Корпорація Майкрософт реалізує підтримку мережевих розв’язувачів (DNR) і мандатів на шифрування клієнта SMB у Windows 11 для покращення роботи в мережі.
Ключові висновки
- Попередні збірки Windows 11 Canary представили мандати на шифрування SMB-клієнта та підтримку мережевих резолверів (DNR) для підвищення безпеки мережі.
- Шифрування SMB забезпечує наскрізну безпеку для передачі даних, а ІТ-адміністратори можуть налаштувати клієнтські комп’ютери на вимогу шифрування SMB від сервера призначення.
- DNR усуває необхідність ручного налаштування кінцевої точки, дозволяючи клієнтським машинам автоматично тунелювати до зашифрованих DNS-серверів за допомогою зашифрованих протоколів, таких як DoH і DoT.
Блок повідомлень сервера (SMB) є надзвичайно важливим компонентом, коли йдеться про забезпечення розширеної безпеки мережі в Windows 11. У травні корпорація Майкрософт зробила підписання SMB типовою поведінкою у збірці Windows Enterprise, а також поділилися деякими вказівками щодо Процес автентифікації SMB ще в червні
. Тепер він оголосив, що розробляє підтримку мандатів на шифрування SMB-клієнта та мережевих резолверів (DNR) у Windows 11.Перша реалізація мандата на шифрування клієнта SMB вже присутня в Windows 11 Canary збірка 25982, яка стала доступною буквально кілька годин тому. Шифрування SMB використовується для забезпечення наскрізної безпеки під час передачі даних через мережу. Він був доступний із SMB 3.0 у Windows 8 і Windows Server 2012, а в подальших ітераціях додано підтримку більш безпечних криптографічних пакетів, таких як AES-GCM і AES-256-GCM.
Останні вдосконалення цієї інфраструктури гарантують, що ІТ-адміністратори тепер можуть налаштовувати клієнтські комп’ютери на використання шифрування SMB із сервера призначення. Це означає, що якщо SMB 3.x недоступний або шифрування не налаштовано, клієнтська машина зможе відмовитися від підключення, тим самим підвищуючи загальну безпеку мережі. Корпорація Майкрософт також поділилася кроками, якими ІТ-адміністратори можуть скористатися для налаштування цієї можливості за допомогою групової політики або PowerShell, ви можете переглянути їх тут.
Технічна компанія Redmond підкреслила, що оскільки ця функція накладає деякі обмеження на підключення, існує певний баланс продуктивності та сумісності, про який потрібно пам’ятати. Ви можете вибрати лише підписання SMB для дещо меншої безпеки та покращеної продуктивності, але якщо ви ввімкнете SMB шифрування, пам’ятайте, що воно краще за перше, тому поведінку підпису SMB буде вимкнено на користь шифрування на пропозицію.
Інше вдосконалення мережі, наявне в збірці Windows 11 Canary 25982, — це підтримка DNR, яка з’явиться найближчим часом. стандарт від Інженерної робочої групи Інтернету (IETF), щоб забезпечити більш ефективне виявлення зашифрованих DNS серверів. Досі клієнтські машини мали знаходити IP-адресу зашифрованого DNS-сервера, до якого вони бажають підключитися, а потім виконувати відповідні конфігурації. DNR усуває потребу в цій ручній конфігурації кінцевої точки, використовуючи на стороні клієнта такі зашифровані протоколи, як DNS через HTTPS (DoH) і DNS через TLS (DoT).
ДНР досить складна у своїй реалізації. Коли клієнтська машина з увімкненим DNR намагається приєднатися до нової мережі, вона надсилає запит до DHCP сервер для отримання IP-адреси разом з іншими аргументами, специфічними для DNR, наприклад OPTION_V6_DNR і OPTION_V4_DNR. Сервер DHCP, який уже налаштовано на використання DNR, відповідає на цей запит, надсилаючи IP-адресу зашифрованого DNS-сервера, підтримуваних зашифрованих протоколів, портів і пов’язаної автентифікації інформації. Потім клієнтська машина використовує цю інформацію для автоматичного тунелювання до зашифрованого DNS-сервера без будь-якої конфігурації кінцевої точки кінцевим користувачем.
Якщо ви зацікавлені в застосуванні DNR на машині з Windows 11 Canary, перегляньте вказівки Microsoft щодо ввімкнення цієї функції тут. Зауважте, що DNR наразі не підтримується для IPv6 RA Encrypted DNS. Також майте на увазі, що і мандати шифрування SMB-клієнта, і підтримка DNR у Windows 11 все ще діють тестується в збірках Insider Preview, і поки немає інформації про те, коли ці функції будуть запущені публічно.