Konfigurišite SMB preko QUIC protokola za siguran udaljeni pristup datotekama

  • SMB preko QUIC-a šifrira sav SMB promet pomoću TLS 1.3 preko UDP 443 protokola i izbjegava izlaganje TCP porta 445 internetu.
  • Zahtijeva odgovarajuće serverske certifikate, konfiguraciju na Windows Server i Windows 11 klijentima, te se može integrirati s Kerberosom putem KDC proxyja.
  • Kontrola pristupa korisnika pomoću certifikata omogućava kreiranje lista dozvoljenih i blokiranih korisnika, jačajući sigurnost bez promjene korisničkog iskustva.
  • Poboljšanja u SMBv3 i Windows Serveru 2025 (obavezno potpisivanje, ograničavanje autentifikacije, blokiranje NTLM-a) drastično smanjuju rizike korištenja udaljenog SMB-a.
Daniel Terrasa

15 minuta

SMB konfiguracija preko QUIC-a za siguran udaljeni pristup

Ako radite na daljinu ili upravljate datotečnim serverima, vjerovatno ste se s ovim suočili više puta. spori VPN-oviblokirani portovi i zastarjeli protokoli koji ne ispunjavaju uslove. SMB preko QUIC-a stiže upravo da riješi tu glavobolju, omogućavajući siguran udaljeni pristup datotekama preko interneta bez potrebe za tradicionalnim VPN tunelima., i oslanjajući se na moderne tehnologije kao što su TLS 1.3 i IETF-ov QUIC protokol.

Iako možda zvuči vrlo "nišno", istina je da SMB preko QUIC-a je spreman da postane standardni način za sigurno i efikasno objavljivanje dijeljenih Windows resursa vanjskom svijetu.U ovom članku ćete detaljno vidjeti šta je SMB, zašto je mnogo sigurniji od tradicionalnog SMB-a, šta vam je potrebno da biste ga pokrenuli i radili, kako ga konfigurisati korak po korak (uključujući certifikate, KDC proxy i kontrolu pristupa klijenata) i koja sigurnosna poboljšanja Windows 11 24H2 i Windows Server 2025 donose SMB-u.

Šta je SMB preko QUIC-a i zašto je sigurniji od tradicionalnog SMB-a?

SMB preko QUIC-a je transportna varijanta za SMB protokol koja zamjenjuje TCP sa QUIC-om kao osnovnim kanalom.Umjesto korištenja staromodnog TCP porta 445, on enkapsulira sav SMB promet unutar šifriranog QUIC tunela koji putuje preko UDP 443, istog porta koji se koristi za moderni HTTPS zasnovan na HTTP/3.

QUIC protokol, standardiziran od strane IETF-a, pruža nekoliko ključne prednosti u poređenju sa klasičnim TCP-om:

  • Sav promet je uvijek šifriran i autentificiran pomoću TLS 1.3 protokola.
  • Omogućava više paralelnih tokova (pouzdanih i nepouzdanih).
  • Smanjite latenciju pomoću 0-RTT.
  • Poboljšava kontrolu zagušenja.
  • Opstaje promjene IP adrese kao što su oni tipični za mobilne mreže ili prelazak sa WiFi-ja na mobilne podatke.

Kombinacijom QUIC-a sa SMB-om, Microsoft postiže neku vrstu integriranog "SMB VPN-a"Klijent uspostavlja TLS 1.3 tunel sa datotečnim serverom, preko UDP porta 443, a standardni SMB protokol putuje unutar tog tunela. To podrazumijeva da Podaci o autentifikaciji, autorizaciji i SMB-u nikada se ne prikazuju osnovnoj mreži u obliku običnog teksta..

Takođe, Korisničko iskustvo je praktično identično korištenju interne mrežne dijeljene resurse.Funkcije kao što su višekanalni pristup, SMB potpisivanje, kompresija, visoka dostupnost, iznajmljivanje direktorija i druge nastavljaju funkcionirati kao i obično, samo unutar QUIC tunela. Krajnji korisnik jednostavno vidi mapirani disk ili dostupnu UNC putanju, bez brige o transportu.

