Microsoft กำลังทดสอบการเปลี่ยนแปลงกฎไฟร์วอลล์ SMB และพอร์ตทางเลือกใน Windows 11

คอมพิวเตอร์Nov 23, 2023

Microsoft ได้ทำการเปลี่ยนแปลงพฤติกรรมไฟร์วอลล์ SMB และความเป็นไปได้ในการใช้พอร์ตอื่นใน Windows 11 Canary build 25992 ล่าสุด

ประเด็นที่สำคัญ

  • Windows 11 Insider Preview build เปลี่ยนพฤติกรรมการแชร์ SMB เริ่มต้นเพื่อปรับปรุงความปลอดภัยของเครือข่าย โดยเปิดใช้งานกลุ่มกฎไฟร์วอลล์แบบจำกัดโดยอัตโนมัติโดยไม่ต้องใช้พอร์ต SMB1 เก่า
  • Microsoft ตั้งเป้าหมายที่จะทำให้การเชื่อมต่อ SMB ปลอดภัยยิ่งขึ้นด้วยการเปิดเฉพาะพอร์ตบังคับและปิดพอร์ตขาเข้า ICMP, LLMNR และ Spooler Service ในอนาคต
  • ขณะนี้ไคลเอ็นต์ SMB สามารถเชื่อมต่อกับเซิร์ฟเวอร์ผ่านพอร์ตทางเลือกผ่าน TCP, QUIC และ RDMA ได้ ซึ่งให้ความยืดหยุ่นที่มากขึ้นสำหรับการกำหนดค่าและการปรับแต่งโดยผู้ดูแลระบบไอที

ไมโครซอฟต์ได้มีการทำ การปรับปรุงหลายอย่าง ไปยัง Server Message Block (SMB) ในช่วงสองสามปีที่ผ่านมา Windows 11 Home ไม่มาพร้อมกับ SMB1 อีกต่อไป เนื่องจากเหตุผลด้านความปลอดภัย และยักษ์ใหญ่ด้านเทคโนโลยีของ Redmond ก็มีเช่นกัน เพิ่งเริ่มทดสอบการสนับสนุน สำหรับตัวแก้ไขที่กำหนดโดยเครือข่าย (DNR) และข้อกำหนดการเข้ารหัสไคลเอ็นต์ใน SMB3.x วันนี้ก็ได้มีประกาศ การเปลี่ยนแปลงเพิ่มเติมในโปรโตคอลการสื่อสารไคลเอนต์-เซิร์ฟเวอร์ด้วยการเปิดตัว Windows 11 Insider ล่าสุด สร้าง.

Windows 11 Insider Preview Canary build 25992 ซึ่งเริ่มเปิดตัวเมื่อไม่กี่ชั่วโมงที่แล้ว ได้เปลี่ยนพฤติกรรมเริ่มต้นของ Windows Defender เมื่อพูดถึงการสร้างการแชร์ SMB นับตั้งแต่เปิดตัว Windows XP Service Pack 2 การสร้างการแชร์ SMB จะเปิดใช้งานกลุ่มกฎ "การแชร์ไฟล์และเครื่องพิมพ์" โดยอัตโนมัติสำหรับโปรไฟล์ไฟร์วอลล์ที่เลือก สิ่งนี้ถูกนำมาใช้โดยคำนึงถึง SMB1 และได้รับการออกแบบมาเพื่อปรับปรุงความยืดหยุ่นในการปรับใช้และการเชื่อมต่อกับอุปกรณ์และบริการ SMB

