微軟發布 Windows Server 25997 預覽版,標準版和數據中心版支持 SMB over QUIC
IT之家 11 月 16 日消息,微軟今天發布 Win11 Build 25997 預覽版更新的同時,還發布了 Windows Server Build 25997 預覽版,主要為數據中心版本和標準版添加了 SMB over QUIC。
IT之家在此附上更新內容如下:
新增內容:
數據中心版本和標準版支持 SMB over QUIC
自該版本(Build 25997)開始,Windows Server 數據中心版和標準版均支持 SMB over QUIC,此前僅在 Windows Server Azure Edition 中提供。
關于本次更新的詳細信息可以訪問:https://aka.ms/SMBoverQUICServer.
有關 SMB over QUIC 的信息可以訪問:https://aka.ms/SMBoverQUIC.
更改 SMB 防火墻規則
自該版本(Build 25997)開始,創建 SMB 分享會更改長期 Windows Defender 防火墻默認行為。
以前,創建分享會自動將防火墻配置為為給定防火墻配置文件啟用“文件和打印機共享”組中的規則。
現在,Windows 會自動配置新的“文件和打印機共享(限制性)”組,該組不再包含入站 NetBIOS 端口 137-139。
微軟計劃將來對此規則進行更新,以同時刪除入站 ICMP、LLMNR 和后臺處理程序服務端口,并限制為僅 SMB 共享所需的端口。
此更改強制實施更高的網絡安全默認標準,并使 SMB 防火墻規則更接近 Windows Server“文件服務器”角色行為。
如有必要,管理員仍然可以配置“文件和打印機共享”組,以及修改此新的防火墻組。
SMB NTLM 阻止例外列表
微軟在 Win11 Build 25951 預覽版中,SMB 客戶端將支持阻止遠程出站連接的 NTLM。Windows SPNEGO 會與目標服務器協商 Kerberos、NTLM 和其他機制,以決定支持的安全包。
IT之家注:這里的 NTLM 是指 LAN Manager 安全包的所有版本: LM、NTLM 和 NTLMv2。
得益于此,IT 管理員就可以主動阻止 Windows 通過 SMB 提供 NTLM。這樣一來,哪怕攻擊者成功欺騙用戶或應用程序向惡意服務器發送 NTLM 響應也不會收到任何 NTLM 數據,也無法進行暴力破解、密碼破解或密碼傳遞。這為企業提供了更高的保護級別,而無需完全禁用操作系統中的 NTLM 功能。
管理員可以使用組策略和 PowerShell 配置此選項。還可以使用 NET USE 和 PowerShell 根據需要阻止 SMB 連接中使用的 NTLM。
SMB 備用客戶端和服務器端口:
以前,SMB 僅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客戶端現在支持使用硬編碼默認值的備用網絡端口通過 TCP、QUIC 或 RDMA 連接到 SMB 服務器。
此外,Windows Server 中的 SMB over QUIC 服務器還支持為不同終端配置不同端口。Windows Server 不支持配置備用 SMB 服務器 TCP 端口,但 Samba 等第三方支持。
用戶可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定備用 SMB 客戶端端口,也可以使用組策略完全禁用此功能。
基于 QUIC 的 SMB 客戶端訪問控制證書更改:
Windows 11 Insider Preview Build 25977 中首次宣布的基于 QUIC 客戶端訪問控制的 SMB 功能現在支持使用具有使用者備用名稱的證書,而不僅僅是單個使用者。
這意味著客戶端訪問控制功能現在支持使用 Microsoft AD 證書頒發機構和多個終結點名稱,就像當前發布的基于 QUIC 的 SMB 版本一樣。現在,您可以使用推薦的選項評估該功能,而不需要自簽名測試證書。
可用下載:
- 18 種語言的 ISO 格式的 Windows Server LTSC 預覽版,并且只有英文的 VHDX 格式。
- ISO 和 VHDX 格式的 Windows Server Datacenter Azure 預覽版,僅英文。
- 微軟服務器語言和可選功能預覽
密鑰僅對預覽版本有效:
- 服務器標準:MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- 數據中心:2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
- Azure 版本不接受密鑰
