SMB melalui QUIC

SMB melalui QUIC memperkenalkan alternatif untuk transportasi jaringan TCP, menyediakan konektivitas yang aman dan andal ke server file edge melalui jaringan yang tidak tepercaya seperti Internet. QUIC adalah protokol standar IETF dengan banyak manfaat jika dibandingkan dengan TCP:

• Semua paket selalu dienkripsi dan jabat tangan diautentikasi dengan TLS 1.3
• Aliran paralel data aplikasi yang andal dan tidak dapat diandalkan
• Menukar data aplikasi dalam perjalanan pulang pergi pertama (0-RTT)
• Peningkatan kontrol kemacetan dan pemulihan kehilangan
• Bertahan dari perubahan alamat IP atau port klien

SMB over QUIC menawarkan "SMB VPN" untuk telekomuter, pengguna perangkat seluler, dan organisasi keamanan tinggi. Sertifikat server membuat terowongan terenkripsi TLS 1.3 melalui port UDP 443 ramah internet, bukan port TCP 445 lama. Semua lalu lintas SMB, termasuk autentikasi dan otorisasi di dalam terowongan tidak pernah terekspos ke jaringan yang mendasarinya. SMB berperilaku normal di dalam terowongan QUIC, yang berarti pengalaman pengguna tidak berubah. Fitur SMB seperti multisaluran, penandatanganan, kompresi, ketersediaan berkelanjutan, penyewaan direktori, dan sebagainya, bekerja secara normal.

Administrator server file harus ikut mengaktifkan SMB melalui QUIC. Ini tidak aktif secara default dan klien tidak dapat memaksa server file untuk mengaktifkan SMB melalui QUIC. Klien Windows SMB masih menggunakan TCP secara default dan hanya akan mencoba SMB melalui QUIC jika upaya TCP terlebih dahulu gagal atau jika sengaja memerlukan QUIC menggunakan NET USE /TRANSPORT:QUIC atau New-SmbMapping -TransportType QUIC.

Catatan

Tidak disarankan untuk menentukan nama tertentu untuk namespace layanan DFS dalam skenario yang melibatkan koneksi SMB dan QUIC dengan titik akhir eksternal. Ini karena nama namespace DFS internal akan dirujuk, dan referensi ini biasanya tidak dapat dijangkau untuk klien eksternal dalam rilis Windows saat ini.

Prasyarat

Untuk menggunakan SMB over QUIC, Anda memerlukan hal-hal berikut:

• Server SMB yang berjalan pada salah satu sistem operasi berikut.

  • Pusat Data Windows Server 2022: Azure Edition (Sistem Operasi Microsoft Server) atau yang lebih baru

  • Edisi Windows Server 2025 atau yang lebih baru

• Perangkat Windows 11 (Windows untuk bisnis)

• Server SMB dan klien harus bergabung ke domain Direktori Aktif atau klien harus memiliki akun pengguna lokal di server SMB. Server SMB harus memiliki akses ke setidaknya satu pengontrol domain untuk autentikasi, tetapi tidak ada pengontrol domain yang memerlukan akses internet apa pun. Sebaiknya gunakan SMB melalui QUIC dengan domain Direktori Aktif namun tidak diperlukan. Anda juga dapat menggunakan SMB over QUIC di server yang bergabung dengan grup kerja dengan kredensial pengguna lokal dan NTLM.

• Server Anda harus dapat diakses oleh klien pada antarmuka publiknya dengan menambahkan aturan izin firewall untuk mengizinkan SMB melalui QUIC. Secara default SMB over QUIC menggunakan UDP/443 masuk. Jangan izinkan TCP/445 masuk ke server file. Untuk mempelajari tentang cara mengubah port default, lihat Mengonfigurasi port SMB alternatif.

• Server file harus memiliki akses ke setidaknya satu pengendali domain untuk autentikasi, tetapi tidak ada pengontrol domain yang memerlukan akses internet apa pun.

• Pusat Admin Windows (WAC) (Beranda)

• Infrastruktur Kunci Umum (PKI) untuk menerbitkan sertifikat seperti Server Sertifikat Direktori Aktif atau akses ke penerbit sertifikat pihak ketiga tepercaya seperti Verisign, Digicert, Let's Encrypt, dll.

