Microsoft создает поддержку шифрования клиентов DNR и SMB в

Блок сообщений сервера (SMB) является очень важным компонентом, когда речь идет об обеспечении расширенной сетевой безопасности в Windows 11. Microsoft сделала подписывание SMB поведением по умолчанию в сборке Windows Enterprise еще в мае, а также поделилась некоторыми рекомендациями относительно процесса аутентификации SMB. в июне. Теперь компания объявила, что разрабатывает поддержку мандатов шифрования клиентов SMB и сетевых преобразователей (DNR) в Windows 11.

Первая реализация мандата шифрования клиента SMB уже присутствует в Windows 11 Canary, сборка 25982, которая стала доступна всего несколько часов назад. Шифрование SMB используется для обеспечения сквозной безопасности при передаче данных по сети. Он был доступен с SMB 3.0 в Windows 8 и Windows Server 2012, а в последующих итерациях была добавлена ​​поддержка более безопасных криптографических наборов, таких как AES-GCM и AES-256-GCM.

Последние усовершенствования этой инфраструктуры гарантируют, что ИТ-администраторы теперь могут настраивать клиентские компьютеры на обязательное использование шифрования SMB с целевого сервера. Это означает, что если SMB 3.x недоступен или не настроено шифрование, клиентский компьютер сможет отклонить соединение, тем самым повысив общую безопасность сети. Microsoft также поделилась шагами, которые ИТ-администраторы могут использовать для настройки этой возможности с помощью групповой политики или PowerShell. Их можно просмотреть здесь.

Техническая фирма из Редмонда подчеркнула, что, поскольку эта функция накладывает некоторые ограничения на подключение, существует определенный баланс производительности и совместимости, о котором необходимо помнить. Вы можете использовать только подпись SMB для немного меньшей безопасности и повышения производительности, но если вы включите шифрование SMB, помните, что оно лучше первого, поэтому поведение подписи SMB будет отключено в пользу предлагаемого шифрования.

Еще одно сетевое улучшение, присутствующее в Windows 11 Canary, сборка 25982, — это поддержка DNR, нового стандарта Инженерной группы Интернета (IETF), обеспечивающего более эффективное обнаружение зашифрованных DNS-серверов. До сих пор клиентским машинам требовалось найти IP-адрес зашифрованного DNS-сервера, к которому они хотят подключиться, а затем выполнить соответствующие настройки. DNR устраняет необходимость в ручной настройке конечной точки за счет использования зашифрованных протоколов, таких как DNS через HTTPS (DoH) и DNS через TLS (DoT) на стороне клиента.

ДНР довольно сложна в своей реализации. Когда клиентский компьютер с включенным DNR пытается присоединиться к новой сети, он отправляет запрос DHCP-серверу на получение IP-адреса, а также другие аргументы, специфичные для DNR, такие как OPTION_V6_DNR и OPTION_V4_DNR. DHCP-сервер, который уже настроен на использование DNR, отвечает на этот запрос, отправляя IP-адрес зашифрованного DNS-сервера, поддерживаемые зашифрованные протоколы, порты и соответствующую информацию аутентификации. Затем клиентский компьютер использует эту информацию для автоматического туннелирования к зашифрованному DNS-серверу без какой-либо настройки конечной точки конечным пользователем.

Если вы заинтересованы в использовании DNR на компьютере с Windows 11 Canary, ознакомьтесь с рекомендациями Microsoft по включению этой функции здесь. Обратите внимание, что DNR в настоящее время не поддерживается для IPv6 RA Encrypted DNS. Также имейте в виду, что как требования к шифрованию клиента SMB, так и поддержка DNR в Windows 11 все еще тестируются в сборках Insider Preview, и пока нет информации о том, когда эти функции будут доступны публично.