SMB su QUIC
Si applica a: Windows Server 2022 Datacenter: Azure Edition, Windows 11
SMB su QUIC introduce un'alternativa al trasporto di rete TCP, offrendo connettività sicura e affidabile ai file server perimetrali su reti non attendibili come Internet. QUIC è un protocollo standardizzato con IETF con molti vantaggi rispetto a TCP:
- Tutti i pacchetti sono sempre crittografati e l'handshake viene autenticato con TLS 1.3
- Flussi paralleli di dati dell'applicazione affidabili e inaffidabili
- Scambia i dati dell'applicazione nel primo round trip (0-RTT)
- Miglioramento del controllo della congestione e del ripristino della perdita
- Non è stata apportata una modifica all'indirizzo IP o alla porta dei client
SMB su QUIC offre una "VPN SMB" per telecomunicazioni, utenti di dispositivi mobili e organizzazioni con sicurezza elevata. Il certificato del server crea un tunnel crittografato TLS 1.3 sulla porta UDP 443 facile da Internet anziché sulla porta TCP legacy 445. Tutto il traffico SMB, incluse l'autenticazione e l'autorizzazione all'interno del tunnel, non viene mai esposto alla rete sottostante. SMB si comporta normalmente all'interno del tunnel QUIC, vale a dire che l'esperienza utente non cambia. Le funzionalità SMB come multicanale, firma, compressione, disponibilità continua, leasing di directory e così via funzionano normalmente.
Un file server amministratore deve acconsentire esplicitamente all'abilitazione di SMB su QUIC. Non è attivata per impostazione predefinita e un client non può forzare un file server abilitare SMB su QUIC. Windows client SMB usano ancora TCP per impostazione predefinita e tenteranno SMB su QUIC solo se il tentativo TCP ha esito negativo o se richiede intenzionalmente QUIC NET USE /TRANSPORT:QUIC
usando o New-SmbMapping -TransportType QUIC
.
Prerequisiti
Per usare SMB su QUIC, sono necessari gli elementi seguenti:
- Un file server che esegue Windows Server 2022 Datacenter: Azure Edition (Sistemi operativi Microsoft Server)
- Un computer Windows 11 (Windows for business)
- Windows admin center(home page)
- Infrastruttura a chiave pubblica per rilasciare certificati come il server certificati Active Directory o l'accesso a un'autorità di certificazione di terze parti attendibile, ad esempio Verisign, Digicert, Let's Encrypt e così via.
Distribuire SMB su QUIC
Passaggio 1: Installare un certificato del server
Creare un certificato emesso dall'autorità di certificazione con le proprietà seguenti:
- Utilizzo chiave: firma digitale
- Scopo: Autenticazione server (EKU 1.3.6.1.5.5.7.3.1)
- Algoritmo di firma: SHA256RSA (o versione successiva)
- Hash della firma: SHA256 (o versione successiva)
- Algoritmo a chiave pubblica: ECDSA_P256 (o superiore. Può anche usare RSA con almeno 2048 lunghezza)
- Nome alternativo soggetto (SAN): (voce del nome DNS per ogni nome DNS completo usato per raggiungere il server SMB)
- Soggetto: (CN= qualsiasi elemento, ma deve esistere)
- Chiave privata inclusa: sì
Se si usa un'autorità di certificazione di Microsoft Enterprise, è possibile creare un modello di certificato e consentire all'amministratore file server di fornire i nomi DNS quando lo richiede. Per altre informazioni sulla creazione di un modello di certificato, vedere Progettazione e implementazione di un'infrastruttura a chiave pubblica: Parte III Modelli di certificato. Per una dimostrazione della creazione di un certificato per SMB su QUIC usando un'autorità di certificazione di Microsoft Enterprise, guardare questo video:
Per richiedere un certificato di terze parti, consultare la documentazione del fornitore.
Se si usa un'autorità di Enterprise Microsoft:
- Avviare MMC.EXE nella file server.
- Aggiungere lo snap-in Certificati e selezionare l'account computer.
- Espandere Certificati (computer locale), Personale, quindi fare clic con il pulsante destro del mouse su Certificati e scegliere Richiedi nuovo certificato.
- Scegliere Avanti
- Selezionare Criteri di registrazione di Active Directory
- Scegliere Avanti
- Selezionare il modello di certificato per SMB su QUIC pubblicato in Active Directory.
- Fare clic su Sono necessarie altre informazioni per la registrazione per questo certificato. Fare clic qui per configurare le impostazioni.
- In questo modo gli utenti possono usare per individuare il file server, compilare il valore Oggetto con un nome comune e un nome alternativo soggetto con uno o più nomi DNS.
- Fare clic su OK e quindi su Registra.
Nota
Se si usa un file di certificato emesso da un'autorità di certificazione di terze parti, è possibile usare lo snap-in Certificati o l'interfaccia di amministrazione di Windows per importarlo.
