Microsoft กำลังดำเนินการสนับสนุน Resolvers ที่กำหนดโดยเครือข่าย (DNR) และข้อบังคับการเข้ารหัสไคลเอ็นต์ SMB ใน Windows 11 เพื่อปรับปรุงระบบเครือข่าย
ประเด็นที่สำคัญ
- การสร้างตัวอย่าง Canary ของ Windows 11 ได้แนะนำข้อบังคับการเข้ารหัสไคลเอ็นต์ SMB และการสนับสนุนสำหรับ Resolvers ที่กำหนดโดยเครือข่าย (DNR) เพื่อปรับปรุงความปลอดภัยของเครือข่าย
- การเข้ารหัส SMB มอบความปลอดภัยตั้งแต่ต้นทางถึงปลายทางสำหรับการถ่ายโอนข้อมูล และผู้ดูแลระบบไอทีสามารถกำหนดค่าเครื่องไคลเอนต์ให้ต้องใช้การเข้ารหัส SMB จากเซิร์ฟเวอร์ปลายทาง
- DNR ขจัดความจำเป็นในการกำหนดค่าอุปกรณ์ปลายทางด้วยตนเองโดยการอนุญาตให้เครื่องไคลเอนต์ส่งสัญญาณไปยังเซิร์ฟเวอร์ DNS ที่เข้ารหัสโดยอัตโนมัติโดยใช้โปรโตคอลที่เข้ารหัส เช่น DoH และ DoT
Server Message Block (SMB) เป็นองค์ประกอบที่สำคัญอย่างยิ่งในการรับรองความปลอดภัยเครือข่ายขั้นสูงใน Windows 11 Microsoft ทำให้ SMB ลงนามลักษณะการทำงานเริ่มต้นใน Windows Enterprise build เมื่อเดือนพฤษภาคมและยังมีคำแนะนำในการแบ่งปันเกี่ยวกับ กระบวนการตรวจสอบสิทธิ์ SMB ย้อนกลับไปในเดือนมิถุนายน. ขณะนี้ได้ประกาศว่ากำลังพัฒนาการสนับสนุนสำหรับคำสั่งการเข้ารหัสไคลเอ็นต์ SMB และ Resolvers ที่กำหนดโดยเครือข่าย (DNR) ใน Windows 11
การดำเนินการครั้งแรกของข้อบังคับการเข้ารหัสไคลเอ็นต์ SMB มีอยู่แล้วใน Windows 11 Canary รุ่น 25982ซึ่งเปิดให้บริการเมื่อไม่กี่ชั่วโมงที่แล้ว การเข้ารหัส SMB ถูกนำมาใช้เพื่อให้การรักษาความปลอดภัยแบบ end-to-end ในขณะที่ถ่ายโอนข้อมูลผ่านเครือข่าย สามารถใช้งานได้กับ SMB 3.0 บน Windows 8 และ Windows Server 2012 โดยมีการทำซ้ำครั้งต่อๆ มาซึ่งเพิ่มการรองรับชุดการเข้ารหัสที่ปลอดภัยยิ่งขึ้น เช่น AES-GCM และ AES-256-GCM
การปรับปรุงโครงสร้างพื้นฐานล่าสุดนี้ช่วยให้แน่ใจว่าขณะนี้ผู้ดูแลระบบไอทีสามารถกำหนดค่าเครื่องไคลเอนต์เพื่อควบคุมการใช้การเข้ารหัส SMB จากเซิร์ฟเวอร์ปลายทางได้ ซึ่งหมายความว่าหากไม่มี SMB 3.x หรือไม่ได้กำหนดค่าการเข้ารหัส เครื่องไคลเอ็นต์จะสามารถปฏิเสธการเชื่อมต่อได้ ซึ่งจะเป็นการเพิ่มความปลอดภัยเครือข่ายโดยรวม Microsoft ยังได้แบ่งปันขั้นตอนที่ผู้ดูแลระบบไอทีสามารถใช้เพื่อกำหนดค่าความสามารถนี้ผ่านนโยบายกลุ่มหรือ PowerShell คุณสามารถดูได้ ที่นี่.