• Hak istimewa administratif atau setara untuk server SMB yang Anda konfigurasi.

Menyebarkan SMB melalui QUIC

Langkah 1: Menginstal sertifikat server

1. Buat sertifikat yang dikeluarkan Otoritas Sertifikat dengan properti berikut:

   • Penggunaan kunci: tanda tangan digital
   • Tujuan: Autentikasi Server (EKU 1.3.6.1.5.5.7.3.1)
   • Algoritma tanda tangan: SHA256RSA (atau lebih besar)
   • Hash tanda tangan: SHA256 (atau lebih besar)
   • Algoritma kunci publik: ECDSA_P256 (atau lebih besar. Dapat juga menggunakan RSA dengan panjang setidaknya 2048)
   • Nama Alternatif Subjek (SAN): (Entri nama DNS untuk setiap nama DNS yang sepenuhnya memenuhi syarat yang digunakan untuk mencapai server SMB)
   • Subjek: (CN= apa pun, tetapi harus ada)
   • Kunci privat disertakan: ya

   

   

   

   Jika menggunakan Microsoft Enterprise Certificate Authority, Anda dapat membuat templat sertifikat dan mengizinkan administrator server file untuk menyediakan nama DNS saat memintanya. Untuk informasi selengkapnya tentang membuat templat sertifikat, tinjau Merancang dan Menerapkan PKI: Templat Sertifikat Bagian III. Untuk demonstrasi pembuatan sertifikat untuk SMB over QUIC menggunakan Microsoft Enterprise Certificate Authority, tonton video ini:

   Untuk meminta sertifikat pihak ketiga, lihat dokumentasi vendor Anda.

2. Jika menggunakan Microsoft Enterprise Certificate Authority:

   1. Mulai MMC.EXE di server file.
   2. Tambahkan snap-in Sertifikat, dan pilih akun Komputer.
   3. Perluas Sertifikat (Komputer Lokal), Pribadi, lalu klik kanan Sertifikat dan pilih Minta Sertifikat Baru.
   4. Pilih Selanjutnya
   5. Pilih Kebijakan Pendaftaran Direktori Aktif
   6. Pilih Selanjutnya
   7. Pilih templat sertifikat untuk SMB melalui QUIC yang diterbitkan di Direktori Aktif.
   8. Pilih Informasi selengkapnya diperlukan untuk mendaftar untuk sertifikat ini. Klik di sini untuk mengonfigurasi pengaturan.
   9. Jadi pengguna dapat menggunakan untuk menemukan server file, mengisi nilai Subjek dengan nama umum dan Nama Alternatif Subjek dengan satu atau beberapa nama DNS.
   10. Pilih Ok lalu pilih Daftar.

   

   

Catatan

Jangan gunakan alamat IP untuk SMB melalui Nama Alternatif Subjek server QUIC.

• Alamat IP akan memerlukan penggunaan NTLM, bahkan jika Kerberos tersedia dari pengendali domain atau melalui Proksi KDC.
• Azure IaaS VM yang menjalankan SMB over QUIC menggunakan NAT untuk antarmuka publik kembali ke antarmuka privat. SMB over QUIC tidak mendukung penggunaan alamat IP untuk nama server melalui NAT, Anda harus menggunakan nama DNS yang sepenuhnya memenuhi syarat yang diselesaikan ke alamat IP antarmuka publik hanya dalam kasus ini.

Catatan

Jika Anda menggunakan file sertifikat yang dikeluarkan oleh otoritas sertifikat pihak ketiga, Anda dapat menggunakan snap-in Sertifikat atau WAC untuk mengimpornya.

Langkah 2: Mengonfigurasi SMB melalui QUIC

Untuk mengonfigurasi SMB melalui QUIC, pilih metode pilihan Anda dan ikuti langkah-langkahnya.

Penting

Jika Anda menggunakan Windows Server 2025, Anda perlu menggunakan metode PowerShell untuk mengonfigurasi SMB melalui QUIC. Metode Pusat Admin Windows saat ini tidak didukung untuk Windows Server 2025.

