Τα Windows 11 θα επιτρέπουν στους διαχειριστές να απαιτούν κρυπτογράφηση SMB για όλες τις εξερχόμενες συνδέσεις, ξεκινώντας από την έκδοση Windows 11 Insider Preview Build 25982 που διατίθεται στους χρήστες του προγράμματος Insider στο Canary Channel.
Δείτε επίσης: Windows 11 KB5031354: Κυκλοφόρησε με νέα χαρακτηριστικά
Η κρυπτογράφηση SMB παρέχει κρυπτογράφηση δεδομένων από άκρο σε άκρο και μπορεί να ενεργοποιηθεί για κάθε κοινή χρήση ξεχωριστά για ολόκληρο το διακομιστή αρχείων ή όταν γίνεται αντιστοίχιση των μονάδων δίσκου, χρησιμοποιώντας το Windows Admin Center, το Windows PowerShell ή το UNC Hardening.
Αυτή η δυνατότητα πρωτοεισήχθη με το SMB 3.0 στα Windows 8 και τα Windows Server 2012, και εισήγαγε υποστήριξη για κρυπτογραφικά συνόλα AES-256-GCM με τα Windows 11 και τα Windows Server 2022.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Με την απαίτηση ότι όλοι οι διακομιστές προορισμού υποστηρίζουν το SMB 3.x και την κρυπτογράφηση, οι διαχειριστές των Windows μπορούν να εξασφαλίσουν ότι οι πελάτες μπορούν να καθιερώσουν μια σύνδεση μόνο εάν πληρούνται αυτές οι προϋποθέσεις για την προστασία από υποκλοπή και επιθέσεις παρεμβολής.
“Μπορείτε τώρα να διαμορφώσετε τον πελάτη SMB ώστε να απαιτεί πάντα κρυπτογράφηση, ανεξάρτητα από τον διακομιστή, τον κοινόχρηστο φάκελο, τον ενίσχυση UNC ή έναν αντιστοιχισμένο δίσκο“, δήλωσε ο Ned Pyle, Κύριος Διαχειριστής Προγράμματος της Microsoft.
“Αυτό σημαίνει ότι ένας διαχειριστής μπορεί να επιβάλει παγκοσμίως σε έναν υπολογιστή με λειτουργικό σύστημα Windows να χρησιμοποιεί κρυπτογράφηση SMB – και, συνεπώς, SMB 3.x – σε όλες τις συνδέσεις και να αρνηθεί να συνδεθεί αν ο διακομιστής SMB δεν υποστηρίζει καμία από τις δύο.“
Η νέα επιλογή μπορεί να διαμορφωθεί χρησιμοποιώντας το PowerShell ή την πολιτική ομάδας να “Απαιτεί κρυπτογράφηση” κάτω από τη Διαμόρφωση υπολογιστή \ Διαχείριση προτύπων \ Δίκτυο \ Σταθμός Lanman.
Δείτε ακόμα: Windows 11 Insiders: Η Microsoft αποσύρει επίσημα την Cortana
Ξεκινώντας από το Windows 11 Insider Preview Build 25951, οι διαχειριστές μπορούν να ρυθμίσουν τα συστήματα Windows για να αποκλείουν αυτόματα την αποστολή δεδομένων NTLM μέσω SMB σε απομακρυσμένες εξερχόμενες συνδέσεις, προκειμένου να αποτραπούν επιθέσεις pass-the-hash, NTLM relay ή ξεκλείδωμα κωδικών πρόσβασης.
Όταν είναι ενεργοποιημένο, αποτρέπει την αποστολή του κατακερματισμένου κωδικού πρόσβασης του χρήστη σε απομακρυσμένους διακομιστές, αποτρέποντας αποτελεσματικά αυτές τις επιθέσεις.
