Мицрософт је направио неке измене у понашању СМБ заштитног зида и могућности коришћења алтернативних портова у најновијој верзији оперативног система Виндовс 11 Цанари 25992.
Кључне Такеаваис
- Виндовс 11 Инсидер Превиев верзија мења подразумевано понашање СМБ дељења ради побољшања безбедности мреже, аутоматски омогућавајући рестриктивну групу правила заштитног зида без старих СМБ1 портова.
- Мицрософт има за циљ да СМБ повезивање учини још безбеднијим отварањем само обавезних портова и затварањем улазних портова за ИЦМП, ЛЛМНР и Споолер Сервице у будућности.
- СМБ клијенти сада могу да се повежу са серверима преко алтернативних портова преко ТЦП, КУИЦ и РДМА, пружајући већу флексибилност за конфигурисање и прилагођавање од стране ИТ администратора.
Мицрософт је правио неколико побољшања на блок порука сервера (СМБ) у последњих неколико година. Виндовс 11 Хоме се више не испоручује са СМБ1 из безбедносних разлога, а има и технолошки гигант Редмонд недавно је почело тестирање подршке за Ресолвере одређене мреже (ДНР) и налоге за шифровање клијента у СМБ3.к. Данас је објављено даље промене комуникацијског протокола клијент-сервер са увођењем најновијег Виндовс 11 Инсидер-а градити.
Виндовс 11 Инсидер Превиев Цанари верзија 25992, која је почела да се појављује пре само неколико сати, мења подразумевано понашање Виндовс Дефендер-а када је у питању креирање СМБ дељења. Од издавања Виндовс КСП сервисног пакета 2, креирање СМБ дељења је аутоматски омогућило групу правила „Дељење датотека и штампача“ за изабране профиле заштитног зида. Ово је имплементирано имајући на уму СМБ1 и дизајнирано је да побољша флексибилност примене и повезаност са СМБ уређајима и услугама.
Међутим, када креирате СМБ удео у најновијој верзији Виндовс 11 Инсидер Превиев, оперативни систем ће аутоматски омогући групу „Дељење датотека и штампача (ограничено)“, која неће садржати улазне НетБИОС портове 137, 138 и 139. То је зато што ове портове користи СМБ1, а не користи их СМБ2 или новији. Ово такође значи да ако омогућите СМБ1 из неког застарелог разлога, мораћете поново да отворите ове портове у свом заштитном зиду.
Мицрософт каже да ће ова промена конфигурације обезбедити виши ниво мрежне безбедности јер се подразумевано отварају само потребни портови. Уз то, важно је напоменути да је ово само подразумевана конфигурација, ИТ администратори и даље могу да измене било коју групу заштитног зида према свом укусу. Међутим, имајте на уму да компанија из Редмонда жели да СМБ повезивање учини још безбеднијом отварањем само обавезних портова и затварање Интернет Цонтрол Мессаге Протоцол (ИЦМП), Линк-Лоцал Мултицаст Наме Ресолутион (ЛЛМНР) и улазних портова услуге споолер у будућност.
Говорећи о портовима, Мицрософт је такође објавио још један блог пост да опише алтернативне промене портова у СМБ повезивању. СМБ клијенти сада могу да се повежу на СМБ сервере преко алтернативних портова преко ТЦП, КУИЦ и РДМА. Раније су СМБ сервери налагали коришћење ТЦП порта 445 за долазне везе, са СМБ ТЦП клијентима који су се повезивали одлазно на исти порт; ова конфигурација није могла да се промени. Међутим, са СМБ преко КУИЦ-а, УДП порт 443 могу да користе и клијентске и серверске услуге.
СМБ клијенти такође могу да се повежу са СМБ серверима преко разних других портова све док овај други подржава одређени порт и слуша га. ИТ администратори могу да конфигуришу одређене портове за одређене сервере, па чак и потпуно блокирају алтернативне портове путем смерница групе. Мицрософт је обезбедио детаљна упутства о томе како можете да мапирате алтернативне портове помоћу НЕТ УСЕ и Нев-СмбМаппинг, или да контролишете употребу портова путем смерница групе.
Важно је напоменути да Виндовс Сервер Инсајдери тренутно не могу да промене ТЦП порт 445 у нешто друго. Међутим, Мицрософт ће омогућити ИТ администраторима да конфигуришу СМБ преко КУИЦ-а да користе друге портове осим подразумеваног УДП порта 443.