Passaggio 2: Configurare SMB su QUIC
Distribuire un server Windows Server 2022 Datacenter: Server Edizione di Azure.
Installare la versione più recente di Windows admin center in un PC di gestione o nel file server. È necessaria la versione più recente dell'estensione Condivisione file. Viene installato automaticamente dall'interfaccia Windows se l'opzione Aggiorna automaticamente le estensioni è abilitata in Impostazioni estensioni.
Aggiungere Windows Server 2022 Datacenter: Azure Edition file server al dominio di Active Directory e renderlo accessibile ai client Windows Insider nell'interfaccia pubblica di Azure aggiungendo una regola di autorizzazione del firewall per l'ingresso UDP/443. Non consentire tcp/445 in ingresso al file server. Il file server deve avere accesso ad almeno un controller di dominio per l'autenticazione, ma nessun controller di dominio richiede l'accesso a Internet.
Connessione al server con l'interfaccia Windows e fare clic sull'icona Impostazioni in basso a sinistra. Nella sezione Condivisioni file (server SMB) fare clic su Configura in Condivisione file su Internet con SMB suQUIC.
Fare clic su un certificato in Selezionare un certificato computerper questo file server , fare clic sull'indirizzo del server a cui i client possono connettersi oppure fare clic su Selezionatutto e quindi su Abilita.
Verificare che il certificato e il report SMB su QUIC siano integri.
Fare clic sull'opzione di menu File e condivisione file . Prendere nota delle condivisioni SMB esistenti o crearne una nuova.
Per una dimostrazione della configurazione e dell'uso di SMB su QUIC, guardare questo video:
Passaggio 3: Connessione a condivisioni SMB
Aggiungere il dispositivo Windows 11 al dominio. È necessario essere certi che i nomi alternativi del soggetto del certificato SMB su QUIC file server siano pubblicati in DNS e siano completi OPPURE aggiunti ai file HOST per l'Windows 11. Assicurarsi che i nomi alternativi del soggetto del certificato del server siano pubblicati in DNS O aggiunti ai file HOSTS per il Windows 11 .
Spostare il Windows 11 in una rete esterna in cui non ha più accesso di rete ai controller di dominio o agli indirizzi IP interni del file server.
Nella Windows Esplora file, nella barra degli indirizzi, digitare il percorso UNC di una condivisione nel file server e verificare che sia possibile accedere ai dati nella condivisione. In alternativa, è possibile usare NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC con un percorso UNC. Esempi:
NET USE * \\fsedge1.contoso.com\sales
NET USE * \\fsedge1.contoso.com\sales
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC
Configurare il proxy KDC (facoltativo, ma consigliato)
Per impostazione predefinita, un Windows 11 non ha accesso a un controller di dominio Active Directory quando si connette a un SMB tramite QUIC file server. Ciò significa che l'autenticazione usa NTLMv2, in cui il file server autentica per conto del client. Nessuna autenticazione o autorizzazione NTLMv2 si verifica all'esterno del tunnel QUIC crittografato con TLS 1.3. Tuttavia, è comunque consigliabile usare Kerberos come procedura consigliata di sicurezza generale e non è consigliabile creare nuove dipendenze NTLMv2 nelle distribuzioni. A tale scopo, è possibile configurare il proxy KDC per inoltrare le richieste di ticket per conto dell'utente, usando al tempo stesso un canale di comunicazione crittografato HTTPS facile da Internet.
Nota
Non è possibile configurare Windows admin center (WAC) in modalità gateway usando la porta TCP 443 in un file server in cui si sta configurando il proxy KDC. Quando si configura WAC nel file server, impostare la porta su una porta non in uso e non 443. Se wac è già stato configurato sulla porta 443, eseguire nuovamente l'msi di installazione di WAC e scegliere una porta diversa quando richiesto.
Windows metodo dell'interfaccia di amministrazione
Assicurarsi di usare almeno Windows Admin Center versione 2110.
Configurare SMB su QUIC normalmente. A partire da Windows Admin Center 2110, l'opzione per configurare il proxy KDC in SMB su QUIC viene abilitata automaticamente e non è necessario eseguire passaggi aggiuntivi nei file server.
Configurare l'impostazione di Criteri di gruppo seguente da applicare al Windows 11:
Computer Modelli amministrativi Sistema Kerberos Specifica i server proxy >>> KDC per i client Kerberos
Il formato di questa impostazione di Criteri di gruppo è un nome di valore del nome di dominio completo di Active Directory e il valore sarà il nome esterno specificato per il server QUIC. Ad esempio, dove il dominio di Active Directory è denominato corp.contoso.com e il dominio DNS esterno è denominato contoso.com:
value name: corp.contoso.com
value: <https fsedge1.contoso.com:443:kdcproxy />
Questo mapping dell'area di autenticazione Kerberos significa che se l'utente ha tentato di connettersi a un nome file server fs1edge.contoso.com , il proxy KDC sarà in grado di inoltrare i ticket Kerberos a un controller di dominio nel dominio corp.contoso.com ned@corp.contoso.com interno. ned@corp.contoso.com La comunicazione con il client verrà tramite HTTPS sulla porta 443 e le credenziali utente non sono esposte direttamente nella rete file server client.