Važno je obratiti pažnju SMB preko QUIC protokola je opcionalan i administrator ga mora svjesno omogućiti..

konfigurirati SMB

Preduslovi za implementaciju SMB-a na QUIC-u

Prije nego što razmislite o izlaganju dijeljenih resursa putem QUIC-a, morate ispuniti brojne zahtjeve i na serveru i na klijentu., kao i na nivou certifikata i mreže.

  • Na strani servera: Morate imati SMB server koji koristi kompatibilan operativni sistem, kao što je Windows Server 2022 Datacenter: Azure Edition (sa SMB funkcijama na QUIC-u) ili Windows Server 2025, gdje je ova funkcionalnost već dostupna u svim izdanjima.
  • Iz perspektive kupca: Potreban vam je Windows 11 (enterprise ili professional izdanje sa QUIC podrškom) ili ekvivalentne verzije koje mogu komunicirati SMB preko QUIC-a.

Što se tiče identiteta, Idealno bi bilo da i server i klijent budu pridruženi domenu Active Directory.tako da se autentifikacija može obaviti putem Kerberosa. Uprkos tome, Također je moguće koristiti SMB preko QUIC-a s timovima radnih grupa. korištenjem lokalnih i NTLM računa ili sa serverima pridruženim Microsoftu. Unesite kad god se za pristup dijeljenom resursu koriste domenski ili lokalni akreditivi.

Na nivou mreže, Server mora biti dostupan s interneta putem svog javnog interfejsa i imati otvoren dolazni UDP port 443.Preporuka je jasna: Nikada ne izlažite TCP port 445 vanjskom svijetu.

Na kraju, Potrebna vam je infrastruktura javnog ključa (PKI) koja je sposobna izdavati važeće TLS serverske certifikateTo može biti korporativni CA zasnovan na Active Directory Certificate Services ili pouzdani javni izdavatelj kao što je DigiCert, GlobalSign ili slično. Sljedeće je također bitno: administratorske privilegije na SMB serveru da bi mogli instalirati funkcije, konfigurirati certifikate i mijenjati pravila zaštitnog zida.

Instalacija serverskog certifikata i zahtjevi za QUIC

Jezgro SMB-a preko QUIC-a je serverski certifikat koji se koristi za uspostavljanje TLS 1.3 tunela.Bez certifikata s odgovarajućim svojstvima, veza jednostavno neće funkcionirati.

Taj certifikat Mora ispunjavati nekoliko tehničkih uslova.:

  • Koristite ključ za digitalni potpis.
  • U svrhu autentifikacije servera (EKU 1.3.6.1.5.5.7.3.1).
  • Koristite moderne algoritme kao što je SHA256RSA ili noviji i javni ključ zasnovan na ECDSA P-256 ili, alternativno, RSA od najmanje 2048 bitova.

Podjednako važan je i identitet servera. U polje Alternativno ime subjekta (SAN) morate uključiti sve potpuno kvalifikovane DNS (FQDN) unose koje će klijenti koristiti za pristup serveru., na primjer fsedge1.contoso.com ili slična imena. Izdavatelj certifikata (CN) može biti bilo ko sve dok pripada pouzdanom CA i, naravno, Certifikat mora sadržavati privatni ključ. tako da server može završiti TLS rukovanje.

Ako vaša organizacija koristi Microsoft korporativni CA, Najlakši način je kreiranje specifičnog predloška SMB certifikata na QUIC-u. i omogućiti administratoru servera da popuni DNS imena na zahtjev. Ovaj predložak može nametnuti EKU za autentifikaciju servera, dozvoljene algoritme i druge sigurnosne parametre.

