09.11.2023
Windows 11 больше не добавляет правила брандмауэра SMB1 Defender при создании новых общих ресурсов SMB. Эти изменения были внедрены в сборке Canary Channel Insider Preview Build 25992.
С начала версии Windows XP SP2, при создании общих ресурсов SMB автоматически устанавливались правила брандмауэра в группе "Общий доступ к файлам и принтерам" для указанных профилей. Однако в Windows 11 появилась обновленная группа "Общий доступ к файлам и принтерам (ограничительная)", исключая входящие порты NetBIOS 137–139 (которые были связаны с устаревшим SMB1). Эти изменения приносят более высокий уровень сетевой безопасности по умолчанию и более соответствуют роли "файлового сервера" в Windows Server.
Аманда Ланговски и Брэндон ЛеБлан из Microsoft отмечают, что администраторы всегда смогут настроить группу "Общий доступ к файлам и принтерам" по своему усмотрению и внести необходимые изменения. Кроме того, в будущих обновлениях планируется удалить входящие порты ICMP, LLMNR и службы спулера, оставив только необходимые для совместного использования SMB порты.
Также следует отметить, что клиент SMB в Windows 11 теперь поддерживает подключение к SMB-серверу через TCP, QUIC или RDMA через настраиваемые сетевые порты, что расширяет возможности использования этого протокола. Эти изменения вписываются в широкие усилия по усилению безопасности Windows и Windows Server.
С введением сборки Windows 11 Insider Preview Build 25982 в Canary Channel, администраторы также могут принудительно включать шифрование SMB-клиента для всех исходящих соединений. Они также имеют возможность настроить системы Windows 11 для автоматической блокировки отправки данных NTLM по SMB при удаленных исходящих соединениях, с целью предотвратить атаки с передачей хэша, ретрансляцией NTLM или взломом пароля.
Дополнительные меры безопасности были внедрены с целью защиты от атак ретрансляции NTLM, включая требование подписи SMB по умолчанию для всех подключений.
Напомним, что в апреле прошлого года Microsoft объявила о заключительном этапе отключения протокола обмена файлами SMB1. В сентябре 2022 года были введены ограничения на скорость аутентификации SMB, предназначенные для смягчения последствий неудачных попыток входящей аутентификации NTLM. В марте 2023 года в тестовой сборке Windows 11 Insider Preview Build 25314 Microsoft избавилась от устаревшего протокола Remote Mailslot, поддержка которого появилась в Windows NT.