Untuk demonstrasi mengonfigurasi dan menggunakan SMB over QUIC, tonton video ini:

Pusat Admin Windows

1. Masuk ke server file Anda sebagai administrator.

2. Instal WAC versi terbaru pada PC manajemen atau server file. Anda memerlukan versi terbaru ekstensi File & Berbagi File. Ini diinstal secara otomatis oleh WAC jika Ekstensi pembaruan otomatis diaktifkan di Ekstensi Pengaturan>.

3. Sambungkan ke server dengan WAC dan pilih ikon Pengaturan di kiri bawah. Di bagian Berbagi file (server SMB), di bawah Berbagi file di internet dengan SMB melalui QUIC, pilih Konfigurasikan.

4. Pilih sertifikat di bawah Pilih sertifikat komputer untuk server file ini, pilih alamat server yang dapat disambungkan klien atau pilih Pilih semua, dan pilih Aktifkan.

   

5. Pastikan bahwa sertifikat dan laporan SMB over QUIC sehat.

   

6. Pilih opsi menu File dan Berbagi File. Perhatikan berbagi SMB anda yang sudah ada atau buat yang baru.

PowerShell

1. Masuk ke server file Anda sebagai administrator.

2. Buka prompt PowerShell yang ditinggikan.

3. Cantumkan sertifikat di penyimpanan sertifikat server dengan menjalankan perintah berikut.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

4. Jalankan perintah berikut untuk menyimpan sertifikat dalam variabel. Ganti <subject name> dengan nama subjek sertifikat yang ingin Anda gunakan.

   $serverCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

5. Verifikasi bahwa sertifikat cocok dengan sertifikat yang ingin Anda gunakan dengan menjalankan perintah berikut.

   $serverCert
   

6. Untuk mengaktifkan SMB over QUIC menggunakan thumbprint sertifikat sertifikat yang cocok, jalankan perintah berikut. Pastikan untuk mengganti <server FQDN> dengan nama domain SMB yang sepenuhnya memenuhi syarat melalui server QUIC.

   New-SmbServerCertificateMapping -Name <server FQDN> -ThumbPrint $serverCert.Thumbprint -Storename My 
   

Jika Anda ingin menerapkan kontrol ke SMB melalui klien, Anda dapat menggunakan Kontrol Akses Klien. Untuk mempelajari selengkapnya cara membatasi klien mana yang dapat mengakses SMB melalui server QUIC, lihat Mengonfigurasi SMB melalui kontrol akses klien QUIC.

Langkah 3: Menyambungkan ke berbagi SMB

1. Bergabunglah dengan perangkat klien Windows Anda ke domain Anda. Pastikan nama SMB melalui nama alternatif subjek sertifikat server file QUIC diterbitkan ke DNS dan sepenuhnya memenuhi syarat atau ditambahkan ke file HOST untuk klien Windows Anda. Pastikan bahwa nama alternatif subjek sertifikat server diterbitkan ke DNS atau ditambahkan ke file HOSTS untuk klien Windows Anda.

2. Pindahkan perangkat klien Windows Anda ke jaringan eksternal di mana perangkat tersebut tidak lagi memiliki akses jaringan ke pengontrol domain atau alamat IP internal server file.

3. Di Windows File Explorer, di Bilah Alamat, ketik jalur UNC ke berbagi di server file dan konfirmasikan bahwa Anda dapat mengakses data dalam berbagi. Atau, Anda dapat menggunakan NET USE /TRANSPORT:QUIC atau New-SmbMapping -TransportType QUIC dengan jalur UNC. Contoh:

   REM Automatically tries TCP then QUIC
   NET USE * \\fsedge1.contoso.com\sales
   
   REM Tries only QUIC
   NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC
   

   #Tries only QUIC
   New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC
   

Audit klien SMB over QUIC

Audit digunakan untuk melacak koneksi klien untuk SMB melalui QUIC, dengan peristiwa ditulis ke log peristiwa. Pemantau Peristiwa mengambil informasi ini untuk protokol transportasi QUIC. Fitur ini tersedia untuk Klien SMB yang dimulai dengan Windows 11, versi 24H2 Untuk melihat log ini, ikuti langkah-langkah berikut:

1. Buka Pemantau Peristiwa.
2. Navigasi ke Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Connectivity.
3. Pantau ID peristiwa 30832.

