Windows 11-Vorschau: Microsoft führt Änderung am SMB-Protokoll ein
Microsoft startet mit dem ab sofort verfügbaren Windows 11-Vorschau-Build 25992 eine Reihe an Änderungen beim Server Message Block (SMB)-Protokoll. Das gehört zu den längst angekündigten Sicherheits-Verbesserungen für Windows.
Zunächst gibt es eine grundlegende Änderung der SMB-Firewall-Regeln: Das Erstellen von SMB-Freigaben ändert ein langjähriges Standardverhalten der Windows Defender Firewall. Bisher wurde bei der Erstellung einer Freigabe die Firewall automatisch so konfiguriert, dass die Regeln in der Gruppe "Datei- und Druckerfreigabe" für die jeweiligen Firewall-Profile aktiviert wurden.
Jetzt konfiguriert Windows automatisch die neue Gruppe "Datei- und Druckerfreigabe (restriktiv)", die keine eingehenden NetBIOS-Ports 137-139 mehr enthält. "Wir planen zukünftige Updates für diese Regel, um auch eingehende ICMP-, LLMNR- und Spooler-Service-Ports zu entfernen und nur die für die SMB-Freigabe erforderlichen Ports zuzulassen", schreibt Microsoft dazu im Windows-Blog.
Diese Änderung erzwingt ein höheres Maß an Standardsicherheit im Netzwerk. Administratoren können bei Bedarf weiterhin die Gruppe "Datei- und Druckerfreigabe" konfigurieren und diese neue Firewallgruppe ändern.
Dies ermöglicht es einem Administrator, eine allgemeine Sperre für die NTLM-Nutzung zu konfigurieren und gleichzeitig Clients die Verwendung von NTLM für bestimmte Server zu gestatten, die Kerberos nicht unterstützen, weil sie entweder nicht mit einer Active Directory-Domäne verbunden sind oder ein Drittanbieter ohne Kerberos-Unterstützung sind.
Die letzte Änderung betrifft das SMB over QUIC-Client-Zugriffskontrollzertifikat: Die erst kürzlich angekündigte SMB-über-QUIC-Client-Zugriffskontrollfunktion unterstützt jetzt die Verwendung von Zertifikaten mit alternativen Betreffnamen und nicht nur mit einem einzigen Betreff. Das bedeutet, dass die Client-Zugriffskontrollfunktion die Verwendung einer Microsoft AD-Zertifizierungsstelle und mehrerer Endpunktnamen unterstützt, genau wie die aktuell veröffentlichte Version von SMB über QUIC.
Siehe auch:
Start für den experimentellen Canary-Kanal
Die Änderungen am Server Message Block (SMB)-Protokoll werden für Windows 11 eingeführt und ab sofort im Canary-Kanal des Insider-Programms getestet.Was ist eine SMB Verbindung?
Das Server-Message-Block-Protokoll (SMB-Protokoll) dient der Freigabe von Netzwerkdateien und ermöglicht es Anwendungen auf einem Computer, Dateien zu lesen und in Dateien zu schreiben sowie Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. Es kommt also unter anderem zum Einsatz, wenn man NAS-Geräte zur Datensicherung nutzt.Zunächst gibt es eine grundlegende Änderung der SMB-Firewall-Regeln: Das Erstellen von SMB-Freigaben ändert ein langjähriges Standardverhalten der Windows Defender Firewall. Bisher wurde bei der Erstellung einer Freigabe die Firewall automatisch so konfiguriert, dass die Regeln in der Gruppe "Datei- und Druckerfreigabe" für die jeweiligen Firewall-Profile aktiviert wurden.
Jetzt konfiguriert Windows automatisch die neue Gruppe "Datei- und Druckerfreigabe (restriktiv)", die keine eingehenden NetBIOS-Ports 137-139 mehr enthält. "Wir planen zukünftige Updates für diese Regel, um auch eingehende ICMP-, LLMNR- und Spooler-Service-Ports zu entfernen und nur die für die SMB-Freigabe erforderlichen Ports zuzulassen", schreibt Microsoft dazu im Windows-Blog.
Diese Änderung erzwingt ein höheres Maß an Standardsicherheit im Netzwerk. Administratoren können bei Bedarf weiterhin die Gruppe "Datei- und Druckerfreigabe" konfigurieren und diese neue Firewallgruppe ändern.
Ausnahmeliste für SMB-NTLM-Sperren
Des Weiteren starten die Ausnahmeliste für SMB-NTLM-Sperren: Die neue SMB-NTLM-Blockierungsfunktion, die erstmals in Windows 11 Insider Preview Build 25951 angekündigt wurde, unterstützt nun die Angabe von Ausnahmelisten für die NTLM-Verwendung.Dies ermöglicht es einem Administrator, eine allgemeine Sperre für die NTLM-Nutzung zu konfigurieren und gleichzeitig Clients die Verwendung von NTLM für bestimmte Server zu gestatten, die Kerberos nicht unterstützen, weil sie entweder nicht mit einer Active Directory-Domäne verbunden sind oder ein Drittanbieter ohne Kerberos-Unterstützung sind.
Alternative SMB-Client- und -Server-Ports
Der SMB-Client unterstützt mit dem Build 25992 die Verbindung zu einem SMB-Server über TCP, QUIC oder RDMA unter Verwendung von alternativen Netzwerkanschlüssen zu den fest kodierten Standardwerten. Zuvor unterstützte SMB nur TCP/445, QUIC/443 und RDMA iWARP/5445.Die letzte Änderung betrifft das SMB over QUIC-Client-Zugriffskontrollzertifikat: Die erst kürzlich angekündigte SMB-über-QUIC-Client-Zugriffskontrollfunktion unterstützt jetzt die Verwendung von Zertifikaten mit alternativen Betreffnamen und nicht nur mit einem einzigen Betreff. Das bedeutet, dass die Client-Zugriffskontrollfunktion die Verwendung einer Microsoft AD-Zertifizierungsstelle und mehrerer Endpunktnamen unterstützt, genau wie die aktuell veröffentlichte Version von SMB über QUIC.
Zusammenfassung
- Windows 11 Build 25992 testet SMB-Änderungen
- Neue SMB-Firewall-Regeln im Insider Canary
- SMB-Protokoll für Netzwerkdateifreigabe wichtig
- "Datei- und Druckerfreigabe (restriktiv)" neu
- SMB-NTLM-Sperren mit Ausnahmeliste möglich
- SMB-Client unterstützt mehr Netzwerkanschlüsse
- SMB over QUIC mit erweiterten Zertifikaten
Siehe auch:
Thema:
Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
- So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
- Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
- Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
- Windows 11: Installationsmedium mit eigenen Treibern - so geht's
- Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Samsung Health: Nutzer müssen Daten für KI freigeben, sonst Löschung
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
- Nur heute: 13 Weekend-Deals bei Media Markt & Saturn, die sich lohnen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!