Microsoft je naredil nekaj sprememb v obnašanju požarnega zidu SMB in možnosti uporabe alternativnih vrat v najnovejši različici Windows 11 Canary 25992.
Ključni zaključki
- Zgradba Windows 11 Insider Preview spremeni privzeto vedenje skupne rabe SMB za izboljšanje varnosti omrežja in samodejno omogoči omejevalno skupino pravil požarnega zidu brez starih vrat SMB1.
- Microsoft želi narediti povezljivost SMB še bolj varno, tako da v prihodnosti odpre samo obvezna vrata in zapre vhodna vrata ICMP, LLMNR in storitve Spooler Service.
- Odjemalci SMB se lahko zdaj povežejo s strežniki prek alternativnih vrat prek TCP, QUIC in RDMA, kar skrbnikom IT zagotavlja večjo prilagodljivost za konfiguracijo in prilagajanje.
Microsoft je ustvarjal več izboljšav v blok sporočil strežnika (SMB) v zadnjih nekaj letih. Windows 11 Home ni več dobavljen s SMB1 varnostnih razlogov, tehnološki velikan iz Redmonda pa tudi pred kratkim začel testirati podporo za omrežne razločevalce (DNR) in pooblastila za šifriranje odjemalcev v SMB3.x. Danes je objavila nadaljnje spremembe komunikacijskega protokola odjemalec-strežnik z uvedbo najnovejšega programa Windows 11 Insider graditi.
Windows 11 Insider Preview Canary build 25992, ki se je začela uvajati pred nekaj urami, spreminja privzeto vedenje programa Windows Defender, ko gre za ustvarjanje skupne rabe SMB. Od izdaje servisnega paketa 2 za Windows XP je ustvarjanje skupne rabe SMB samodejno omogočilo skupino pravil »Skupna raba datotek in tiskalnikov« za izbrane profile požarnega zidu. To je bilo implementirano z mislijo na SMB1 in je bilo zasnovano za izboljšanje prilagodljivosti uvajanja in povezljivosti z napravami in storitvami SMB.
Vendar ko ustvarite skupno rabo SMB v najnovejši gradnji Windows 11 Insider Preview, bo operacijski sistem samodejno omogoči skupino »Skupna raba datotek in tiskalnikov (omejevalno)«, ki ne bo vsebovala vhodnih vrat NetBIOS 137, 138 in 139. To je zato, ker ta vrata uporablja SMB1 in jih ne uporablja SMB2 ali novejši. To tudi pomeni, da boste morali ta vrata v požarnem zidu, če omogočite SMB1 iz nekega podedovanega razloga, znova odpreti.
Microsoft pravi, da bo ta sprememba konfiguracije zagotovila višjo raven varnosti omrežja, saj so privzeto odprta le zahtevana vrata. Kljub temu je pomembno upoštevati, da je to le privzeta konfiguracija, skrbniki IT pa lahko še vedno spremenijo katero koli skupino požarnega zidu po svojih željah. Vendar ne pozabite, da želi podjetje iz Redmonda narediti povezljivost SMB še bolj varno z odpiranjem samo obveznih vrat in zapiranje vhodnih vrat internetnega protokola za nadzorna sporočila (ICMP), lokalnega povezovalnega razločevanja imen (LLMNR) in storitve spooler v prihodnost.
Ko že govorimo o vratih, je Microsoft objavil še eno blog objava za opis alternativnih sprememb vrat v povezljivosti SMB. Odjemalci SMB se lahko zdaj povežejo s strežniki SMB prek alternativnih vrat prek TCP, QUIC in RDMA. Prej so strežniki SMB predpisovali uporabo vrat TCP 445 za vhodne povezave, pri čemer so se odjemalci TCP SMB povezovali odhodno na ista vrata; te konfiguracije ni bilo mogoče spremeniti. Pri SMB prek QUIC pa lahko vrata UDP 443 uporabljajo tako odjemalske kot strežniške storitve.
Odjemalci SMB se lahko povežejo s strežniki SMB tudi prek različnih drugih vrat, če slednja podpirajo določena vrata in jih poslušajo. Skrbniki IT lahko konfigurirajo določena vrata za določene strežnike in celo v celoti blokirajo alternativna vrata prek pravilnika skupine. Microsoft je zagotovil podrobna navodila o tem, kako lahko preslikate alternativna vrata z NET USE in New-SmbMapping ali nadzorujete uporabo vrat prek pravilnika skupine.
Pomembno je omeniti, da Windows Server Insiders trenutno ne more spremeniti vrat TCP 445 v nekaj drugega. Vendar bo Microsoft skrbnikom IT omogočil konfiguracijo SMB prek QUIC za uporabo drugih vrat poleg privzetih vrat UDP 443.