Ако работите дистанционно или управлявате файлови сървъри, вероятно сте се борили с това повече от веднъж. бавни VPN мрежиблокирани портове и остарели протоколи, които не отговарят на изискванията. SMB през QUIC се появява точно за да реши това главоболие, позволявайки сигурен отдалечен достъп до файлове през интернет, без да е необходимо използването на традиционни VPN тунели.и разчитайки на съвременни технологии като TLS 1.3 и протокола QUIC на IETF.
Въпреки че може да звучи много „нишово“, истината е, че SMB през QUIC е готов да се превърне в стандартния начин за сигурно и ефективно публикуване на споделени ресурси на Windows към външния свят.В тази статия ще видите подробно какво е SMB, защо е много по-сигурен от излагането на традиционния SMB, какво ви е необходимо, за да го стартирате и работи, как да го конфигурирате стъпка по стъпка (включително сертификати, KDC прокси и контрол на достъпа на клиенти) и какви подобрения в сигурността Windows 11 24H2 и Windows Server 2025 носят на SMB.
Какво е SMB през QUIC и защо е по-сигурен от традиционния SMB?
SMB през QUIC е транспортен вариант на SMB протокола, който замества TCP с QUIC като основен канал.Вместо да използва старомодния TCP порт 445, той капсулира целия SMB трафик в криптиран QUIC тунел, който пътува през UDP 443, същият порт, използван за съвременния HTTPS, базиран на HTTP/3.
Протоколът QUIC, стандартизиран от IETF, предоставя няколко ключови предимства в сравнение с класическия TCP:
- Целият трафик винаги е криптиран и удостоверен с TLS 1.3.
- Позволява множество паралелни потоци (надеждни и ненадеждни).
- Намалете латентността с 0-RTT.
- Подобрява контрола на задръстванията.
- Оцелява при промени в IP адреса като например тези, типични за мобилните мрежи или превключването от WiFi към мобилни данни.
Чрез комбиниране на QUIC с SMB, Microsoft постига един вид интегриран „SMB VPN“Клиентът установява TLS 1.3 тунел с файловия сървър, през UDP порт 443, и стандартният SMB протокол пътува в рамките на този тунел. Това означава, че Данните за удостоверяване, оторизация и SMB никога не се предоставят в обикновен текст на основната мрежа..
Освен това, Потребителското изживяване е почти идентично с използването на вътрешен мрежов дялФункции като многоканалност, SMB подписване, компресия, висока достъпност, лизинг на директории и други продължават да функционират както обикновено, само че в рамките на QUIC тунела. Крайният потребител просто вижда картографирано устройство или достъпен UNC път, без да се притеснява за транспорта.
Важно е да се обърне внимание SMB през QUIC е по избор и трябва да бъде съзнателно активиран от администратора..
Предварителни изисквания за внедряване на SMB на QUIC
Преди да помислите за предоставяне на споделени ресурси чрез QUIC, трябва да отговаряте на редица изисквания както на сървъра, така и на клиента., както и на ниво сертификат и мрежа.
- От страна на сървъра: Трябва да имате SMB сървър, работещ със съвместима операционна система, като например Windows Server 2022 Datacenter: Azure Edition (с SMB функции на QUIC) или Windows Server 2025, където тази функционалност вече е налична във всички издания.
- От гледна точка на клиента: Необходима ви е Windows 11 (корпоративни или професионални издания с поддръжка на QUIC) или еквивалентни версии, способни да комуникират SMB през QUIC.
Относно идентичността, В идеалния случай и сървърът, и клиентът трябва да бъдат присъединени към домейн на Active Directory.така че удостоверяването да може да се извърши чрез Kerberos. Въпреки това, Възможно е също така да се използва SMB през QUIC с екипи от работни групи. използвайки локални и NTLM акаунти или със сървъри, присъединени към Microsoft. Въведете винаги, когато се използват домейн или локални идентификационни данни за достъп до споделения ресурс.