Tipičan proces sa Enterprise CA uključuje otvaranje Otvorite MMC.exe na datotečnom serveru, dodajte dodatak Certifikati za račun računara, idite u Ličnu prodavnicu, kliknite desnim tasterom miša i odaberite "Zatraži novi certifikat".Odatle birate politiku registracije za Active Directory, odabirete predložak kreiran za QUIC i popunjavate polja za predmet i SAN DNS imenima koja će korisnici koristiti. Nakon registracije, certifikat će se pojaviti u trgovini i može se dodijeliti SMB servisu preko QUIC-a.

SMB preko QUIC-a

Konfigurišite SMB preko QUIC-a na serveru

Kada certifikat bude spreman, Vrijeme je da omogućite i konfigurirate SMB preko QUIC-a na serveruMožete to uraditi pomoću Windows Admin Centra ili PowerShella. Sve zavisi od vaših preferencija i vrste okruženja.

Sa Windows administratorskim centrom (WAC), Čarobnjak za podešavanje SMB-a na QUIC vodiču korak po korakOdabir certifikata, konfiguracija UDP porta, aktivacija usluge i osnovna provjera povezivosti. Međutim, ovo se odnosi samo na servere koji nisu pridruženi domeni (radna grupa). WAC ne dozvoljava konfigurisanje ove funkcije.U tom slučaju, morat ćete se poslužiti PowerShellom i cmdletsima poput New-SmbServerCertificateMapping da povežete certifikat sa uslugom.

U automatizovanijim upravljanim okruženjima, PowerShell nudi preciznu kontroluNa primjer, možete navesti dostupne certifikate, kreirati mapiranje između certifikata i SMB servera, promijeniti alternativne QUIC portove ili nametnuti dodatne zahtjeve za autentifikaciju. Cmdlets kao što su Set-SmbServerCertificateMapping Omogućavaju vam jednostavno ažuriranje povezanog digitalnog otiska prsta kada se certifikat obnovi.

Nadalje, ako želite ići korak dalje, Možete kombinovati SMB preko QUIC-a sa novim sigurnosnim funkcijama u Windows Serveru 2025 kao što su NTLM blokiranje, obavezno SMB šifriranje na klijentu ili ograničavanje SMB dijalekata na verziju 3.1.1 kako bi se spriječile veze sa starijih, manje sigurnih uređaja.

U svakom slučaju, Ne zaboravite pregledati pravila zaštitnog zida nakon što omogućite QUICDolazni UDP promet mora biti dozvoljen na portu koji ste definirali (zadano 443) i, ako konfigurirate dodatne funkcije kao što je KDC proxy, morat ćete otvoriti i TCP 443 za tu određenu uslugu.

Povežite klijente sa dijeljenim SMB resursima putem QUIC-a

Sa spremnim serverom, Vrijeme je za testiranje pristupa s Windows 11 klijentaPrvi korak je osigurati da je računar pridružen odgovarajućoj domeni ili, ako to nije moguće, da ima važeće akreditive na datotečnom serveru (lokalni ili domenski račun, ovisno o scenariju).

Bitno je da DNS imena koja ćete koristiti za povezivanje moraju se tačno podudarati sa SAN-ovima u certifikatu servera.Ova imena moraju biti objavljena na javnom DNS serveru ili, ako to nije moguće, možete ih ručno dodati u HOSTS datoteku klijenta. Ovo posljednje se preporučuje samo za testiranje ili visoko kontrolirana okruženja.

Da bi se simulirao stvarni scenarij rada na daljinu, Povežite klijentski uređaj na vanjsku mrežu gdje nema direktan pristup internim IP adresama ili kontrolerima domena servera.Ovo će potvrditi da sva komunikacija zapravo ide kroz QUIC, a ne kroz interne LAN rute.

