SMB melalui QUIC

  • Artikel

Berlaku untuk: Pusat Data Windows Server 2022: Edisi Azure, Windows 11

SMB melalui QUIC memperkenalkan alternatif untuk transportasi jaringan TCP, menyediakan konektivitas yang aman dan andal ke server file edge melalui jaringan yang tidak tepercaya seperti Internet. QUIC adalah protokol standar IETF dengan banyak manfaat jika dibandingkan dengan TCP:

  • Semua paket selalu dienkripsi dan jabat tangan diautentikasi dengan TLS 1.3
  • Aliran paralel data aplikasi yang andal dan tidak dapat diandalkan
  • Menukar data aplikasi dalam perjalanan pulang pergi pertama (0-RTT)
  • Peningkatan kontrol kemacetan dan pemulihan kehilangan
  • Bertahan dari perubahan alamat IP atau port klien

SMB over QUIC menawarkan "SMB VPN" untuk telekomuter, pengguna perangkat seluler, dan organisasi keamanan tinggi. Sertifikat server membuat terowongan terenkripsi TLS 1.3 melalui port UDP 443 ramah internet, bukan port TCP 445 lama. Semua lalu lintas SMB, termasuk autentikasi dan otorisasi di dalam terowongan tidak pernah terekspos ke jaringan yang mendasarinya. SMB berperilaku normal di dalam terowongan QUIC, yang berarti pengalaman pengguna tidak berubah. Fitur SMB seperti multisaluran, penandatanganan, kompresi, ketersediaan berkelanjutan, penyewaan direktori, dan sebagainya, bekerja secara normal.

Administrator server file harus ikut mengaktifkan SMB melalui QUIC. Ini tidak aktif secara default dan klien tidak dapat memaksa server file untuk mengaktifkan SMB melalui QUIC. Klien Windows SMB masih menggunakan TCP secara default dan hanya akan mencoba SMB melalui QUIC jika upaya TCP terlebih dahulu gagal atau jika sengaja memerlukan QUIC menggunakan NET USE /TRANSPORT:QUIC atau New-SmbMapping -TransportType QUIC.

Prasyarat

Untuk menggunakan SMB over QUIC, Anda memerlukan hal-hal berikut:

  • Server file yang menjalankan Pusat Data Windows Server 2022: Azure Edition (Sistem Operasi Microsoft Server) atau yang lebih baru
  • Perangkat Windows 11 (Windows untuk bisnis)
  • Pusat Admin Windows (WAC) (Beranda)
  • Infrastruktur Kunci Umum (PKI) untuk menerbitkan sertifikat seperti Server Sertifikat Direktori Aktif atau akses ke penerbit sertifikat pihak ketiga tepercaya seperti Verisign, Digicert, Let's Encrypt, dll.

Menyebarkan SMB melalui QUIC

Langkah 1: Menginstal sertifikat server

  1. Buat sertifikat yang dikeluarkan Otoritas Sertifikat dengan properti berikut:

    • Penggunaan kunci: tanda tangan digital
    • Tujuan: Autentikasi Server (EKU 1.3.6.1.5.5.7.3.1)
    • Algoritma tanda tangan: SHA256RSA (atau lebih besar)
    • Hash tanda tangan: SHA256 (atau lebih besar)
    • Algoritma kunci publik: ECDSA_P256 (atau lebih besar. Dapat juga menggunakan RSA dengan panjang setidaknya 2048)
    • Nama Alternatif Subjek (SAN): (Entri nama DNS untuk setiap nama DNS yang sepenuhnya memenuhi syarat yang digunakan untuk mencapai server SMB)
    • Subjek: (CN= apa pun, tetapi harus ada)
    • Kunci privat disertakan: ya

    pengaturan sertifikat memperlihatkan Algoritma tanda tangan dengan nilai sha256RSA, nilai algoritma hash tanda tangan sha256, dan Nilai subjek ws2022-quic

