SMB(服务器消息块)是确保 Windows 11 网络安全的关键组件之一。Microsoft 在 2023 年 5 月为 Windows 企业版默认启用了 SMB 签名,并于 6 月发布了 SMB 认证流程的指南。目前,正在着手为 Windows 11 开发增强的 SMB 加密和 DNR(网络指定解析器)支持,以进一步提升网络安全水平。
SMB 加密已经在 Windows 11 Canary Build 25982 中率先实现,旨在为网络数据传输提供端到端的安全性。这一功能脱胎 Windows 8 和 Windows Server 2012 的 SMB 3.0,后续版本还增加了更安全的 AES-GCM 和 AES-256-GCM 加密套件支持。
通过这一新的增强基础架构,IT 管理员现在可以配置客户端机器,要求目标服务器也使用 SMB 加密。这意味着如果 SMB 3.x 未启用或未配置加密,客户机可以拒绝连接,从而提高整体网络安全性。IT 管理员可以使用组策略或 PowerShell 来配置这一功能,具体步骤请参考此链接。
该安全功能对连接施加了一定限制,因此需要在性能和兼容性之间取得平衡。您可以选择仅使用 SMB 签名以稍低的安全性获得更好的性能。
一旦启用了 SMB 加密,它将优先于 SMB 签名,且 SMB 签名的功能将被禁用。
Windows 11 Canary Build 25982 还新增了对 DNR(网络指定解析器)的支持,这是一种由 IETF(互联网工程任务组织)开发的标准,用于更有效地发现加密 DNS 服务器。以前,客户端需要手动配置加密 DNS 服务器的 IP 地址和其他信息。DNR 消除了这一需要,使客户端可以自动发现和连接到加密 DNS 服务器。
DNR 的实现比较复杂,简单来说:当启用 DNR 的客户端计算机试图加入新网络时,它会向 DHCP 服务器发送请求获取 IP 地址,以及 DNR 特有的 OPTION_V6_DNR
和 OPTION_V4_DNR
参数。如果 DHCP 服务器已配置为支持 DNR,它将在响应中发送加密 DNS 服务器的 IP 地址、支持的加密协议、端口和相关的认证信息。客户端会使用这些信息自动连接到加密DNS服务器,无需用户手动进行任何客户端配置。
如果您想在 Windows 11 Canary 版本中使用 DNR,请按照 Microsoft 的说明进行操作。需要注意的是,目前 DNR 不支持 IPv6 RA 加密 DNS。此外,SMB 加密和 DNR 支持仍在 Insider 预览版中进行测试,目前尚无何时公开推出这些功能的信息。