อย่างไรก็ตาม เมื่อคุณสร้างการแชร์ SMB ใน Windows 11 Insider Preview build ล่าสุด ระบบปฏิบัติการจะทำ เปิดใช้งานโดยอัตโนมัติ กลุ่ม "การแชร์ไฟล์และเครื่องพิมพ์ (จำกัด)" ซึ่งจะไม่มีพอร์ต NetBIOS ขาเข้า 137, 138 และ 139 เนื่องจากพอร์ตเหล่านี้ใช้ประโยชน์จาก SMB1 และไม่ได้ใช้โดย SMB2 หรือใหม่กว่า ซึ่งหมายความว่าหากคุณเปิดใช้งาน SMB1 ด้วยเหตุผลบางประการ คุณจะต้องเปิดพอร์ตเหล่านี้อีกครั้งในไฟร์วอลล์ของคุณ

Microsoft กล่าวว่าการเปลี่ยนแปลงการกำหนดค่านี้จะช่วยให้มั่นใจได้ถึงระดับความปลอดภัยของเครือข่ายที่สูงขึ้น เนื่องจากเฉพาะพอร์ตที่จำเป็นเท่านั้นที่ถูกเปิดตามค่าเริ่มต้น อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือนี่เป็นเพียงการกำหนดค่าเริ่มต้น ผู้ดูแลระบบไอทียังคงสามารถแก้ไขกลุ่มไฟร์วอลล์ได้ตามต้องการ อย่างไรก็ตาม โปรดทราบว่าบริษัท Redmond กำลังมองหาที่จะทำให้การเชื่อมต่อ SMB มีความปลอดภัยมากยิ่งขึ้นโดยการเปิดเฉพาะพอร์ตที่จำเป็นเท่านั้น และ ปิด Internet Control Message Protocol (ICMP), Link-Local Multicast Name Resolution (LLMNR) และพอร์ตขาเข้าของ Spooler Service ใน อนาคต.

เมื่อพูดถึงพอร์ต Microsoft ยังได้เผยแพร่อีกอันหนึ่ง โพสต์บล็อก เพื่ออธิบายการเปลี่ยนแปลงพอร์ตทางเลือกในการเชื่อมต่อ SMB ขณะนี้ไคลเอนต์ SMB สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SMB ผ่านพอร์ตทางเลือกผ่าน TCP, QUIC และ RDMA ก่อนหน้านี้ เซิร์ฟเวอร์ SMB ได้กำหนดให้ใช้พอร์ต TCP 445 สำหรับการเชื่อมต่อขาเข้า โดยมีไคลเอ็นต์ SMB TCP เชื่อมต่อขาออกไปยังพอร์ตเดียวกัน ไม่สามารถเปลี่ยนแปลงการกำหนดค่านี้ได้ อย่างไรก็ตาม ด้วย SMB บน QUIC พอร์ต UDP 443 สามารถใช้งานได้ทั้งไคลเอนต์และเซิร์ฟเวอร์

ไคลเอนต์ SMB ยังสามารถเชื่อมต่อกับเซิร์ฟเวอร์ SMB ผ่านพอร์ตอื่น ๆ ตราบใดที่หลังรองรับพอร์ตเฉพาะและรับฟังพอร์ตนั้น ผู้ดูแลระบบไอทีสามารถกำหนดค่าพอร์ตเฉพาะสำหรับเซิร์ฟเวอร์เฉพาะ และแม้แต่บล็อกพอร์ตอื่นได้อย่างสมบูรณ์ผ่านนโยบายกลุ่ม Microsoft ได้ให้คำแนะนำโดยละเอียดเกี่ยวกับวิธีการแมปพอร์ตอื่นด้วย NET USE และ New-SmbMapping หรือควบคุมการใช้พอร์ตผ่าน Group Policy

สิ่งสำคัญคือต้องทราบว่า Windows Server Insiders ไม่สามารถเปลี่ยนพอร์ต TCP 445 เป็นอย่างอื่นได้ในขณะนี้ อย่างไรก็ตาม Microsoft จะช่วยให้ผู้ดูแลระบบไอทีกำหนดค่า SMB ผ่าน QUIC เพื่อใช้พอร์ตอื่นนอกเหนือจากพอร์ต UDP เริ่มต้น 443