Windows 11 больше не будет добавлять правила брандмауэра SMB1 Defender при создании новых общих ресурсов SMB. Изменения внедрили в сборке Canary Channel Insider Preview Build 25992.
Начиная с версии Windows XP SP2, при создании общих ресурсов SMB автоматически устанавливались правила брандмауэра в группе «Общий доступ к файлам и принтерам» для указанных профилей.
Теперь в Windows 11 появится обновлённая группа «Общий доступ к файлам и принтерам (ограничительная)», исключая входящие порты NetBIOS 137–139 (которые являются артефактами SMB1). «Это изменение обеспечивает более высокий уровень сетевой безопасности по умолчанию, а также правила брандмауэра SMB, более соответствующие роли “файлового сервера” Windows Server», — заявили Аманда Ланговски и Брэндон ЛеБлан из Microsoft.
Администраторы по-прежнему смогут при необходимости настроить группу «Общий доступ к файлам и принтерам», а также изменить её.
«Мы планируем в будущих обновлениях также удалить входящие порты ICMP, LLMNR и службы спулера и ограничиться только портами, необходимыми для совместного использования SMB», — добавил главный менеджер программы Microsoft Нед Пайл.
Клиент SMB теперь также позволяет подключаться к SMB-серверу через TCP, QUIC или RDMA через настраиваемые сетевые порты — ранее SMB поддерживал только TCP/445, QUIC/443 и RDMA iWARP/5445. Эти улучшения являются частью обширных усилий по усилению безопасности Windows и Windows Server, о чем свидетельствуют другие обновления.
После появления сборки Windows 11 Insider Preview Build 25982 в Canary Channel администраторы теперь могут принудительно применять шифрование SMB-клиента для всех исходящих подключений.
Администраторы также могут настроить системы Windows 11 на автоматическую блокировку отправки данных NTLM по SMB при удалённых исходящих соединениях, чтобы предотвратить атаки с передачей хэша, ретрансляцией NTLM или взломом пароля, начиная с сборки Windows 11 Insider Preview Build 25951. В Windows 11 Insider Preview Canary Build 25381 также начали требовать подписи SMB по умолчанию для всех подключений для защиты от атак ретрансляции NTLM.
В апреле прошлого года Microsoft объявила о заключительном этапе отключения протокола обмена файлами SMB1.
В сентябре 2022 года компания также усилила защиту от атак методом перебора, представив ограничитель скорости аутентификации SMB, предназначенный для смягчения последствий неудачных попыток входящей аутентификации NTLM.
В марте 2023 года Microsoft в тестовой сборке Windows 11 Insider Preview Build 25314 избавилась от устаревшего протокола Remote Mailslot, поддержка которого появилась в Windows NT.