Veza se može uspostaviti na nekoliko načina. U Exploreru datoteka, Jednostavno napišite UNC putanju do dijeljenog resursa, na primjer \\fsedge1.contoso.com\ventasWindows će prvo pokušati TCP i, ako to ne uspije, transparentno će se prebaciti na QUIC. Ako želite od početka prisilno koristiti QUIC, možete koristiti sljedeće naredbe:

NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC

ili

New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC

Ove naredbe govore klijentu da Kao prijevozno sredstvo trebali biste koristiti samo QUIC.Ako veza nije uspostavljena, imat ćete jasne naznake za provjeru certifikata, portova, DNS-a ili dodatnih zahtjeva za pristup kao što je kontrola pristupa klijenata.

KDC proxy

Kako poboljšati autentifikaciju: opcionalna upotreba KDC proxyja

U tipičnom scenariju SMB-on-QUIC, Udaljeni klijent nema direktnu vezu s kontrolerima domena Active DirectoryjaU tom slučaju, autentifikacija se obično oslanja na NTLMv2, gdje datotečni server djeluje u ime klijenta kako bi provjerio vjerodajnice unutar šifriranog tunela.

Iako se NTLMv2 prenosi zaštićen TLS 1.3 protokolom unutar QUIC-a, Trenutna sigurnosna preporuka je da se što manje oslanjate na NTLM, a da favorizujete Kerberos.Da biste ovo postigli u udaljenim okruženjima, možete implementirati uslugu KDC proxy (KDC proxy). Ovo omogućava prosljeđivanje zahtjeva za Kerberos tikete internim kontrolerima domena korištenjem šifriranog HTTPS kanala.

Konfiguracija na datotečnom serveru uključuje nekoliko Koraci korištenja PowerShella i netsh-a:

  1. Rezervišite URL za KDC proxy na HTTPS 443.
  2. Prilagodite ključeve za registraciju KPSSVC servisa kako biste omogućili ispravnu autentifikaciju.
  3. Povežite ispravan TLS certifikat s adresom i portom koristeći Add-NetIPHttpsCertBindingDa biste to uradili, trebat će vam digitalni otisak prsta certifikata koji već koristite za SMB preko QUIC-a.

Na strani klijenta, najčišći način da se naznači koje domene trebaju koristiti KDC proxy je putem Grupne direktivePostoji posebna politika u "Konfiguracija računara\Administrativni predlošci\Sistem\Kerberos\Odredi KDC proxy servere za Kerberos klijente", gdje je definiran par ime/vrijednost: ime je FQDN AD domene, a vrijednost je HTTPS URL proxyja (na primjer https fsedge1.contoso.com:443:kdcproxy /).

S ovim, Kada korisnik domene pokuša pristupiti SMB serveru koji je objavio QUIC, klijent zna da treba zatražiti Kerberos tikete putem proxyja umjesto da pokušava direktno kontaktirati kontroler domene.Sva ova komunikacija je šifrirana korištenjem HTTPS 443 protokola, bez otkrivanja vjerodajnica na posredničkoj mreži i uz zadržavanje prednosti Kerberosa kao primarne metode autentifikacije.

Revizija i nadzor malih i srednjih preduzeća na QUIC-u

Da bi se okolina držala pod kontrolom, Ključno je moći pratiti koji se klijenti povezuju putem SMB-a preko QUIC-a i šta se dešava tokom tih veza.Windows uvodi specifične događaje za ovu vrstu prometa, i na klijentu i na serveru.

  • Na strani klijenta SMB (od Windows 11 24H2), Preglednik događaja možete provjeriti u "Zapisnici aplikacija i usluga\Microsoft\Windows\SMBClient\Connectivity".Ovaj zapisnik bilježi događaje poput ID-a 30832 koji se odnose na QUIC veze. Pomaže vam da provjerite da li se veza zaista uspostavlja putem QUIC-a, da li postoje problemi s certifikatom ili da li server odbija pristup.
  • Na serveru, Imate mogućnost omogućavanja revizije određenih klijentskih certifikata pomoću naredbe Set-SmbServerConfiguration -AuditClientCertificateAccess $trueOdatle, događaji poput 3007, 3008 i 3009 u "Microsoft\Windows\SMBServer\Audit" i 30831 u dnevniku povezivanja klijenta, prikupljaju podatke o certifikatima koji pokušavaju da se povežu: subjekt, izdavatelj, serijski broj, SHA1 i SHA256 heševi i koja su pravila kontrole pristupa primijenjena.