Assicurarsi che i firewall perimetrali consentano HTTPS sulla porta 443 in ingresso al file server.
Applicare i criteri di gruppo e riavviare il Windows 11.
Metodo Manual
Nel file server, in un prompt di PowerShell con privilegi elevati, eseguire:
NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f
Get-SmbServerCertificateMapping
Copiare il valore di identificazione personale dal certificato associato al certificato SMB su QUIC (possono essere presenti più righe ma avranno tutte la stessa identificazione personale) e incollarlo come valore Certhash per il comando seguente:
$guid = [Guid]::NewGuid()
Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false
Aggiungere il file server SMB su QUIC come nomi SPN in Active Directory per Kerberos. Ad esempio:
NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com
Impostare il servizio proxy KDC su automatico e avviarlo:
Set-Service -Name kpssvc -StartupType Automatic
Start-Service -Name kpssvc
Configurare i criteri di gruppo seguenti da applicare al dispositivo Windows 11:
Computer Modelli amministrativi Sistema Kerberos Specifica i server proxy >>> KDC per i client Kerberos
Il formato di questa impostazione di Criteri di gruppo è un nome di valore del nome di dominio Active Directory completo e il valore sarà il nome esterno specificato per il server QUIC. Ad esempio, dove il dominio di Active Directory è denominato "corp.contoso.com" e il dominio DNS esterno è denominato "contoso.com":
value name: corp.contoso.com
value: <https fsedge1.contoso.com:443:kdcproxy />
Questo mapping dell'area di autenticazione Kerberos significa che se l'utente ha provato a connettersi a un nome file server , il proxy KDC saprà inoltrare i ticket Kerberos a un controller di dominio nel
ned@corp.contoso.com
fs1edge.contoso.com"
dominiocorp.contoso.com
interno. La comunicazione con il client sarà tramite HTTPS sulla porta 443 e le credenziali utente non sono esposte direttamente nella rete file server client.Creare una Windows Defender firewall che abilita in ingresso la porta TCP 443 per consentire al servizio proxy KDC di ricevere le richieste di autenticazione.
Assicurarsi che i firewall perimetrali consentano HTTPS sulla porta 443 in ingresso alla file server.
Applicare i criteri di gruppo e riavviare il Windows 11.
Nota
La configurazione automatica del proxy KDC sarà disponibile più avanti in SMB su QUIC e questi passaggi del server non saranno necessari.
Scadenza e rinnovo del certificato
Un certificato SMB scaduto su QUIC sostituito con un nuovo certificato dell'autorità di certificazione conterrà una nuova identificazione personale. Anche se è possibile rinnovare automaticamente I certificati SMB su QUIC quando scadono usando Servizi certificati Active Directory, anche un certificato rinnovato ottiene una nuova identificazione personale. Ciò significa che SMB su QUIC deve essere riconfigurato alla scadenza del certificato, perché è necessario eseguire il mapping di una nuova identificazione personale. È sufficiente selezionare il nuovo certificato nell'interfaccia di amministrazione di Windows per la configurazione SMB esistente su QUIC o usare il comando powershell Set-SMBServerCertificateMapping per aggiornare il mapping per il nuovo certificato. È possibile usare Gestione automatica di Azure per Windows Server per rilevare la scadenza imminente del certificato ed evitare un'interruzione. Per altre informazioni, vedere Gestione automatica di Azure per Windows Server.
Note
- Windows Server 2022 Datacenter: Azure Edition sarà disponibile anche in Azure Stack HCI 21H2, per i clienti che non usano il cloud pubblico di Azure.
- È consigliabile che i controller di dominio di sola lettura configurati solo con password di utenti mobili siano resi disponibili per l'file server.
- Gli utenti devono avere password complesse o, idealmente, essere configurati usando una strategia senza password con Windows Hello per l'autenticazione a più fattori aziendaleo le smart card. Configurare un criterio di blocco dell'account per gli utenti mobili tramite criteri granulari per le password ed è consigliabile distribuire software di protezione dalle intrusioni per rilevare attacchi di forza bruta o di irrorazione delle password.
Altri riferimenti
Home page del gruppo di lavoro QUIC
Home page di Microsoft MsQuic GitHub
Home page del gruppo di lavoro TLS 1.3
Informazioni di riferimento sul supporto di Microsoft TLS 1.3