บริษัทเทคโนโลยี Redmond เน้นย้ำว่าเนื่องจากฟีเจอร์นี้วางข้อจำกัดบางประการในการเชื่อมต่อ จึงมีความสมดุลด้านประสิทธิภาพและความเข้ากันได้ที่คุณต้องคำนึงถึง คุณสามารถเลือกใช้เพียงการลงนาม SMB เพื่อความปลอดภัยที่น้อยลงเล็กน้อยและปรับปรุงประสิทธิภาพ แต่ถ้าคุณเปิดใช้งาน SMB การเข้ารหัส โปรดจำไว้ว่ามันเหนือกว่าแบบแรก ดังนั้นพฤติกรรมของการลงนาม SMB จะถูกปิดใช้งานเพื่อสนับสนุนการเข้ารหัส ตามข้อเสนอ
การปรับปรุงเครือข่ายอื่นที่มีอยู่ใน Windows 11 Canary build 25982 คือการรองรับ DNR ซึ่งกำลังจะเกิดขึ้นเร็วๆ นี้ มาตรฐานจาก Internet Engineering Task Force (IETF) เพื่อให้การค้นหา DNS ที่เข้ารหัสมีประสิทธิภาพมากขึ้น เซิร์ฟเวอร์ จนถึงขณะนี้ เครื่องไคลเอนต์จำเป็นต้องค้นหาที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่เข้ารหัสที่พวกเขาต้องการเชื่อมต่อ จากนั้นทำการกำหนดค่าที่เหมาะสม DNR ขจัดความจำเป็นในการกำหนดค่าตำแหน่งข้อมูลด้วยตนเองโดยใช้ประโยชน์จากโปรโตคอลที่เข้ารหัส เช่น DNS ผ่าน HTTPS (DoH) และ DNS ผ่าน TLS (DoT) บนฝั่งไคลเอ็นต์
DNR ค่อนข้างซับซ้อนในการใช้งาน เมื่อเครื่องฝั่งไคลเอ็นต์ที่เปิดใช้งาน DNR พยายามเข้าร่วมเครือข่ายใหม่ เครื่องจะส่งคำขอไปยัง DHCP เซิร์ฟเวอร์เพื่อรับที่อยู่ IP พร้อมด้วยอาร์กิวเมนต์อื่น ๆ เฉพาะสำหรับ DNR เช่น OPTION_V6_DNR และ OPTION_V4_DNR เซิร์ฟเวอร์ DHCP - ซึ่งได้รับการกำหนดค่าให้ใช้ DNR แล้ว - ตอบสนองต่อแบบสอบถามนี้โดยการส่งผ่านที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่เข้ารหัส โปรโตคอลที่เข้ารหัสที่รองรับ พอร์ต และการรับรองความถูกต้องที่เกี่ยวข้อง ข้อมูล. จากนั้นเครื่องฝั่งไคลเอ็นต์จะใช้ข้อมูลนี้เพื่อส่งสัญญาณไปยังเซิร์ฟเวอร์ DNS ที่เข้ารหัสโดยอัตโนมัติ โดยที่ผู้ใช้ปลายทางไม่ต้องกำหนดค่าปลายทางใดๆ
หากคุณสนใจที่จะใช้ประโยชน์จาก DNR บนเครื่อง Windows 11 Canary โปรดดูคำแนะนำของ Microsoft เกี่ยวกับการเปิดใช้งานคุณสมบัตินี้ ที่นี่. โปรดทราบว่าขณะนี้ DNR ยังไม่รองรับ DNS ที่เข้ารหัส IPv6 RA โปรดทราบว่าทั้งคำสั่งการเข้ารหัสไคลเอ็นต์ SMB และการสนับสนุน DNR ใน Windows 11 ยังคงอยู่ กำลังได้รับการทดสอบในรุ่น Insider Preview และยังไม่มีข้อมูลว่าฟีเจอร์ดังกล่าวจะเปิดตัวเมื่อใด ต่อสาธารณะ