Ovi događaji uključuju identifikator veze koji Olakšava povezivanje onoga što klijent vidi s onim što server snima.Ovo je posebno korisno u velikim okruženjima ili prilikom istraživanja incidenata odbijanja pristupa. Nadalje, služe kao osnova za sigurnosne revizije ili za otkrivanje anomalnog ponašanja.

Kontrola pristupa SMB klijenata preko QUIC-a

Osim šifriranja i autentifikacije, Windows Server 2025 uključuje dodatni nivo kontrole: kontrolu pristupa SMB klijenata preko QUIC-a.Ova funkcija vam omogućava da eksplicitno definišete koji uređaji mogu ili ne mogu uspostaviti QUIC tunel sa serverom, bez obzira na to da li vjeruju CA-u koji je izdao certifikat servera.

Mehanizam se zasniva na klijentskim certifikatima. CSvaki uređaj dobija certifikat namijenjen za autentifikaciju klijenta (EKU 1.3.6.1.5.5.7.3.2), koji izdaje CA kojem server vjeruje.Server, sa svoje strane, održava listu kontrole pristupa zasnovanu na hešovima certifikata ili identifikatorima izdavatelja (CA) koji određuju kojim klijentima je dozvoljen, a kojim blokiran pristup.

Za serversku stranu, potrebno vam je Windows Server 2022 Datacenter: Azure Edition sa odgovarajućim ažuriranjem ili Windows Server 2025SMB preko QUIC protokola je već konfigurisan i imate garanciju da vjerujete CA-u koji izdaje klijentske certifikate. Na strani klijenta, potreban vam je sistem kompatibilan sa SMB preko QUIC protokolom, klijentski certifikat instaliran u lokalnoj trgovini i privilegije za kreiranje SMB mapiranja na taj certifikat.

Prvi korak na serveru je prisilite korisnike da predoče važeći certifikat konfiguriranjem Set-SmbServerCertificateMapping -RequireClientAuthentication $trueOd tog trenutka nadalje, server ne samo da validira lanac klijentskih certifikata, već ga koristi i za odlučivanje hoće li odobriti vezu na osnovu dozvoljenih i blokiranih lista.

Na klijentu, koristeći PowerShell, dobijate hash relevantnog certifikata. Zatim kreirate mapiranje. Od tada, kada klijent pokuša da se poveže na taj FQDN putem QUIC-a, koristiće taj certifikat za autentifikaciju.

Liste dozvoljenih i blokiranih: cmdlets za kontrolu pristupa

Kada klijent i server počnu koristiti certifikate, Možete izgraditi vrlo fine politike o tome šta je dozvoljeno, a šta blokiranoWindows uvodi nekoliko cmdlets komandi za upravljanje ovim listama.

Da biste dozvolili određenom klijentu, ti koristiš Grant-SmbClientAccessToServer -Name <servidor> -IdentifierType SHA256 -Identifier <hash>gdje je identifikator SHA256 hash klijentskog certifikata. Ako u bilo kojem trenutku želite opozvati tu dozvolu, jednostavno pokrenite Revoke-SmbClientAccessToServer sa istim podacima.

Ako trebate kreirati eksplicitnu listu blokiranih adresa, možete to učiniti sa Block-SmbClientAccessToServer i obrnite to sa Unblock-SmbClientAccessToServerOva lista zabranjenih ima prednost nad dozvoljenim unosima. Stoga, ako se bilo koji certifikat u lancu klijenta podudara sa blok unosom, veza se odbija.