Με την κυκλοφορία του Windows 11 Insider Preview Build 25381 στο Canary Channel, η Microsoft ξεκίνησε επίσης να απαιτεί SMB signing από προεπιλογή για όλες τις συνδέσεις, προκειμένου να αμυνθεί ενάντια σε επιθέσεις NTLM relay. Η τεχνολογία SMB signing, που εισήχθη στα Windows 98 και 2000, έχει αναβαθμιστεί στα Windows 11 και Windows Server 2022 για να ενισχύσει την προστασία και την απόδοση αυξάνοντας σημαντικά την ταχύτητα κρυπτογράφησης των δεδομένων.
Αυτές οι βελτιώσεις αποτελούν μέρος μιας ευρύτερης προσπάθειας για την ενίσχυση της ασφάλειας των Windows και Windows Server, όπως επισημάνθηκε από προηγούμενες ανακοινώσεις πέρυσι. Τον Απρίλιο του 2022, η Microsoft έφθασε σε ένα ορόσημο αποκαλύπτοντας την τελική φάση απενεργοποίησης του αρχαίου πρωτοκόλλου κοινής χρήσης αρχείων SMB1 για τους Windows 11 Home Insiders. Επωφελούμενη από αυτή την πρόοδο, η εταιρεία ενισχύθηκε επίσης στην αντίσταση κατά των επιθέσεων brute-force με το να εισάγει έναν περιοριστή ρυθμού πιστοποίησης SMB, ο οποίος μειώνει την επίδραση των ανεπιτυχών προσπαθειών εισερχόμενης NTLM πιστοποίησης.
Δείτε επίσης: Godeal24 Software Big Sale: Windows 11 (tiny11) version 23H2 μόνο με 11,69€!
Ποια είναι τα πλεονεκτήματα και οι προκλήσεις της κρυπτογράφησης SMB στα Windows 11;
Η κρυπτογράφηση SMB στα Windows 11 προσφέρει πολλά πλεονεκτήματα. Ένα από τα κυριότερα είναι η αύξηση της ασφάλειας των δεδομένων που ανταλλάσσονται μεταξύ των συσκευών. Η κρυπτογράφηση εμποδίζει την παρεμβολή και την παρακολούθηση των δεδομένων από ανεπιθύμητους χρήστες ή κακόβουλο λογισμικό, προσφέροντας ένα επίπεδο προστασίας από πιθανές απειλές.
Επιπλέον, η κρυπτογράφηση SMB βελτιώνει το απόρρητο των δεδομένων, καθώς κάνει την πρόσβαση σε αυτά δυσκολότερη για τους μη εξουσιοδοτημένους χρήστες. Αυτό είναι ιδιαίτερα σημαντικό για επιχειρήσεις και οργανισμούς που χειρίζονται ευαίσθητα δεδομένα, όπως προσωπικές πληροφορίες ή εμπιστευτικές πληροφορίες πελατών.
Ωστόσο, η εφαρμογή της κρυπτογράφησης SMB μπορεί να αντιμετωπίσει κάποιες προκλήσεις. Η κρυπτογράφηση επιβαρύνει την απόδοση του συστήματος, καθώς απαιτεί επιπλέον υπολογιστικούς πόρους για τη διαδικασία κρυπτογράφησης και αποκρυπτογράφησης των δεδομένων. Αυτό μπορεί να οδηγήσει σε μια μικρή μείωση της ταχύτητας μεταφοράς των δεδομένων.
Επιπλέον, η κρυπτογράφηση SMB μπορεί να δημιουργήσει συμβατικά προβλήματα, ειδικά όταν χρησιμοποιούνται διάφορες εκδόσεις του πρωτοκόλλου SMB σε διάφορες συσκευές. Αυτό μπορεί να απαιτήσει επιπλέον προσαρμογές και ρυθμίσεις για να διασφαλιστεί η σωστή λειτουργία του πρωτοκόλλου και η αποτελεσματική κρυπτογράφηση των δεδομένων.
Πηγή: bleepingcomputer