Microsoft внесла деякі зміни в поведінку брандмауера SMB і можливість використання альтернативних портів в останній збірці Windows 11 Canary 25992.
Ключові висновки
- Попередня збірка Windows 11 Insider Preview змінює поведінку спільного доступу SMB за замовчуванням для покращення безпеки мережі, автоматично вмикаючи обмежувальну групу правил брандмауера без старих портів SMB1.
- Корпорація Майкрософт прагне зробити з’єднання SMB ще безпечнішим, відкриваючи лише обов’язкові порти та закриваючи в майбутньому вхідні порти ICMP, LLMNR і служби спулера.
- Клієнти SMB тепер можуть підключатися до серверів через альтернативні порти через TCP, QUIC і RDMA, забезпечуючи більшу гнучкість конфігурації та налаштування ІТ-адміністраторами.
Microsoft робила кілька покращень до блоку повідомлень сервера (SMB) за останні пару років. Windows 11 Home більше не поставляється з SMB1 з міркувань безпеки, і технологічний гігант Редмонда також нещодавно розпочато тестування підтримки для мережевих резолверів (DNR) і клієнтських мандатів на шифрування в SMB3.x. Сьогодні він оголосив подальші зміни в протоколі зв’язку клієнт-сервер із розгортанням останньої версії Windows 11 Insider будувати.
Windows 11 Insider Preview Canary build 25992, яка почалася лише кілька годин тому, змінює поведінку Windows Defender за замовчуванням, коли справа доходить до створення спільного ресурсу SMB. Після випуску пакета оновлень 2 для Windows XP створення спільного ресурсу SMB автоматично активувало групу правил «Спільний доступ до файлів і принтерів» для вибраних профілів брандмауера. Це було реалізовано з урахуванням SMB1 і розроблено для покращення гнучкості розгортання та підключення до пристроїв і служб SMB.
Однак коли ви створюєте спільний ресурс SMB в останній збірці Windows 11 Insider Preview, операційна система буде автоматично включити групу «Спільний доступ до файлів і принтерів (обмежувальний)», яка не міститиме вхідні порти NetBIOS 137, 138 і 139. Це пояснюється тим, що ці порти використовуються SMB1 і не використовуються SMB2 або новішими версіями. Це також означає, що якщо ви ввімкнете SMB1 з якоїсь застарілої причини, вам потрібно буде повторно відкрити ці порти у вашому брандмауері.
Microsoft каже, що ця зміна конфігурації забезпечить вищий рівень безпеки мережі, оскільки за замовчуванням відкриваються лише необхідні порти. Тим не менш, важливо зазначити, що це лише конфігурація за замовчуванням, ІТ-адміністратори можуть змінювати будь-яку групу брандмауера відповідно до своїх уподобань. Однак майте на увазі, що фірма з Редмонда прагне зробити підключення SMB ще безпечнішим, відкриваючи лише обов’язкові порти та закриваючи вхідні порти протоколу керуючих повідомлень Інтернету (ICMP), локальної багатоадресної розпізнавання імен (LLMNR) і служби спулера в майбутнє.
Говорячи про порти, Microsoft також опублікувала ще один публікація в блозі щоб описати альтернативні зміни портів у підключенні SMB. Клієнти SMB тепер можуть підключатися до серверів SMB через альтернативні порти через TCP, QUIC і RDMA. Раніше SMB-сервери передбачали використання TCP-порту 445 для вхідних з’єднань, а TCP-клієнти SMB підключалися до вихідного порту; цю конфігурацію не можна було змінити. Однак за допомогою SMB через QUIC порт UDP 443 може використовуватися як клієнтськими, так і серверними службами.
Клієнти SMB також можуть підключатися до серверів SMB через інші порти, якщо останні підтримують певний порт і прослуховують його. ІТ-адміністратори можуть налаштувати певні порти для конкретних серверів і навіть повністю заблокувати альтернативні порти за допомогою групової політики. Корпорація Майкрософт надала докладні інструкції щодо того, як зіставляти альтернативні порти за допомогою NET USE та New-SmbMapping або контролювати використання портів за допомогою групової політики.
Важливо зауважити, що Windows Server Insiders наразі не можуть змінити TCP-порт 445 на інший. Однак Microsoft дозволить ІТ-адміністраторам налаштувати SMB через QUIC на використання інших портів, окрім стандартного порту UDP 443.