    Pengaturan sertifikat di bawah tab Detail memperlihatkan Nilai kunci publik ECC (256 bit), parameter kunci publik ECDSA-P256 dan Kebijakan aplikasi 1 Kebijakan Sertifikat aplikasi

    Detail sertifikat memperlihatkan nilai nama alternatif subjek sebagai Nama DNS sama dengan ws2022-quic.corp, dan nilai Penggunaan Kunci sebagai Tanda Tangan Digital, Non-Ditolikasi

    Jika menggunakan Microsoft Enterprise Certificate Authority, Anda dapat membuat templat sertifikat dan mengizinkan administrator server file untuk menyediakan nama DNS saat memintanya. Untuk informasi selengkapnya tentang membuat templat sertifikat, tinjau Merancang dan Menerapkan PKI: Templat Sertifikat Bagian III. Untuk demonstrasi pembuatan sertifikat untuk SMB over QUIC menggunakan Microsoft Enterprise Certificate Authority, tonton video ini:

    Untuk meminta sertifikat pihak ketiga, lihat dokumentasi vendor Anda.

  2. Jika menggunakan Microsoft Enterprise Certificate Authority:

    1. Mulai MMC.EXE di server file.
    2. Tambahkan snap-in Sertifikat, dan pilih akun Komputer.
    3. Perluas Sertifikat (Komputer Lokal), Pribadi, lalu klik kanan Sertifikat dan pilih Minta Sertifikat Baru.
    4. Pilih Selanjutnya
    5. Pilih Kebijakan Pendaftaran Direktori Aktif
    6. Pilih Selanjutnya
    7. Pilih templat sertifikat untuk SMB melalui QUIC yang diterbitkan di Direktori Aktif.
    8. Pilih Informasi selengkapnya diperlukan untuk mendaftar untuk sertifikat ini. Klik di sini untuk mengonfigurasi pengaturan.
    9. Jadi pengguna dapat menggunakan untuk menemukan server file, mengisi nilai Subjek dengan nama umum dan Nama Alternatif Subjek dengan satu atau beberapa nama DNS.
    10. Pilih Ok lalu pilih Daftar.

    Gambar yang menunjukkan Pendaftaran Sertifikat Konsol Manajemen Microsoft dengan SMB melalui QUIC dipilih

    Gambar yang memperlihatkan jendela Properti Sertifikat dari sertifikat yang dipilih

    Gambar yang menunjukkan proses penyelesaian pendaftaran sertifikat di Microsoft Management Console

Catatan

Jangan gunakan alamat IP untuk SMB melalui Nama Alternatif Subjek server QUIC.

  • Alamat IP akan memerlukan penggunaan NTLM, bahkan jika Kerberos tersedia dari pengendali domain atau melalui Proksi KDC.
  • Azure IaaS VM yang menjalankan SMB over QUIC menggunakan NAT untuk antarmuka publik kembali ke antarmuka privat. SMB over QUIC tidak mendukung penggunaan alamat IP untuk nama server melalui NAT, Anda harus menggunakan nama DNS yang sepenuhnya memenuhi syarat yang diselesaikan ke alamat IP antarmuka publik hanya dalam kasus ini.

Catatan

Jika Anda menggunakan file sertifikat yang dikeluarkan oleh otoritas sertifikat pihak ketiga, Anda dapat menggunakan snap-in Sertifikat atau WAC untuk mengimpornya.

Langkah 2: Mengonfigurasi SMB melalui QUIC

  1. Menyebarkan Pusat Data Windows Server 2022: Server Azure Edition .
  2. Instal WAC versi terbaru pada PC manajemen atau server file. Anda memerlukan versi terbaru ekstensi File & Berbagi File. Ini diinstal secara otomatis oleh WAC jika Ekstensi pembaruan otomatis diaktifkan di Ekstensi Pengaturan>.
  3. Bergabunglah dengan Pusat Data Windows Server 2022 Anda: Server file Azure Edition ke domain Direktori Aktif Anda dan membuatnya dapat diakses oleh klien Windows Insider di antarmuka publik Azure dengan menambahkan aturan izin firewall untuk masuk UDP/443. Jangan izinkan TCP/445 masuk ke server file. Server file harus memiliki akses ke setidaknya satu pengendali domain untuk autentikasi, tetapi tidak ada pengontrol domain yang memerlukan akses internet apa pun.

