Microsoft, gelişmiş ağ iletişimi için Windows 11'de Ağ Tarafından Belirlenen Çözümleyiciler (DNR) ve SMB istemci şifreleme talimatlarına yönelik destek uygulamaktadır.
Temel Çıkarımlar
- Windows 11 Canary önizleme yapıları, ağ güvenliğini geliştirmek için SMB istemci şifreleme talimatlarını ve Ağ Tarafından Atanmış Çözümleyicilere (DNR) yönelik desteği sunmuştur.
- SMB şifrelemesi, veri aktarımı için uçtan uca güvenlik sağlar ve BT yöneticileri, istemci makinelerini hedef sunucudan SMB şifrelemesi gerektirecek şekilde yapılandırabilir.
- DNR, istemci makinelerin DoH ve DoT gibi şifrelenmiş protokolleri kullanarak şifrelenmiş DNS sunucularına otomatik olarak tünel açmasına izin vererek manuel uç nokta yapılandırması ihtiyacını ortadan kaldırır.
Sunucu İleti Bloğu (SMB), Windows 11'de gelişmiş ağ güvenliğinin sağlanması söz konusu olduğunda son derece önemli bir bileşendir. Microsoft, Mayıs ayında Windows Enterprise derlemesinde SMB imzalamayı varsayılan davranış haline getirdi ve ayrıca bu konuyla ilgili paylaşılacak bazı kılavuzlar da vardı.
SMB istemci şifreleme yetkisinin ilk uygulaması halihazırda mevcuttur. Windows 11 Canary derlemesi 25982sadece birkaç saat önce kullanıma sunuldu. Verileri bir ağ üzerinden aktarırken uçtan uca güvenlik sağlamak için SMB şifrelemesinden yararlanılır. Windows 8 ve Windows Server 2012'de SMB 3.0 ile kullanıma sunuldu ve sonraki sürümlerde AES-GCM ve AES-256-GCM gibi daha güvenli şifreleme paketleri için destek eklendi.
Bu altyapıda yapılan en son geliştirmeler, BT yöneticilerinin artık istemci makinelerini, hedef sunucudan SMB şifrelemesinin kullanımını zorunlu kılacak şekilde yapılandırabilmesini sağlar. Bu, SMB 3.x'in mevcut olmaması veya şifrelemenin yapılandırılmaması durumunda istemci makinenin bağlantıyı reddedebileceği ve böylece genel ağ güvenliğinin artırılabileceği anlamına gelir. Microsoft ayrıca BT yöneticilerinin bu özelliği Grup İlkesi veya PowerShell aracılığıyla yapılandırmak için kullanabileceği adımları da paylaştı; bunları görüntüleyebilirsiniz Burada.
Redmond teknoloji firması, bu özelliğin bağlantıya bazı kısıtlamalar getirmesi nedeniyle dikkat etmeniz gereken belirli bir performans ve uyumluluk dengesi olduğunu vurguladı. Biraz daha az güvenlik ve gelişmiş performans için yalnızca SMB imzalamayı kullanmayı seçebilirsiniz ancak SMB'yi etkinleştirirseniz şifreleme, birincisinden daha üstün olduğunu unutmayın, bu nedenle SMB imzalama davranışları şifreleme lehine devre dışı bırakılacaktır teklif.
Windows 11 Canary yapı 25982'de bulunan bir diğer ağ geliştirmesi de yakında çıkacak olan DNR desteğidir. Şifrelenmiş DNS'nin daha etkili bir şekilde keşfedilmesini sağlamak için İnternet Mühendisliği Görev Gücü'nün (IETF) standardı sunucular. Şimdiye kadar istemci makinelerin bağlanmak istedikleri şifreli DNS sunucusunun IP adresini bulmaları ve ardından uygun yapılandırmaları yapmaları gerekiyordu. DNR, istemci tarafında HTTPS üzerinden DNS (DoH) ve TLS üzerinden DNS (DoT) gibi şifreli protokollerden yararlanarak bu manuel uç nokta yapılandırmasına olan ihtiyacı ortadan kaldırır.
DNR'nin uygulanması oldukça karmaşıktır. DNR'nin etkin olduğu istemci tarafındaki bir makine yeni bir ağa katılmaya çalıştığında DHCP'ye bir istek gönderir sunucusunun, OPTION_V6_DNR ve gibi DNR'ye özgü diğer argümanlarla birlikte bir IP adresi alması için OPTION_V4_DNR. Zaten DNR kullanacak şekilde yapılandırılmış olan DHCP sunucusu, bu sorguya IP adresi üzerinden göndererek yanıt verir. şifrelenmiş DNS sunucusunun, desteklenen şifrelenmiş protokollerin, bağlantı noktalarının ve ilgili kimlik doğrulamanın bilgi. İstemci tarafındaki makine daha sonra bu bilgiyi, son kullanıcı tarafından herhangi bir uç nokta yapılandırması yapılmadan, şifrelenmiş DNS sunucusuna otomatik olarak tünel açmak için kullanır.
Windows 11 Canary makinesinde DNR'den yararlanmak istiyorsanız Microsoft'un bu özelliğin etkinleştirilmesine ilişkin kılavuzuna göz atın Burada. DNR'nin şu anda IPv6 RA Şifreli DNS için desteklenmediğini unutmayın. Ayrıca Windows 11'de hem SMB istemci şifreleme talimatlarının hem de DNR desteğinin hala geçerli olduğunu unutmayın. Insider Preview sürümlerinde test ediliyor ve özelliklerin ne zaman kullanıma sunulacağına dair henüz bir bilgi yok halka açık.