На мрежово ниво, Сървърът трябва да е достъпен от интернет чрез публичния си интерфейс и да има отворен входящ UDP порт 443.Препоръката е ясна: Никога не излагайте TCP порт 445 на външния свят.
На последно място, Нуждаете се от инфраструктура с публичен ключ (PKI), способна да издава валидни TLS сървърни сертификатиТова може да бъде корпоративен CA, базиран на Active Directory Certificate Services, или надежден публичен издател, като например DigiCert, GlobalSign или подобен. Следните също са от съществено значение: администраторски права на SMB сървъра да може да инсталира функции, да конфигурира сертификати и да променя правилата на защитната стена.
Инсталиране на сървърен сертификат и изисквания за QUIC
Ядрото на SMB през QUIC е сертификатът на сървъра, използван за установяване на TLS 1.3 тунела.Без сертификат с подходящите свойства, връзката просто няма да работи.
Този сертификат Той трябва да отговаря на няколко технически условия.:
- Използвайте ключа за цифров подпис.
- За целите на удостоверяване на сървъра (EKU 1.3.6.1.5.5.7.3.1).
- Използвайте съвременни алгоритми като SHA256RSA или по-висока версия и публичен ключ, базиран на ECDSA P-256 или, алтернативно, RSA с дължина поне 2048 бита.
Също толкова важна е идентичността на сървъра. В полето „Алтернативно име на субекта (SAN)“ трябва да включите всички пълни DNS (FQDN) записи, които клиентите ще използват за достъп до сървъра., например fsedge1.contoso.com или подобни имена. Издателят на сертификат (CN) може да бъде всеки, стига да принадлежи към доверен CA и, разбира се, Сертификатът трябва да съдържа частния ключ. така че сървърът да може да завърши TLS ръкостискането.
Ако вашата организация използва корпоративен сертифициращ орган на Microsoft, Най-лесният начин е да създадете специфичен шаблон за SMB сертификат в QUIC и да позволи на администратора на сървъра да попълва DNS имена при поискване. Този шаблон може да наложи EKU за удостоверяване на сървъра, разрешени алгоритми и други параметри за сигурност.
Типичният процес с корпоративен CA включва отваряне Отворете MMC.exe на файловия сървър, добавете конзолната добавка „Сертификати“ за компютърния акаунт, отидете в личното хранилище, щракнете с десния бутон и изберете „Заявка за нов сертификат“.Оттам избирате политиката за записване в Active Directory, избирате шаблона, създаден за QUIC, и попълвате полетата за тема и SAN с DNS имената, които потребителите ще използват. След записването сертификатът ще се появи в хранилището и може да бъде присвоен на SMB услугата през QUIC.
Конфигуриране на SMB през QUIC на сървъра
След като сертификатът е готов, Време е да активирате и конфигурирате SMB през QUIC на сървъраМожете да го направите с Windows Admin Center или с PowerShell. Всичко зависи от вашите предпочитания и типа среда.
С Центъра за администриране на Windows (WAC), Съветник за настройка на SMB в QUIC ръководство стъпка по стъпкаИзбор на сертификат, конфигурация на UDP порт, активиране на услуга и основна проверка на свързаността. Това обаче се отнася само за сървъри, които не са присъединени към домейн (работна група). WAC не позволява конфигурирането на тази функция.И в този случай ще трябва да прибегнете до PowerShell и cmdlets като New-SmbServerCertificateMapping за да свържете сертификата с услугата.
В по-автоматизирани управлявани среди, PowerShell предлага прецизен контролМожете например да изброите наличните сертификати, да създадете съответствие между сертификата и SMB сървъра, да промените алтернативни QUIC портове или да наложите допълнителни изисквания за удостоверяване. Командлети като Set-SmbServerCertificateMapping Те ви позволяват лесно да актуализирате свързания цифров пръстов отпечатък при подновяване на сертификата.