Catatan

Sebaiknya gunakan SMB melalui QUIC dengan domain Direktori Aktif, namun tidak diperlukan. Anda juga dapat menggunakan SMB over QUIC di server yang bergabung dengan grup kerja dengan kredensial pengguna lokal dan NTLM.

  1. Koneksi ke server dengan WAC dan pilih ikon Pengaturan di kiri bawah. Di bagian Berbagi file (server SMB), di bawah Berbagi file di internet dengan SMB melalui QUIC, pilih Konfigurasikan.

  2. Pilih sertifikat di bawah Pilih sertifikat komputer untuk server file ini, pilih alamat server yang dapat disambungkan klien atau pilih Pilih semua, dan pilih Aktifkan.

    Gambar yang memperlihatkan layar konfigurasi untuk SMB melalui QUIC di Pusat Admin Windows

  3. Pastikan bahwa sertifikat dan laporan SMB over QUIC sehat.

    Gambar yang menunjukkan semua sertifikat yang tersedia untuk pengaturan SMB over QUIC yang dikonfigurasi di Pusat Admin Windows

  4. Pilih opsi menu File dan Berbagi File. Perhatikan berbagi SMB anda yang sudah ada atau buat yang baru.

Untuk demonstrasi mengonfigurasi dan menggunakan SMB over QUIC, tonton video ini:

Langkah 3: Koneksi ke berbagi SMB

  1. Gabungkan perangkat Windows 11 Anda ke domain Anda. Pastikan nama SMB melalui nama alternatif subjek sertifikat server file QUIC diterbitkan ke DNS dan sepenuhnya memenuhi syarat atau ditambahkan ke file HOST untuk Windows 11 Anda. Pastikan bahwa nama alternatif subjek sertifikat server diterbitkan ke DNS atau ditambahkan ke file HOSTS untuk Windows 11 Anda.

  2. Pindahkan perangkat Windows 11 Anda ke jaringan eksternal tempat perangkat tersebut tidak lagi memiliki akses jaringan ke pengontrol domain atau alamat IP internal server file.

  3. Di Windows File Explorer, di Bilah Alamat, ketik jalur UNC ke berbagi di server file dan konfirmasikan bahwa Anda dapat mengakses data dalam berbagi. Atau, Anda dapat menggunakan NET USE /TRANSPORT:QUIC atau New-SmbMapping -TransportType QUIC dengan jalur UNC. Contoh:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

Audit klien SMB over QUIC

Audit digunakan untuk melacak koneksi klien untuk SMB melalui QUIC, dengan peristiwa ditulis ke log peristiwa. Pemantau Peristiwa mengambil informasi ini untuk protokol transportasi QUIC. Fitur ini tersedia untuk Klien SMB yang dimulai dengan Windows 11 Insider build 26090. Untuk melihat log ini, ikuti langkah-langkah berikut:

  1. Buka Pemantau Peristiwa.
  2. Navigasi ke Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Koneksi ivity.
  3. Pantau ID peristiwa 30832.

Secara default, perangkat Windows 11 tidak akan memiliki akses ke pengontrol domain Direktori Aktif saat menyambungkan ke SMB melalui server file QUIC. Ini berarti autentikasi menggunakan NTLMv2, tempat server file mengautentikasi atas nama klien. Tidak ada autentikasi atau otorisasi NTLMv2 yang terjadi di luar terowongan QUIC terenkripsi TLS 1.3. Namun, kami masih merekomendasikan penggunaan Kerberos sebagai praktik terbaik keamanan umum dan tidak merekomendasikan pembuatan dependensi NTLMv2 baru dalam penyebaran. Untuk mengizinkan ini, Anda dapat mengonfigurasi proksi KDC untuk meneruskan permintaan tiket atas nama pengguna, sekaligus menggunakan saluran komunikasi terenkripsi HTTPS yang ramah internet. Proksi KDC didukung oleh SMB melalui QUIC dan sangat direkomendasikan.