Mengonfigurasi Proksi KDC (opsional, tetapi disarankan)

Secara default, perangkat klien Windows tidak akan memiliki akses ke pengontrol domain Direktori Aktif saat menyambungkan ke SMB melalui server file QUIC. Ini berarti autentikasi menggunakan NTLMv2, tempat server file mengautentikasi atas nama klien. Tidak ada autentikasi atau otorisasi NTLMv2 yang terjadi di luar terowongan QUIC terenkripsi TLS 1.3. Namun, kami masih merekomendasikan penggunaan Kerberos sebagai praktik terbaik keamanan umum dan tidak merekomendasikan pembuatan dependensi NTLMv2 baru dalam penyebaran. Untuk mengizinkan ini, Anda dapat mengonfigurasi proksi KDC untuk meneruskan permintaan tiket atas nama pengguna, sekaligus menggunakan saluran komunikasi terenkripsi HTTPS yang ramah internet. Proksi KDC didukung oleh SMB melalui QUIC dan sangat direkomendasikan.

Catatan

Anda tidak dapat mengonfigurasi WAC dalam mode gateway menggunakan port TCP 443 di server file tempat Anda mengonfigurasi Proksi KDC. Saat mengonfigurasi WAC di server file, ubah port menjadi port yang tidak digunakan dan bukan 443. Jika Anda telah mengonfigurasi WAC pada port 443, jalankan kembali MSI penyiapan WAC dan pilih port yang berbeda saat diminta.

Pusat Admin Windows

1. Pastikan Anda menggunakan WAC versi 2110 atau yang lebih baru.

2. Konfigurasikan SMB melalui QUIC secara normal. Mulai dari WAC 2110, opsi untuk mengonfigurasi proksi KDC di SMB over QUIC diaktifkan secara otomatis dan Anda tidak perlu melakukan langkah tambahan di server file. Port proksi KDC default adalah 443 dan ditetapkan secara otomatis oleh WAC.

   Catatan

   Anda tidak dapat mengonfigurasi SMB melalui server QUIC yang bergabung ke Grup Kerja menggunakan WAC. Anda harus bergabung dengan server ke domain Direktori Aktif atau mengikuti langkah-langkah dalam mengonfigurasi proksi KDC baik di PowerShell atau Kebijakan Grup.

PowerShell

1. Di server file, dalam prompt PowerShell yang ditingkatkan, jalankan:

   NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force
   
   Get-SmbServerCertificateMapping
   

2. Salin nilai thumbprint dari sertifikat yang terkait dengan SMB melalui sertifikat QUIC (mungkin ada beberapa baris tetapi semuanya akan memiliki thumbprint yang sama) dan tempelkan sebagai nilai Certhash untuk perintah berikut:

   $guid = [Guid]::NewGuid()
   Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false
   

3. Tambahkan SMB server file melalui nama QUIC sebagai SPN di Direktori Aktif untuk Kerberos. Contohnya:

   NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`
   

4. Atur layanan Proksi KDC ke otomatis dan mulai:

   Set-Service -Name kpssvc -StartupType Automatic
   
   Start-Service -Name kpssvc
   

Kebijakan Grup

1. Konfigurasikan kebijakan grup berikut untuk diterapkan ke perangkat klien Windows:

   Konfigurasi Komputer\Templat Administratif\Sistem\Kerberos\Tentukan server proksi KDC untuk klien Kerberos

   Format pengaturan kebijakan grup ini adalah nama nilai nama domain Active Directory Anda yang sepenuhnya memenuhi syarat dan nilainya menjadi nama eksternal yang Anda tentukan untuk server QUIC. Misalnya, di mana domain Direktori Aktif diberi nama corp.contoso.com dan domain DNS eksternal diberi nama contoso.com:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Pemetaan realm Kerberos ini berarti bahwa jika pengguna ned@corp.contoso.com mencoba menyambungkan ke nama fs1edge.contoso.com"server file , proksi KDC tahu untuk meneruskan tiket kerberos ke pengendali domain di domain internal corp.contoso.com . Komunikasi dengan klien akan melalui HTTPS pada port 443 dan kredensial pengguna tidak langsung terekspos di jaringan server file klien.

