Microsoft implementerar stöd för Network-designated Resolvers (DNR) och SMB-klientkrypteringsmandat i Windows 11 för förbättrat nätverk.
Viktiga takeaways
- Windows 11 Canary-förhandsversioner har introducerat SMB-klientkrypteringsmandat och stöd för Network-designated Resolvers (DNR) för att förbättra nätverkssäkerheten.
- SMB-kryptering ger end-to-end-säkerhet för dataöverföring, och IT-administratörer kan konfigurera klientdatorer att kräva SMB-kryptering från destinationsservern.
- DNR eliminerar behovet av manuell slutpunktskonfiguration genom att tillåta klientmaskiner att automatiskt tunnla till krypterade DNS-servrar med hjälp av krypterade protokoll som DoH och DoT.
Server Message Block (SMB) är en mycket viktig komponent när det gäller att säkerställa avancerad nätverkssäkerhet i Windows 11. Microsoft gjorde SMB-signering standardbeteendet i Windows Enterprise bygga tillbaka i maj och hade också en del vägledning att dela med sig av SMB-autentiseringsprocessen i juni. Nu har det meddelat att det utvecklar stöd för krypteringsmandat för SMB-klienter och nätverksdesignade resolvers (DNR) i Windows 11.
Den första implementeringen av SMB-klientens krypteringsmandat finns redan i Windows 11 Canary build 25982, som blev tillgänglig för bara några timmar sedan. SMB-kryptering utnyttjas för att ge end-to-end-säkerhet samtidigt som data överförs över ett nätverk. Den har varit tillgänglig med SMB 3.0 på Windows 8 och Windows Server 2012, med efterföljande iterationer som har lagt till stöd för säkrare kryptografiska sviter som AES-GCM och AES-256-GCM.
De senaste förbättringarna av denna infrastruktur säkerställer att IT-administratörer nu kan konfigurera klientdatorer så att de även kräver användning av SMB-kryptering från destinationsservern. Detta innebär att om SMB 3.x inte är tillgängligt eller om kryptering inte är konfigurerad, skulle klientdatorn kunna vägra anslutningen och därmed öka den övergripande nätverkssäkerheten. Microsoft har också delat de steg som IT-administratörer kan använda för att konfigurera denna funktion via gruppolicy eller PowerShell, du kan se dem här.
Teknikföretaget Redmond har betonat att eftersom den här funktionen sätter vissa begränsningar för anslutning, finns det en viss balans mellan prestanda och kompatibilitet som du måste vara uppmärksam på. Du kan välja att bara använda SMB-signering för något lägre säkerhet och förbättrad prestanda, men om du aktiverar SMB kryptering, kom ihåg att den är överlägsen den förra, så beteendet för SMB-signering kommer att inaktiveras till förmån för krypteringen på erbjudandet.
En annan nätverksförbättring som finns i Windows 11 Canary build 25982 är stöd för DNR, som är en kommande standard från Internet Engineering Task Force (IETF) för att möjliggöra mer effektiv upptäckt av krypterad DNS servrar. Hittills har klientdatorer varit tvungna att hitta IP-adressen till den krypterade DNS-server de vill ansluta till och sedan göra lämpliga konfigurationer. DNR tar bort behovet av denna manuella slutpunktskonfiguration genom att utnyttja krypterade protokoll som DNS över HTTPS (DoH) och DNS över TLS (DoT) på klientsidan.
DNR är ganska sofistikerad i sin implementering. När en dator på klientsidan med DNR aktiverat försöker ansluta till ett nytt nätverk, skickar den en begäran till DHCP: n server för att ta emot en IP-adress, tillsammans med andra argument specifika för DNR som OPTION_V6_DNR och OPTION_V4_DNR. DHCP-servern - som redan är konfigurerad att använda DNR - svarar på denna fråga genom att skicka över IP-adressen av den krypterade DNS-servern, de krypterade protokollen, portarna och tillhörande autentisering information. Maskinen på klientsidan använder sedan denna information för att automatiskt tunnla till den krypterade DNS-servern, utan att någon slutpunktskonfiguration görs av slutanvändaren.
Om du är intresserad av att utnyttja DNR på en Windows 11 Canary-maskin, kolla in Microsofts vägledning om att aktivera funktionen här. Observera att DNR för närvarande inte stöds för IPv6 RA-krypterad DNS. Tänk också på att både SMB-klientens krypteringsmandat och stöd för DNR i Windows 11 fortfarande är kvar testas i Insider Preview-versioner och det finns ännu inget besked om när funktionerna kommer att rullas ut offentligt.