Catatan

Anda tidak dapat mengonfigurasi WAC dalam mode gateway menggunakan port TCP 443 di server file tempat Anda mengonfigurasi Proksi KDC. Saat mengonfigurasi WAC di server file, ubah port menjadi port yang tidak digunakan dan bukan 443. Jika Anda telah mengonfigurasi WAC pada port 443, jalankan kembali MSI penyiapan WAC dan pilih port yang berbeda saat diminta.

Metode Pusat Admin Windows

  1. Pastikan Anda menggunakan setidaknya WAC versi 2110.

  2. Konfigurasikan SMB melalui QUIC secara normal. Mulai dari WAC 2110, opsi untuk mengonfigurasi proksi KDC di SMB over QUIC diaktifkan secara otomatis dan Anda tidak perlu melakukan langkah tambahan di server file. Port proksi KDC default adalah 443 dan ditetapkan secara otomatis oleh WAC.

    Catatan

    Anda tidak dapat mengonfigurasi SMB melalui server QUIC yang bergabung ke Grup Kerja menggunakan WAC. Anda harus bergabung dengan server ke domain Direktori Aktif atau menggunakan langkah-langkah di bagian Metode Manual.

  3. Konfigurasikan pengaturan kebijakan grup berikut untuk diterapkan ke perangkat Windows 11:

    Konfigurasi Komputer\Templat Administratif\Sistem\Kerberos\Tentukan server proksi KDC untuk klien Kerberos

    Format pengaturan kebijakan grup ini adalah nama nilai nama domain Active Directory Anda yang sepenuhnya memenuhi syarat dan nilainya menjadi nama eksternal yang Anda tentukan untuk server QUIC. Misalnya, di mana domain Direktori Aktif diberi nama corp.contoso.com dan domain DNS eksternal diberi nama contoso.com:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Pemetaan realm Kerberos ini berarti bahwa jika pengguna ned@corp.contoso.com mencoba menyambungkan ke nama server file fs1edge.contoso.com, proksi KDC tahu untuk meneruskan tiket kerberos ke pengendali domain di domain internal corp.contoso.com . Komunikasi dengan klien akan melalui HTTPS pada port 443 dan kredensial pengguna tidak langsung terekspos di jaringan server file klien.

  4. Pastikan firewall tepi mengizinkan HTTPS pada port 443 masuk ke server file.

  5. Terapkan kebijakan grup dan mulai ulang perangkat Windows 11.

Metode manual

  1. Di server file, dalam prompt PowerShell yang ditingkatkan, jalankan:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force

Get-SmbServerCertificateMapping

  2. Salin nilai thumbprint dari sertifikat yang terkait dengan SMB melalui sertifikat QUIC (mungkin ada beberapa baris tetapi semuanya akan memiliki thumbprint yang sama) dan tempelkan sebagai nilai Certhash untuk perintah berikut:

    $guid = [Guid]::NewGuid()

Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false

  3. Tambahkan SMB server file melalui nama QUIC sebagai SPN di Direktori Aktif untuk Kerberos. Contohnya:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`

  4. Atur layanan Proksi KDC ke otomatis dan mulai:

    Set-Service -Name kpssvc -StartupType Automatic

Start-Service -Name kpssvc

  5. Konfigurasikan kebijakan grup berikut untuk diterapkan ke perangkat Windows 11:

    Konfigurasi Komputer\Templat Administratif\Sistem\Kerberos\Tentukan server proksi KDC untuk klien Kerberos

    Format pengaturan kebijakan grup ini adalah nama nilai nama domain Active Directory Anda yang sepenuhnya memenuhi syarat dan nilainya menjadi nama eksternal yang Anda tentukan untuk server QUIC. Misalnya, di mana domain Direktori Aktif diberi nama "corp.contoso.com" dan domain DNS eksternal diberi nama "contoso.com":

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Pemetaan realm Kerberos ini berarti bahwa jika pengguna ned@corp.contoso.com mencoba menyambungkan ke nama fs1edge.contoso.com"server file , proksi KDC tahu untuk meneruskan tiket kerberos ke pengendali domain di domain internal corp.contoso.com . Komunikasi dengan klien akan melalui HTTPS pada port 443 dan kredensial pengguna tidak langsung terekspos di jaringan server file klien.