Pored rada sa listovima certifikata (specifični uređaji), Grupama certifikata izdavatelja možete upravljati dodavanjem unosa tipa IZDAVATELJNa primjer, omogućavanje svih prijenosa od određenog posredničkog CA ili blokiranje cijelog kompromitovanog CA. Ovo uveliko smanjuje broj unosa koje je potrebno održavati pri radu sa stotinama ili hiljadama uređaja.

Logika evaluacije je jasna: Ako nijedan od certifikata u lancu nije blokiran, a barem jedan je dozvoljen, pristup je odobren.Ako je bilo koji element u lancu eksplicitno blokiran, veza se odbija, čak i ako postoji dozvoljeni unos za određeni list certifikata. Ovo omogućava scenarije kao što je povjerenje u cijeli korijenski CA, ali hirurško odbijanje jednog ili više određenih certifikata.

Da biste provjerili status lista, možete koristiti Get-SmbClientAccessToServerOva naredba prikazuje koji su identifikatori dozvoljeni ili blokirani, kao i tip (SHA256, ISSUER, itd.) i naziv servera na koji se primjenjuju.

Klasična SMB sigurnost: zašto izlaganje SMB/CIFS-a na internetu nije dobra ideja

Prije SMB-a na QUIC-u, Uobičajeni način dijeljenja datoteka između računara bio je SMB/CIFS (na Windowsu) ili SAMBA (na Linuxu/Unixu) preko lokalne mreže.Za povezivanje izvana obično se otvarao port 445 (a ponekad i 139). Alternativno, mogao se postaviti opći VPN za pristup LAN-u.

Problem je u tome Tradicionalni SMB/CIFS je vrlo jednostavan, ali i opasan kada je izložen izvan kontrolirane interne mreže.U mnogim starijim implementacijama, promet nije šifriran. To znači da bi bilo koji napadač koji se može postaviti između klijenta i servera (Man-in-the-Middle napadi) mogao presresti i pročitati prenesene datoteke.

Ako, pored toga, server dozvoljava deljenje resursa bez lozinke ili sa slabim akreditivima, rizik vrtoglavo rasteČak i sa lozinkom, ako protokol ne šifrira ispravno autentifikaciju, Akreditivi se mogu prenositi kao običan tekst ili biti podložni napadima ponavljanja ili prenosa.Mnoge kućne mreže i mala preduzeća i dalje koriste nešifrovane verzije SMB 2.0 protokola. Ova praksa nije bez rizika.

Ovome se dodaju Historijske ranjivosti malih i srednjih preduzeća. Na primjer, zloglasni EternalBlue, kojeg iskorištava ransomware WannaCryOvaj napad se širio putem SMB-a samo na lokalnim mrežama, ali služi kao primjer onoga što bi se moglo dogoditi ako se SMB otvori direktno na internetu bez dodatne zaštite. Drugi klasični protokoli poput FTP-a ili Telneta pate od vrlo sličnih problema.

SMB preko QUIC-a i nove SMB sigurnosne funkcije u Windowsu 11 i Windows Serveru 2025 nude mnogo razumniji i robusniji način izlaganja dijeljenih resursa udaljenim korisnicima: Sve putuje šifrirano putem TLS 1.3 preko QUIC protokolaMožete se osloniti na Kerberos čak i bez direktnog pristupa kontroleru domena putem KDC proxyja. Kontrolirajte tačno koji klijenti se mogu povezati pomoću certifikata i lista dozvoljenih/blokiranih i ostavite iza sebe opasnu naviku otvaranja porta 445 prema internetu ili oslanjanja na opće VPN-ove za nešto tako osnovno kao što je pristup datotekama.

Šta je decentralizirani VPN i kako ga koristiti na Windowsu za poboljšanje vaše privatnosti
Vezani članak:
Šta je decentralizirani VPN i kako ga koristiti na Windowsu za zaštitu privatnosti