Microsoft har gjort några ändringar i SMB-brandväggens beteende och möjligheten att använda alternativa portar i den senaste Windows 11 Canary build 25992.
Viktiga takeaways
- Windows 11 Insider Preview build ändrar standardbeteendet för SMB-delning för att förbättra nätverkssäkerheten, vilket automatiskt aktiverar en restriktiv brandväggsregelgrupp utan de gamla SMB1-portarna.
- Microsoft strävar efter att göra SMB-anslutning ännu säkrare genom att endast öppna obligatoriska portar och stänga inkommande portar för ICMP, LLMNR och Spooler Service i framtiden.
- SMB-klienter kan nu ansluta till servrar via alternativa portar över TCP, QUIC och RDMA, vilket ger större flexibilitet för konfiguration och anpassning av IT-administratörer.
Microsoft har gjort flera förbättringar till Server Message Block (SMB) under de senaste åren. Windows 11 Home levereras inte längre med SMB1 på grund av säkerhetsskäl, och Redmond-teknikjätten har också gjort det nyligen börjat testa support för Network-designated Resolvers (DNR) och klientkrypteringsmandat i SMB3.x. Idag har det meddelats ytterligare ändringar av klient-serverkommunikationsprotokollet med lanseringen av den senaste Windows 11 Insider bygga.
Windows 11 Insider Preview Canary build 25992, som började rullas ut för bara några timmar sedan, ändrar standardbeteendet för Windows Defender när det gäller att skapa en SMB-resurs. Sedan Windows XP Service Pack 2 släpptes, har skapande av en SMB-resurs automatiskt aktiverat regelgruppen "Fil- och skrivardelning" för de valda brandväggsprofilerna. Detta implementerades med SMB1 i åtanke och var utformat för att förbättra distributionsflexibiliteten och anslutningen till SMB-enheter och -tjänster.
Men när du skapar en SMB-resurs i den senaste Windows 11 Insider Preview-versionen kommer operativsystemet att göra det automatiskt aktivera en "File and Printer Sharing (Restrictive)"-grupp, som inte kommer att innehålla de inkommande NetBIOS-portarna 137, 138 och 139. Detta beror på att dessa portar utnyttjas av SMB1 och inte används av SMB2 eller senare. Detta betyder också att om du aktiverar SMB1 av någon äldre anledning måste du öppna dessa portar igen i din brandvägg.
Microsoft säger att denna konfigurationsändring kommer att säkerställa en högre nivå av nätverkssäkerhet eftersom endast de nödvändiga portarna är öppna som standard. Som sagt, det är viktigt att notera att detta bara är standardkonfigurationen, IT-administratörer kan fortfarande ändra vilken brandväggsgrupp som helst enligt deras önskemål. Kom dock ihåg att Redmond-företaget vill göra SMB-anslutning ännu säkrare genom att endast öppna obligatoriska portar och stänga av Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) och Spooler Service inkommande portar i framtida.
På tal om portar har Microsoft också publicerat en annan blogginlägg för att beskriva alternativa portförändringar i SMB-anslutning. SMB-klienter kan nu ansluta till SMB-servrar via alternativa portar över TCP, QUIC och RDMA. Tidigare hade SMB-servrar mandat att använda TCP-port 445 för inkommande anslutningar, med SMB TCP-klienter som ansluter utgående till samma port; denna konfiguration kunde inte ändras. Men med SMB över QUIC kan UDP-port 443 användas av både klient- och servertjänster.
SMB-klienter kan också ansluta till SMB-servrar via olika andra portar så länge den senare stöder en viss port och lyssnar på den. IT-administratörer kan konfigurera specifika portar för specifika servrar och till och med blockera alternativa portar helt och hållet genom grupprincip. Microsoft har tillhandahållit detaljerade instruktioner om hur du kan mappa alternativa portar med NET USE och New-SmbMapping, eller styra användningen av portar genom gruppolicy.
Det är viktigt att notera att Windows Server Insiders för närvarande inte kan ändra TCP-port 445 till något annat. Microsoft kommer dock att göra det möjligt för IT-administratörer att konfigurera SMB över QUIC för att använda andra portar förutom standard UDP-port 443.