  6. Buat aturan Windows Defender Firewall yang memungkinkan port TCP masuk 443 agar layanan Proksi KDC menerima permintaan autentikasi.

  7. Pastikan firewall tepi mengizinkan HTTPS pada port 443 masuk ke server file.

  8. Terapkan kebijakan grup dan mulai ulang perangkat Windows 11.

Catatan

Konfigurasi otomatis Proksi KDC akan datang nanti di SMB melalui QUIC dan langkah-langkah server ini tidak akan diperlukan.

Kedaluwarsa dan perpanjangan sertifikat

Sertifikat SMB over QUIC yang kedaluwarsa yang Anda ganti dengan sertifikat baru dari penerbit akan berisi thumbprint baru. Meskipun Anda dapat memperbarui sertifikat SMB over QUIC secara otomatis saat kedaluwarsa menggunakan Layanan Sertifikat Direktori Aktif, sertifikat yang diperbarui juga mendapatkan thumbprint baru. Ini secara efektif berarti bahwa SMB melalui QUIC harus dikonfigurasi ulang ketika sertifikat kedaluwarsa, karena thumbprint baru harus dipetakan. Pilih sertifikat baru Anda di WAC untuk konfigurasi SMB over QUIC yang ada atau gunakan Set-SMBServerCertificateMapping perintah PowerShell untuk memperbarui pemetaan untuk sertifikat baru. Anda dapat menggunakan Azure Automanage untuk Windows Server untuk mendeteksi kedaluwarsa sertifikat yang akan datang dan mencegah pemadaman. Untuk informasi selengkapnya, tinjau Azure Automanage untuk Windows Server.

Catatan

  • Untuk pelanggan yang tidak menggunakan cloud publik Azure, Pusat Data Windows Server 2022: Azure Edition tersedia di Azure Stack HCI yang dimulai dengan versi 22H2.
  • Sebaiknya gunakan SMB melalui QUIC dengan domain Direktori Aktif tetapi bukan persyaratan. Anda juga dapat menggunakan SMB over QUIC di server yang bergabung dengan grup kerja dengan kredensial pengguna lokal dan NTLM, atau Azure IaaS dengan Windows Server yang bergabung dengan Microsoft Entra. Microsoft Entra bergabung dengan Windows Server untuk komputer berbasis iaaS non-Azure tidak didukung. Microsoft Entra joined Windows Servers tidak mendukung kredensial untuk operasi keamanan Windows jarak jauh karena MICROSOFT Entra ID tidak berisi SID pengguna atau grup. Microsoft Entra joined Windows Servers harus menggunakan akun pengguna berbasis domain atau lokal untuk mengakses SMB melalui berbagi QUIC.
  • Anda tidak dapat mengonfigurasi SMB melalui QUIC menggunakan WAC saat server SMB berada dalam grup kerja (artinya, bukan domain AD yang bergabung). Sesuai skenario ini, Anda harus menggunakan cmdlet New-SMBServerCertificateMapping .
  • Sebaiknya pengontrol domain baca-saja yang dikonfigurasi hanya dengan kata sandi pengguna seluler tersedia untuk server file.
  • Pengguna harus memiliki kata sandi yang kuat atau, idealnya, dikonfigurasi menggunakan strategi tanpa kata sandi dengan Windows Hello untuk Bisnis MFA atau kartu pintar. Konfigurasikan kebijakan penguncian akun untuk pengguna seluler melalui kebijakan kata sandi terperinci dan Anda harus menyebarkan perangkat lunak perlindungan intrusi untuk mendeteksi serangan brute force atau semprotan kata sandi.

Referensi lainnya