Windows 11-Vorschau: Microsoft führt Änderung am SMB-Protokoll ein

Microsoft startet mit dem ab sofort verfügbaren Windows 11-Vorschau-Build 25992 eine Reihe an Änderungen beim Server Message Block (SMB)-Protokoll. Das gehört zu den längst angekündigten Sicherheits-Verbesserungen für Windows.
Windows 11, Microsoft Windows 11, Windows 11 Logo, Windows 10 Nachfolger, Windows 11 Hintergrundbilder, Windows 11 Background

Start für den experimentellen Canary-Kanal

Die Änderungen am Server Message Block (SMB)-Protokoll werden für Windows 11 eingeführt und ab sofort im Canary-Kanal des Insider-Programms getestet.

Was ist eine SMB Verbindung?

Das Server-Message-Block-Protokoll (SMB-Protokoll) dient der Freigabe von Netzwerkdateien und ermöglicht es Anwendungen auf einem Computer, Dateien zu lesen und in Dateien zu schreiben sowie Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. Es kommt also unter anderem zum Einsatz, wenn man NAS-Geräte zur Datensicherung nutzt.

Zunächst gibt es eine grundlegende Änderung der SMB-Firewall-Regeln: Das Erstellen von SMB-Freigaben ändert ein langjähriges Standardverhalten der Windows Defender Firewall. Bisher wurde bei der Erstellung einer Freigabe die Firewall automatisch so konfiguriert, dass die Regeln in der Gruppe "Datei- und Druckerfreigabe" für die jeweiligen Firewall-Profile aktiviert wurden.




Jetzt konfiguriert Windows automatisch die neue Gruppe "Datei- und Druckerfreigabe (restriktiv)", die keine eingehenden NetBIOS-Ports 137-139 mehr enthält. "Wir planen zukünftige Updates für diese Regel, um auch eingehende ICMP-, LLMNR- und Spooler-Service-Ports zu entfernen und nur die für die SMB-Freigabe erforderlichen Ports zuzulassen", schreibt Microsoft dazu im Windows-Blog.

Diese Änderung erzwingt ein höheres Maß an Standardsicherheit im Netzwerk. Administratoren können bei Bedarf weiterhin die Gruppe "Datei- und Druckerfreigabe" konfigurieren und diese neue Firewallgruppe ändern.

Ausnahmeliste für SMB-NTLM-Sperren

Des Weiteren starten die Ausnahmeliste für SMB-NTLM-Sperren: Die neue SMB-NTLM-Blockierungsfunktion, die erstmals in Windows 11 Insider Preview Build 25951 angekündigt wurde, unterstützt nun die Angabe von Ausnahmelisten für die NTLM-Verwendung.

Dies ermöglicht es einem Administrator, eine allgemeine Sperre für die NTLM-Nutzung zu konfigurieren und gleichzeitig Clients die Verwendung von NTLM für bestimmte Server zu gestatten, die Kerberos nicht unterstützen, weil sie entweder nicht mit einer Active Directory-Domäne verbunden sind oder ein Drittanbieter ohne Kerberos-Unterstützung sind.

Alternative SMB-Client- und -Server-Ports

Der SMB-Client unterstützt mit dem Build 25992 die Verbindung zu einem SMB-Server über TCP, QUIC oder RDMA unter Verwendung von alternativen Netzwerkanschlüssen zu den fest kodierten Standardwerten. Zuvor unterstützte SMB nur TCP/445, QUIC/443 und RDMA iWARP/5445.

Die letzte Änderung betrifft das SMB over QUIC-Client-Zugriffs­kontroll­zertifikat: Die erst kürzlich angekündigte SMB-über-QUIC-Client-Zugriffs­kontroll­funktion unterstützt jetzt die Verwendung von Zertifikaten mit alternativen Betreffnamen und nicht nur mit einem einzigen Betreff. Das bedeutet, dass die Client-Zugriffs­kontroll­funktion die Verwendung einer Microsoft AD-Zerti­fizierungs­stelle und mehrerer End­punkt­namen unter­stützt, genau wie die aktuell veröffentlichte Version von SMB über QUIC.

Zusammenfassung
  • Windows 11 Build 25992 testet SMB-Änderungen
  • Neue SMB-Firewall-Regeln im Insider Canary
  • SMB-Protokoll für Netzwerkdateifreigabe wichtig
  • "Datei- und Druckerfreigabe (restriktiv)" neu
  • SMB-NTLM-Sperren mit Ausnahmeliste möglich
  • SMB-Client unterstützt mehr Netzwerkanschlüsse
  • SMB over QUIC mit erweiterten Zertifikaten

Siehe auch:


Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!