2. Buat aturan Windows Defender Firewall yang memungkinkan port TCP masuk 443 agar layanan Proksi KDC menerima permintaan autentikasi.

3. Pastikan firewall tepi mengizinkan HTTPS pada port 443 masuk ke server file.

4. Terapkan kebijakan grup dan mulai ulang perangkat klien Windows.

Catatan

Konfigurasi otomatis Proksi KDC akan datang nanti di SMB melalui QUIC dan langkah-langkah server ini tidak akan diperlukan.

Kedaluwarsa dan perpanjangan sertifikat

Sertifikat SMB over QUIC yang kedaluwarsa yang Anda ganti dengan sertifikat baru dari penerbit akan berisi thumbprint baru. Meskipun Anda dapat memperbarui sertifikat SMB over QUIC secara otomatis saat kedaluwarsa menggunakan Layanan Sertifikat Direktori Aktif, sertifikat yang diperbarui juga mendapatkan thumbprint baru. Ini secara efektif berarti bahwa SMB melalui QUIC harus dikonfigurasi ulang ketika sertifikat kedaluwarsa, karena thumbprint baru harus dipetakan. Pilih sertifikat baru Anda di WAC untuk konfigurasi SMB over QUIC yang ada atau gunakan Set-SMBServerCertificateMapping perintah PowerShell untuk memperbarui pemetaan untuk sertifikat baru. Anda dapat menggunakan Azure Automanage untuk Windows Server untuk mendeteksi kedaluwarsa sertifikat yang akan datang dan mencegah pemadaman. Untuk informasi selengkapnya, tinjau Azure Automanage untuk Windows Server.

Catatan

• Untuk pelanggan yang tidak menggunakan cloud publik Azure, Pusat Data Windows Server 2022: Azure Edition tersedia di Azure Stack HCI yang dimulai dengan versi 22H2.
• Sebaiknya gunakan SMB melalui QUIC dengan domain Direktori Aktif tetapi bukan persyaratan. Anda juga dapat menggunakan SMB over QUIC di server yang bergabung dengan grup kerja dengan kredensial pengguna lokal dan NTLM, atau Azure IaaS dengan Windows Server yang bergabung dengan Microsoft Entra. Microsoft Entra bergabung dengan Windows Server untuk komputer berbasis iaaS non-Azure tidak didukung. Microsoft Entra joined Windows Servers tidak mendukung kredensial untuk operasi keamanan Windows jarak jauh karena MICROSOFT Entra ID tidak berisi SID pengguna atau grup. Microsoft Entra joined Windows Servers harus menggunakan akun pengguna berbasis domain atau lokal untuk mengakses SMB melalui berbagi QUIC.
• Anda tidak dapat mengonfigurasi SMB melalui QUIC menggunakan WAC saat server SMB berada dalam grup kerja (artinya, bukan domain AD yang bergabung). Sesuai skenario ini, Anda harus menggunakan cmdlet New-SMBServerCertificateMapping .
• Sebaiknya pengontrol domain baca-saja yang dikonfigurasi hanya dengan kata sandi pengguna seluler tersedia untuk server file.
• Pengguna harus memiliki kata sandi yang kuat atau, idealnya, dikonfigurasi menggunakan strategi tanpa kata sandi dengan Windows Hello untuk Bisnis MFA atau kartu pintar. Konfigurasikan kebijakan penguncian akun untuk pengguna seluler melalui kebijakan kata sandi terperinci dan Anda harus menyebarkan perangkat lunak perlindungan intrusi untuk mendeteksi serangan brute force atau semprotan kata sandi.

Referensi lainnya

• Penyimpanan di blog Microsoft
• Beranda QUIC Working Group
• Beranda Microsoft MsQuic GitHub
• QUIC Wikipedia
• Beranda Grup Kerja TLS 1.3
• Membawa Keamanan Lapisan Transportasi (TLS) ke tingkat berikutnya dengan TLS 1.3