Мицрософт имплементира подршку за Ресолвере одређене мреже (ДНР) и налоге за шифровање клијента за СМБ у Виндовс 11 ради побољшања умрежавања.
Кључне Такеаваис
- Виндовс 11 Цанари верзије за претпреглед увеле су мандате за шифровање СМБ клијента и подршку за мрежно дефинисане разрешиваче (ДНР) како би се побољшала безбедност мреже.
- СМБ шифровање обезбеђује безбедност од краја до краја за пренос података, а ИТ администратори могу да конфигуришу клијентске машине тако да захтевају СМБ шифровање са одредишног сервера.
- ДНР елиминише потребу за ручном конфигурацијом крајње тачке омогућавајући клијентским машинама да аутоматски тунелирају до шифрованих ДНС сервера користећи шифроване протоколе као што су ДоХ и ДоТ.
Блок серверских порука (СМБ) је веома важна компонента када је у питању обезбеђивање напредне безбедности мреже у оперативном систему Виндовс 11. Мицрософт је још у мају натерао СМБ да потпише подразумевано понашање у верзији Виндовс Ентерприсе-а и такође је имао неке смернице које треба да подели у вези са
Процес СМБ аутентификације још у јуну. Сада је објавио да развија подршку за СМБ клијентске налоге за шифровање и мрежне разрешиваче (ДНР) у оперативном систему Виндовс 11.Прва имплементација мандата за шифровање СМБ клијента је већ присутна Виндовс 11 Цанари верзија 25982, који је постао доступан пре само неколико сати. СМБ шифровање се користи за обезбеђивање свеобухватне безбедности током преноса података преко мреже. Доступан је са СМБ 3.0 на Виндовс 8 и Виндовс Сервер 2012, са накнадним итерацијама које су додале подршку за сигурније криптографске пакете као што су АЕС-ГЦМ и АЕС-256-ГЦМ.
Најновија побољшања ове инфраструктуре осигуравају да ИТ администратори сада могу да конфигуришу клијентске машине тако да обавежу употребу СМБ енкрипције са одредишног сервера. То значи да ако СМБ 3.к није доступан или шифровање није конфигурисано, клијентска машина би могла да одбије везу, чиме би се повећала укупна безбедност мреже. Мицрософт је такође поделио кораке које ИТ администратори могу да искористе да би конфигурисали ову могућност путем смерница групе или ПоверСхелл-а, можете их погледати овде.
Технолошка фирма из Редмонда је нагласила да, пошто ова функција поставља нека ограничења за повезивање, постоји одређени баланс перформанси и компатибилности на који морате да водите рачуна. Можете одабрати да користите само СМБ потписивање за нешто мању сигурност и побољшане перформансе, али ако омогућите СМБ шифровање, запамтите да је супериорније од претходног, тако да ће понашање СМБ потписивања бити онемогућено у корист шифровања понуда.
Још једно мрежно побољшање присутно у Виндовс 11 Цанари буилд 25982 је подршка за ДНР, која је надолазећа стандард од Интернет Енгинееринг Таск Форце (ИЕТФ) како би се омогућило ефикасније откривање шифрованог ДНС-а сервери. До сада је од клијентских машина било потребно да пронађу ИП адресу шифрованог ДНС сервера на који желе да се повежу и затим направе одговарајуће конфигурације. ДНР уклања потребу за овом ручном конфигурацијом крајње тачке коришћењем шифрованих протокола као што су ДНС преко ХТТПС-а (ДоХ) и ДНС преко ТЛС-а (ДоТ) на страни клијента.
ДНР је прилично софистициран у својој примени. Када машина на страни клијента са омогућеним ДНР-ом покуша да се придружи новој мрежи, она шаље захтев ДХЦП-у сервер да прими ИП адресу, заједно са другим аргументима специфичним за ДНР као што су ОПТИОН_В6_ДНР и ОПТИОН_В4_ДНР. ДХЦП сервер - који је већ конфигурисан да користи ДНР - одговара на овај упит слањем преко ИП адресе шифрованог ДНС сервера, подржаних шифрованих протокола, портова и припадајуће аутентификације информације. Машина на страни клијента затим користи ове информације да аутоматски тунелира до шифрованог ДНС сервера, а да крајњи корисник не изврши конфигурацију крајње тачке.
Ако сте заинтересовани да искористите ДНР на Виндовс 11 Цанари машини, погледајте Мицрософт-ово упутство у вези са омогућавањем ове функције овде. Имајте на уму да ДНР тренутно није подржан за ИПв6 РА шифровани ДНС. Такође имајте на уму да су и мандати за шифровање СМБ клијента и подршка за ДНР у оперативном систему Виндовс 11 још увек се тестира у верзијама Инсидер Превиев-а и још нема речи о томе када ће се функције појавити јавно.