Освен това, ако искате да направите още една крачка напред, Можете да комбинирате SMB през QUIC с нови функции за сигурност в Windows Server 2025 като например NTLM блокиране, задължително SMB криптиране на клиента или ограничаване на SMB диалектите до версия 3.1.1, за да се предотвратят връзки от по-стари, по-малко защитени устройства.
Във всеки случай, Не забравяйте да прегледате правилата на защитната стена, след като активирате QUICВходящият UDP трафик трябва да бъде разрешен на порта, който сте дефинирали (по подразбиране 443), и ако конфигурирате допълнителни функции, като например KDC прокси, ще трябва да отворите и TCP 443 за тази конкретна услуга.
Свържете клиенти към споделени SMB ресурси чрез QUIC
С готов сървър, Време е да тестваме достъпа от клиент на Windows 11Първата стъпка е да се уверите, че компютърът е присъединен към съответния домейн или, ако това не е възможно, че има валидни идентификационни данни на файловия сървър (локален или домейн акаунт, в зависимост от сценария).
От съществено значение е DNS имената, които ще използвате за свързване, трябва да съвпадат точно със SAN имената в сертификата на сървъра.Тези имена трябва да бъдат публикувани в публичен DNS сървър или, ако това не е възможно, можете ръчно да ги добавите към HOSTS файла на клиента. Последното се препоръчва само за тестване или силно контролирани среди.
За да се симулира реален сценарий на работа от разстояние, Свържете клиентското устройство към външна мрежа, където то няма директен достъп до вътрешните IP адреси или домейн контролери на сървъра.Това ще потвърди, че цялата комуникация действително преминава през QUIC, а не през вътрешни LAN маршрути.
Връзката може да се осъществи по няколко начина. В File Explorer, Просто напишете UNC пътя до споделения ресурс, например \\fsedge1.contoso.com\ventasWindows първо ще опита TCP и ако това не успее, прозрачно ще превключи към QUIC. Ако искате да наложите QUIC от самото начало, можете да използвате следните команди:
NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC
или
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC
Тези команди казват на клиента, че Трябва да използвате само QUIC като транспортАко връзката не е установена, ще имате ясни указания да проверите сертификати, портове, DNS или допълнителни изисквания за достъп, като например контрол на достъпа на клиентите.
Как да подобрим удостоверяването: опционално използване на KDC Proxy
В типичен сценарий за SMB на QUIC, Отдалеченият клиент няма директна връзка с домейн контролерите на Active DirectoryВ този случай удостоверяването обикновено разчита на NTLMv2, където файловият сървър действа от името на клиента, за да валидира идентификационните данни в криптирания тунел.
Въпреки че NTLMv2 се разпространява защитено от TLS 1.3 в рамките на QUIC, Настоящата препоръка за сигурност е да се разчита възможно най-малко на NTLM и да се предпочита Kerberos.За да постигнете това в отдалечени среди, можете да внедрите услугата на KDC прокси (KDC прокси). Това позволява пренасочване на заявки за билети Kerberos към вътрешни контролери на домейни, използвайки криптиран HTTPS канал.
Конфигурацията на файловия сървър включва няколко Стъпки с помощта на PowerShell и netsh:
- Резервирайте URL адрес за KDC прокси сървъра на HTTPS 443.
- Настройте ключовете за регистрация на услугата KPSSVC, за да позволите правилно удостоверяване.
- Свържете правилния TLS сертификат към адреса и порта, използвайки
Add-NetIPHttpsCertBindingЗа да направите това, ще ви е необходим цифровият пръстов отпечатък на сертификата, който вече използвате за SMB през QUIC.
От страна на клиента, най-ясният начин да се посочи кои домейни трябва да използват KDC прокси е чрез групова директиваИма специфична политика в „Конфигурация на компютъра\Административни шаблони\Система\Kerberos\Указване на KDC прокси сървъри за Kerberos клиенти“, където е дефинирана двойка име/стойност: името е FQDN на AD домейна, а стойността е HTTPS URL адресът на прокси сървъра (например https fsedge1.contoso.com:443:kdcproxy /).
