Microsoft, en son Windows 11 Canary derlemesi 25992'de KOBİ güvenlik duvarı davranışlarında ve alternatif bağlantı noktaları kullanma olasılığında bazı değişiklikler yaptı.
Temel Çıkarımlar
- Windows 11 Insider Preview yapısı, ağ güvenliğini artırmak için varsayılan SMB paylaşım davranışını değiştirerek eski SMB1 bağlantı noktaları olmadan kısıtlayıcı bir güvenlik duvarı kural grubunu otomatik olarak etkinleştirir.
- Microsoft, gelecekte yalnızca zorunlu bağlantı noktalarını açıp ICMP, LLMNR ve Biriktirici Hizmeti gelen bağlantı noktalarını kapatarak SMB bağlantısını daha da güvenli hale getirmeyi hedefliyor.
- KOBİ istemcileri artık sunuculara TCP, QUIC ve RDMA üzerinden alternatif bağlantı noktaları aracılığıyla bağlanabiliyor ve bu da BT yöneticileri tarafından yapılandırma ve özelleştirme için daha fazla esneklik sağlıyor.
Microsoft yapıyor çeşitli geliştirmeler Son birkaç yılda Sunucu Mesaj Bloğuna (SMB) Windows 11 Home artık SMB1 ile birlikte gönderilmiyor güvenlik nedeniyle ve Redmond teknoloji devi de
Yalnızca birkaç saat önce kullanıma sunulmaya başlayan Windows 11 Insider Preview Canary derlemesi 25992, bir SMB paylaşımı oluşturma söz konusu olduğunda Windows Defender'ın varsayılan davranışını değiştiriyor. Windows XP Service Pack 2'nin piyasaya sürülmesinden bu yana, bir SMB paylaşımı oluşturmak, seçilen güvenlik duvarı profilleri için "Dosya ve Yazıcı Paylaşımı" kural grubunu otomatik olarak etkinleştirdi. Bu, SMB1 göz önünde bulundurularak uygulandı ve SMB cihazları ve hizmetleriyle dağıtım esnekliğini ve bağlantıyı geliştirmek için tasarlandı.
Ancak en son Windows 11 Insider Preview sürümünde bir SMB paylaşımı oluşturduğunuzda işletim sistemi otomatik olarak etkinleştir gelen NetBIOS bağlantı noktaları 137, 138 ve 139'u içermeyecek bir "Dosya ve Yazıcı Paylaşımı (Kısıtlayıcı)" grubu. Bunun nedeni, bu bağlantı noktalarının SMB1 tarafından desteklenmesi ve SMB2 veya sonraki sürümler tarafından kullanılmamasıdır. Bu aynı zamanda eski bir nedenden dolayı SMB1'i etkinleştirirseniz Güvenlik Duvarınızda bu bağlantı noktalarını yeniden açmanız gerekeceği anlamına da gelir.
Microsoft, bu yapılandırma değişikliğinin varsayılan olarak yalnızca gerekli bağlantı noktaları açıldığından daha yüksek düzeyde ağ güvenliği sağlayacağını söylüyor. Bununla birlikte, bunun yalnızca varsayılan yapılandırma olduğunu unutmamak önemlidir; BT yöneticileri yine de herhangi bir güvenlik duvarı grubunu kendi beğenilerine göre değiştirebilir. Ancak Redmond firmasının yalnızca zorunlu bağlantı noktalarını açarak KOBİ bağlantısını daha da güvenli hale getirmeye çalıştığını unutmayın. Internet Denetim İletisi Protokolü (ICMP), Yerel Bağlantı Çok Noktaya Yayın Ad Çözümlemesi (LLMNR) ve Biriktirici Hizmeti gelen bağlantı noktalarının kapatılması gelecek.
Bağlantı noktaları hakkında konuşurken Microsoft ayrıca bir tane daha yayınladı Blog yazısı KOBİ bağlantısındaki alternatif bağlantı noktası değişikliklerini açıklamak için. SMB istemcileri artık TCP, QUIC ve RDMA üzerinden alternatif bağlantı noktaları aracılığıyla SMB sunucularına bağlanabilir. Daha önce SMB sunucuları, gelen bağlantılar için TCP bağlantı noktası 445'in kullanılmasını zorunlu kılıyordu; SMB TCP istemcileri giden bağlantıları aynı bağlantı noktasına bağlıyordu; bu yapılandırma değiştirilemedi. Ancak QUIC üzerinden SMB ile UDP bağlantı noktası 443 hem istemci hem de sunucu hizmetleri tarafından kullanılabilir.
SMB istemcileri, SMB sunucularına, SMB sunucuları belirli bir bağlantı noktasını desteklediği ve bu bağlantı noktasını dinlediği sürece diğer çeşitli bağlantı noktaları aracılığıyla da bağlanabilir. BT yöneticileri, belirli sunucular için belirli bağlantı noktalarını yapılandırabilir ve hatta alternatif bağlantı noktalarını Grup İlkesi aracılığıyla tamamen engelleyebilir. Microsoft, alternatif bağlantı noktalarını NET USE ve New-SmbMapping ile nasıl eşleyebileceğiniz veya Grup İlkesi aracılığıyla bağlantı noktalarının kullanımını nasıl kontrol edebileceğiniz konusunda ayrıntılı talimatlar sağlamıştır.
Windows Server Insider'ların şu anda TCP bağlantı noktası 445'i başka bir şeye değiştiremeyeceğini unutmamak önemlidir. Ancak Microsoft, BT yöneticilerinin SMB'yi QUIC üzerinden varsayılan UDP bağlantı noktası 443'ün yanı sıra diğer bağlantı noktalarını kullanacak şekilde yapılandırmasına olanak tanıyacak.