Microsoft реализует поддержку сетевых преобразователей (DNR) и требований шифрования клиентов SMB в Windows 11 для улучшения работы сети.
- В предварительных сборках Windows 11 Canary реализованы требования к шифрованию клиентов SMB и поддержка сетевых преобразователей (DNR) для повышения безопасности сети.
- Шифрование SMB обеспечивает сквозную безопасность передачи данных, а ИТ-администраторы могут настроить клиентские компьютеры на требование шифрования SMB от целевого сервера.
- DNR устраняет необходимость ручной настройки конечной точки, позволяя клиентским компьютерам автоматически туннелировать к зашифрованным DNS-серверам с использованием зашифрованных протоколов, таких как DoH и DoT.
Блок сообщений сервера (SMB) является очень важным компонентом, когда речь идет об обеспечении расширенной сетевой безопасности в Windows 11. Microsoft сделала подписывание SMB поведением по умолчанию в сборке Windows Enterprise еще в мае, а также поделилась некоторыми рекомендациями относительно процесса аутентификации SMB в июне. Теперь компания объявила, что разрабатывает поддержку мандатов шифрования клиентов SMB и сетевых преобразователей (DNR) в Windows 11.
Первая реализация мандата на шифрование клиента SMB уже присутствует в Windows 11 Canary build 25982 , которая стала доступна всего несколько часов назад. Шифрование SMB используется для обеспечения сквозной безопасности при передаче данных по сети. Он был доступен с SMB 3.0 в Windows 8 и Windows Server 2012, а в последующих итерациях была добавлена поддержка более безопасных криптографических наборов, таких как AES-GCM и AES-256-GCM.
Последние усовершенствования этой инфраструктуры гарантируют, что ИТ-администраторы теперь могут настраивать клиентские компьютеры для обязательного использования шифрования SMB на целевом сервере. Это означает, что если SMB 3.x недоступен или не настроено шифрование, клиентский компьютер сможет отклонить соединение, тем самым повысив общую безопасность сети. Microsoft также поделилась шагами, которые ИТ-администраторы могут использовать для настройки этой возможности с помощью групповой политики или PowerShell.
Техническая фирма из Редмонда подчеркнула, что, поскольку эта функция накладывает некоторые ограничения на подключение, существует определенный баланс производительности и совместимости, о котором необходимо помнить. Вы можете использовать только подпись SMB для немного меньшей безопасности и повышения производительности, но если вы включите шифрование SMB, помните, что оно лучше первого, поэтому поведение подписи SMB будет отключено в пользу предлагаемого шифрования.
Еще одно сетевое улучшение, присутствующее в Windows 11 Canary, сборка 25982, — это поддержка DNR, нового стандарта Инженерной группы Интернета (IETF), обеспечивающего более эффективное обнаружение зашифрованных DNS-серверов. До сих пор клиентским машинам требовалось найти IP-адрес зашифрованного DNS-сервера, к которому они хотят подключиться, а затем выполнить соответствующие настройки. DNR устраняет необходимость в ручной настройке конечной точки за счет использования зашифрованных протоколов, таких как DNS через HTTPS (DoH) и DNS через TLS (DoT) на стороне клиента.
ДНР довольно сложна в своей реализации. Когда клиентский компьютер с включенным DNR пытается присоединиться к новой сети, он отправляет запрос DHCP-серверу на получение IP-адреса, а также другие аргументы, специфичные для DNR, такие как OPTION_V6_DNR и OPTION_V4_DNR. DHCP-сервер, который уже настроен на использование DNR, отвечает на этот запрос, отправляя IP-адрес зашифрованного DNS-сервера, поддерживаемые зашифрованные протоколы, порты и соответствующую информацию аутентификации. Затем клиентский компьютер использует эту информацию для автоматического туннелирования к зашифрованному DNS-серверу без какой-либо настройки конечной точки конечным пользователем.
Если вы заинтересованы в использовании DNR на компьютере с Windows 11 Canary, ознакомьтесь с рекомендациями Microsoft по включению этой функции здесь . Обратите внимание, что DNR в настоящее время не поддерживается для IPv6 RA Encrypted DNS. Также имейте в виду, что как требования к шифрованию клиента SMB, так и поддержка DNR в Windows 11 все еще тестируются в сборках Insider Preview, и пока нет информации о том, когда эти функции будут доступны публично.