A Microsoft está construindo suporte para mandato de criptografia de cliente DNR e SMB no Windows 11

O Server Message Block (SMB) é um componente altamente importante quando se trata de garantir segurança de rede avançada no Windows 11. A Microsoft tornou a assinatura SMB o comportamento padrão no Windows Enterprise build em maio e também teve algumas orientações para compartilhar sobre o processo de autenticação SMB de volta em junho. Agora, anunciou que está desenvolvendo suporte para mandatos de criptografia de cliente SMB e Resolvedores Designados pela Rede (DNR) no Windows 11.

A primeira implementação do mandato de criptografia do cliente SMB já está presente no Windows 11 Canary build 25982, que foi disponibilizado há apenas algumas horas. A criptografia SMB é aproveitada para fornecer segurança ponta a ponta durante a transferência de dados em uma rede. Ele está disponível com SMB 3.0 no Windows 8 e Windows Server 2012, com iterações subsequentes adicionando suporte para conjuntos criptográficos mais seguros, como AES-GCM e AES-256-GCM.

Os aprimoramentos mais recentes nessa infraestrutura garantem que os administradores de TI agora possam configurar máquinas clientes para também exigir o uso de criptografia SMB do servidor de destino. Isso significa que se o SMB 3.x não estiver disponível ou a criptografia não estiver configurada, a máquina cliente poderá recusar a conexão, aumentando assim a segurança geral da rede. A Microsoft também compartilhou as etapas que os administradores de TI podem aproveitar para configurar esse recurso por meio da Política de Grupo ou do PowerShell. aqui.

A empresa de tecnologia de Redmond enfatizou que, como esse recurso impõe algumas restrições à conectividade, há um certo equilíbrio entre desempenho e compatibilidade que você precisa estar atento. Você pode optar por usar apenas a assinatura SMB para obter um pouco menos de segurança e melhorar o desempenho, mas se ativar a criptografia SMB, lembre-se de que ela é superior à anterior, portanto, os comportamentos da assinatura SMB serão desativados em favor da criptografia oferecida.

Outra melhoria de rede presente no Windows 11 Canary build 25982 é o suporte para DNR, que é um padrão futuro da Internet Engineering Task Force (IETF) para permitir uma descoberta mais eficiente de servidores DNS criptografados. Até agora, as máquinas clientes eram obrigadas a encontrar o endereço IP do servidor DNS criptografado ao qual desejam se conectar e, em seguida, fazer as configurações apropriadas. O DNR elimina a necessidade dessa configuração manual de endpoint, aproveitando protocolos criptografados como DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT) no lado do cliente.

O DNR é bastante sofisticado na sua implementação. Quando uma máquina do lado do cliente com DNR habilitado tenta ingressar em uma nova rede, ela envia uma solicitação ao servidor DHCP para receber um endereço IP, junto com outros argumentos específicos para DNR, como OPTION_V6_DNR e OPTION_V4_DNR. O servidor DHCP – que já está configurado para usar DNR – responde a essa consulta enviando o endereço IP do servidor DNS criptografado, os protocolos criptografados suportados, as portas e as informações de autenticação associadas. A máquina do lado do cliente utiliza essas informações para criar um túnel automaticamente para o servidor DNS criptografado, sem que nenhuma configuração de endpoint seja feita pelo usuário final.

Se você estiver interessado em aproveitar o DNR em uma máquina Windows 11 Canary, verifique as orientações da Microsoft sobre como ativar o recurso aqui. Observe que o DNR não é atualmente compatível com DNS criptografado por RA IPv6. Lembre-se também de que os mandatos de criptografia do cliente SMB e o suporte para DNR no Windows 11 ainda estão sendo testados nas compilações do Insider Preview e ainda não há informações sobre quando os recursos serão lançados publicamente.