С тази, Когато потребител на домейн се опита да осъществи достъп до SMB сървър, публикуван от QUIC, клиентът знае, че трябва да поиска Kerberos билети чрез прокси сървъра, вместо да се опитва да се свърже директно с домейн контролера.Цялата тази комуникация е криптирана с помощта на HTTPS 443, без да се разкриват идентификационни данни в междинната мрежа и запазвайки предимствата на Kerberos като основен метод за удостоверяване.
Одит и надзор на малкия и среден бизнес върху QUIC
За да държим околната среда под контрол, Ключово е да можете да проверявате кои клиенти се свързват чрез SMB през QUIC и какво се случва по време на тези връзки.Windows въвежда специфични събития за този тип трафик, както на клиента, така и на сървъра.
- От страна на клиента SMB (от Windows 11 24H2), Можете да проверите програмата за преглед на събития в „Журнали на приложения и услуги\Microsoft\Windows\SMBClient\Connectivity“Този лог записва събития като ID 30832, свързани с QUIC връзки. Той ви помага да проверите дали връзката действително се установява през QUIC, дали има проблеми със сертификата или дали сървърът отказва достъп.
- На сървъра, Имате възможност да активирате одит на специфични клиентски сертификати, като използвате командата
Set-SmbServerConfiguration -AuditClientCertificateAccess $trueОттам събития като 3007, 3008 и 3009 в „Microsoft\Windows\SMBServer\Audit“ и 30831 в дневника за свързаност на клиента събират данни за сертификатите, които се опитват да се свържат: тема, издател, сериен номер, SHA1 и SHA256 хешове и какви правила за контрол на достъпа са били приложени.
Тези събития включват идентификатор на връзка, който Това улеснява съпоставянето на това, което клиентът вижда, с това, което сървърът записва.Това е особено полезно в големи среди или при разследване на инциденти с отказан достъп. Освен това, те служат като основа за одити на сигурността или за откриване на аномално поведение.
Контрол на достъпа на SMB клиенти през QUIC
Отвъд криптирането и удостоверяването, Windows Server 2025 включва допълнително ниво на контрол: контрол на достъпа на SMB клиенти през QUICТази функция ви позволява изрично да дефинирате кои устройства могат или не могат да установят QUIC тунел със сървъра, независимо дали се доверяват на CA, издал сертификата на сървъра.
Механизмът е базиран на клиентски сертификати. CВсяко устройство получава сертификат, предназначен за удостоверяване на клиента (EKU 1.3.6.1.5.5.7.3.2), издаден от CA, на който сървърът се доверява.Сървърът, от своя страна, поддържа списък за контрол на достъпа, базиран на хешове на сертификати или идентификатори на издатели (CA), които определят кои клиенти са разрешени или блокирани.
За сървърната страна ви е необходимо Windows Server 2022 Datacenter: Azure Edition със съответната актуализация или Windows Server 2025SMB през QUIC вече е конфигуриран и имате гаранцията, че се доверявате на CA, издаващ клиентските сертификати. От страна на клиента ви е необходима система, съвместима с SMB през QUIC, клиентският сертификат, инсталиран в локалното хранилище, и привилегии за създаване на SMB съпоставяне с този сертификат.
Първата стъпка на сървъра е принудете клиентите да представят валиден сертификат чрез конфигуриране Set-SmbServerCertificateMapping -RequireClientAuthentication $trueОт този момент нататък сървърът не само валидира веригата от сертификати на клиента, но и я използва, за да реши дали да разреши връзката или не въз основа на списъците с разрешени и блокирани.
На клиента получавате хеша на съответния сертификат, използвайки PowerShell. След това създавате съпоставянето. От този момент нататък, когато клиентът се опита да се свърже с това FQDN чрез QUIC, той ще използва този сертификат за удостоверяване.
Списъци с разрешени и блокирани: командлети за контрол на достъпа
След като клиентът и сървърът използват сертификати, Можете да изградите много фини правила за това какво е разрешено и какво е блокираноWindows въвежда няколко командлета за управление на тези списъци.
