifriranje ni konfigurirano, bi odjemalska naprava lahko zavrnila povezavo in s tem povečala splošno varnost omrežja. Microsoft je delil tudi korake, ki jih lahko skrbniki IT uporabijo za konfiguracijo te zmožnosti prek pravilnika skupine ali PowerShell, lahko si jih ogledate tukaj.
Tehnično podjetje iz Redmonda je poudarilo, da je treba upoštevati določeno ravnotežje med zmogljivostjo in združljivostjo, ker ta funkcija postavlja nekatere omejitve pri povezljivosti. Lahko se odločite za uporabo samo podpisovanja SMB za nekoliko manjšo varnost in izboljšano zmogljivost, vendar če omogočite SMB šifriranje, ne pozabite, da je boljše od prvega, zato bo vedenje podpisovanja SMB onemogočeno v korist šifriranja Ponudba.
Druga izboljšava omrežja, ki je prisotna v Windows 11 Canary build 25982, je podpora za DNR, ki je v prihodnosti standard Internet Engineering Task Force (IETF), ki omogoča učinkovitejše odkrivanje šifriranih DNS strežniki. Do sedaj so morali odjemalski stroji poiskati naslov IP šifriranega strežnika DNS, s katerim se želijo povezati, in nato izvesti ustrezne konfiguracije. DNR odpravlja potrebo po tej ročni konfiguraciji končne točke z uporabo šifriranih protokolov, kot sta DNS prek HTTPS (DoH) in DNS prek TLS (DoT) na strani odjemalca.
DNR je precej sofisticiran pri izvajanju. Ko se naprava na strani odjemalca z omogočenim DNR poskuša pridružiti novemu omrežju, pošlje zahtevo DHCP strežnik za prejem naslova IP, skupaj z drugimi argumenti, specifičnimi za DNR, kot sta OPTION_V6_DNR in OPTION_V4_DNR. Strežnik DHCP – ki je že konfiguriran za uporabo DNR – odgovori na to poizvedbo s pošiljanjem prek naslova IP šifriranega strežnika DNS, podprtih šifriranih protokolov, vrat in povezane avtentikacije informacije. Stroj na strani odjemalca nato te informacije uporabi za samodejno tuneliranje do šifriranega strežnika DNS, ne da bi končni uporabnik izvedel kakršno koli konfiguracijo končne točke.
Če vas zanima izkoriščanje DNR na računalniku z operacijskim sistemom Windows 11 Canary, si oglejte Microsoftova navodila glede omogočanja funkcije tukaj. Upoštevajte, da DNR trenutno ni podprt za IPv6 RA Encrypted DNS. Upoštevajte tudi, da so tako pooblastila za šifriranje odjemalca SMB kot podpora za DNR v sistemu Windows 11 še vedno na voljo preizkušajo v različicah Insider Preview in še ni znano, kdaj bodo funkcije uvedene javno.