Windows 11 ให้ผู้ดูแลระบบกำหนดการเข้ารหัส SMB สำหรับการเชื่อมต่อขาออก

Windows 11 จะให้ผู้ดูแลระบบกำหนดการเข้ารหัสไคลเอนต์ SMB สำหรับการเชื่อมต่อขาออกทั้งหมด โดยเริ่มจาก Windows 11 Insider Preview Build 25982 ในปัจจุบันที่เผยแพร่สู่ Insiders ใน Canary Channel

การเข้ารหัส SMB ให้การเข้ารหัสข้อมูลตั้งแต่ต้นทางถึงปลายทาง และสามารถเปิดใช้งานแบบต่อการแบ่งปันสำหรับไฟล์เซิร์ฟเวอร์ทั้งหมด หรือเมื่อทำการแมปไดรฟ์โดยใช้ Windows Admin Center, Windows PowerShell หรือ UNC Hardening

ความสามารถนี้ถูกรวมไว้ใน SMB 3.0 เป็นครั้งแรก บน Windows 8 และ Windows Server 2012 และได้แนะนำการสนับสนุนสำหรับชุดการเข้ารหัส AES-256-GCM กับ Windows 11 และ Windows Server 2022

ด้วยการกำหนดให้เซิร์ฟเวอร์ปลายทางทั้งหมดรองรับ SMB 3.x และการเข้ารหัส ผู้ดูแลระบบ Windows สามารถมั่นใจได้ ว่าไคลเอนต์จะสามารถสร้างการเชื่อมต่อได้หากตรงตามเงื่อนไขเหล่านี้ เพื่อป้องกันการโจมตีจากการดักฟังและการสกัดกั้น

“ตอนนี้ คุณยังสามารถกำหนดค่าไคลเอ็นต์ SMB ให้ต้องมีการเข้ารหัสได้ตลอดเวลา ไม่ว่าเซิร์ฟเวอร์ การแชร์ การเสริมความแข็งแกร่งของ UNC หรือไดรฟ์ที่แมปจะต้องเป็นอย่างไร” Ned Pyle ผู้จัดการโครงการหลักของ Microsoft กล่าว

“ซึ่งหมายความว่าผู้ดูแลระบบสามารถบังคับให้เครื่อง Windows ทั่วโลกใช้การเข้ารหัส SMB และ SMB 3.x บนการเชื่อมต่อทั้งหมด และปฏิเสธที่จะเชื่อมต่อหากเซิร์ฟเวอร์ SMB ไม่รองรับเช่นกัน”

ตัวเลือกใหม่สามารถกำหนดค่าได้โดยใช้ PowerShell หรือนโยบายกลุ่ม 'ต้องมีการเข้ารหัส' ภายใต้ Computer Configuration Administrative Templates Network Lanman Workstation

เริ่มต้นด้วย Windows 11 Insider Preview Build 25951 ผู้ดูแลระบบสามารถกำหนดค่าระบบ Windows ให้บล็อกการส่งข้อมูล NTLM ผ่าน SMB โดยอัตโนมัติบนการเชื่อมต่อขาออกระยะไกล เพื่อป้องกันการโจมตีแบบพาสเดอะแฮช การส่งต่อ NTLM หรือการเจาะรหัสผ่าน

เมื่อเปิดใช้งาน จะป้องกันไม่ให้รหัสผ่านที่แฮชของผู้ใช้ถูกส่งไปยังเซิร์ฟเวอร์ระยะไกล ซึ่งขัดขวางการโจมตีเหล่านี้ได้อย่างมีประสิทธิภาพ

ด้วยการเปิดตัว Windows 11 Insider Preview Build 25381 ไปยัง Canary Channel ทาง Microsoft ยังได้เริ่มกำหนดให้มีการลงนาม SMB (หรือ security signatures) เป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดเพื่อป้องกันการโจมตีจากการถ่ายทอด NTLM
การลงนาม SMB ที่เปิดตัวใน Windows 98 และ 2000 ได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงการป้องกันและประสิทธิภาพ โดยเพิ่มความเร็วการเข้ารหัสข้อมูลให้มากขึ้นอย่างมีนัยสำคัญ

ไพล์กล่าวว่า "การเข้ารหัส SMB มีค่าใช้จ่ายด้านประสิทธิภาพและค่าใช้จ่ายด้านความเข้ากันได้ และคุณควรบาลานซ์สิ่งนั้นกับการเซ็นชื่อใน SMB ซึ่งป้องกันการงัดแงะและมีประสิทธิภาพที่ดีกว่า แต่ไม่ป้องกันการสอดแนม หรือต่อต้านการไม่ใช้การเข้ารหัสหรือการเซ็นชื่อเลย ซึ่งมีประสิทธิภาพดีที่สุดแต่ไม่มีการรักษาความปลอดภัย"

การปรับปรุงเหล่านี้เป็นส่วนหนึ่งของความพยายามที่กว้างขึ้นในการสนับสนุนความปลอดภัยของ Windows และ Windows Server ดังที่เน้นย้ำในประกาศก่อนหน้านี้จากปีที่แล้ว

ในเดือนเมษายน ปี 2022 Microsoft ทำเครื่องหมายเหตุการณ์สำคัญ ด้วยการเปิดเผยขั้นตอนสุดท้ายของการปิดใช้งานโปรโตคอลการแชร์ไฟล์ SMB1 ที่เก่าแก่หลายทศวรรษสำหรับ Windows 11 Home Insiders

จากความก้าวหน้านี้ บริษัทยังได้เสริมความแข็งแกร่งในการป้องกันการโจมตีแบบ brute-force ด้วยการแนะนำตัวจำกัดอัตราการรับรองความถูกต้องของ SMB ซึ่งช่วยลดผลกระทบของความพยายามในการรับรองความถูกต้อง NTLM ขาเข้าที่ไม่สำเร็จ

ที่มา: https://bit.ly/46r9PfE
สนใจสั่งซื้อสินค้า Software Microsoft Windows 11 คลิกที่นี่ >> https://www.quickserv.co.th/commercial/software.html