За да разрешите на конкретен клиент, използвате Grant-SmbClientAccessToServer -Name <servidor> -IdentifierType SHA256 -Identifier <hash>където идентификаторът е SHA256 хешът на клиентския сертификат. Ако по всяко време искате да отмените това разрешение, просто изпълнете Revoke-SmbClientAccessToServer със същите данни.
Ако трябва да създадете изричен списък с блокирани адреси, можете да го направите с Block-SmbClientAccessToServer и го обърнете с Unblock-SmbClientAccessToServerТози списък с откази има предимство пред разрешените записи. Следователно, ако някой сертификат във веригата на клиента съвпада с блоков запис, връзката се отхвърля.
В допълнение към работата със сертификатни листове (специфични устройства), Можете да управлявате групи сертификати на издатели, като добавяте записи от тип ISSUERНапример, разрешаване на всички предавания от конкретен междинен CA или блокиране на цял компрометиран CA. Това значително намалява броя на записите, които трябва да се поддържат при работа със стотици или хиляди устройства.
Логиката на оценката е ясна: Ако нито един от сертификатите във веригата не е блокиран и поне един е разрешен, достъпът се разрешава.Ако някой елемент във веригата е изрично блокиран, връзката се отхвърля, дори ако има запис за разрешаване на конкретен листов сертификат. Това позволява сценарии като доверие на цял коренен CA, но хирургически отказ на един или повече конкретни сертификати.
За да проверите състоянието на списъците, можете да използвате Get-SmbClientAccessToServerТази команда показва кои идентификатори са разрешени или блокирани, както и типа (SHA256, ISSUER и др.) и името на сървъра, към който се отнасят.
Класическа SMB сигурност: защо излагането на SMB/CIFS в интернет не е добра идея
Преди SMB на QUIC, Обичайният начин за споделяне на файлове между компютри беше SMB/CIFS (в Windows) или SAMBA (в Linux/Unix) през локалната мрежа.За свързване отвън обикновено се отваряше порт 445 (а понякога и 139). Като алтернатива можеше да се настрои обща VPN мрежа за достъп до локалната мрежа.
Проблемът е в това Традиционният SMB/CIFS е много прост, но също така опасен, когато е изложен извън контролирана вътрешна мрежа.В много по-стари реализации трафикът не е криптиран. Това означава, че всеки нападател, който може да се позиционира между клиента и сървъра (атаки от типа „човек по средата“), би могъл да прихване и прочете предадените файлове.
Ако освен това сървърът позволява споделени ресурси без парола или със слаби идентификационни данни, рискът се увеличава рязкоДори с парола, ако протоколът не криптира правилно удостоверяването, Идентификационните данни могат да се предават като обикновен текст или да бъдат уязвими за атаки с повторно възпроизвеждане или реле.Много домашни мрежи и малки фирми все още използват некриптирани версии на SMB 2.0. Тази практика не е без рискове.
Към това се добавят Исторически уязвимости в малкия и среден бизнес. Например известният EternalBlue, използван от ransomware WannaCryТази атака се разпространява чрез SMB само в локални мрежи, но служи като пример за това какво може да се случи, ако SMB се отвори директно към интернет без допълнителна защита. Други класически протоколи като FTP или Telnet страдат от много подобни проблеми.
SMB през QUIC и новите функции за сигурност на SMB в Windows 11 и Windows Server 2025 предлагат много по-разумен и надежден начин за предоставяне на споделени ресурси на отдалечени потребители: Всичко се предава криптирано чрез TLS 1.3 през QUICМожете да разчитате на Kerberos дори без директен достъп до контролер на домейн чрез KDC прокси. Контролирайте точно кои клиенти могат да се свързват със сертификати и списъци с разрешени/блокирани и да се откажете от опасния навик да отваряте порт 445 към интернет или да разчитате на общи VPN мрежи за нещо толкова основно, като достъп до файлове.
