Server Message Block (SMB) su QUIC

SMB su QUIC introduce un'alternativa al trasporto di rete TCP, fornendo connettività sicura e affidabile ai file server perimetrali su reti non attendibili come Internet. QUIC è un protocollo standard IETF con molti vantaggi rispetto a TCP:

• Tutti i pacchetti vengono sempre crittografati e l'handshake viene autenticato con TLS 1.3
• Flussi paralleli di dati dell'applicazione affidabili e non affidabili
• Scambia i dati dell'applicazione nel primo ciclo di andata e ritorno (0-RTT)
• Miglioramento del controllo della congestione e del ripristino dalle perdite
• Sopravvive a una modifica all'indirizzo IP o alla porta dei client

SMB su QUIC offre una "VPN SMB" per telecommutatori, utenti di dispositivi mobili e organizzazioni con sicurezza elevata. Il certificato del server crea un tunnel crittografato TLS 1.3 tramite la porta UDP compatibile con Internet 443 anziché la porta TCP legacy 445. Tutto il traffico SMB, inclusa l'autenticazione e l'autorizzazione all'interno del tunnel, non viene mai esposto alla rete sottostante. SMB si comporta normalmente all'interno del tunnel QUIC, il che significa che l'esperienza utente non cambia. Le funzionalità SMB come il multicanale, la firma, la compressione, la disponibilità continua, e il leasing delle directory, funzionano normalmente.

Un amministratore del file server deve acconsentire esplicitamente all'abilitazione di SMB su QUIC. Non è attivata per impostazione predefinita e un client non può forzare un file server ad abilitare SMB su QUIC. I client SMB Windows usano ancora TCP per impostazione predefinita e tenteranno solo SMB su QUIC se il tentativo TCP ha esito negativo o se richiede intenzionalmente QUIC usando NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC.

Nota

Non è consigliabile definire nomi specifici per gli spazi dei nomi DFS in scenari che coinvolgono connessioni SMB e QUIC con endpoint esterni. Questo dipende dal fatto che i nomi degli spazi dei nomi DFS interni verranno usati come riferimento e in genere questi riferimenti non sono raggiungibili per un client esterno nelle versioni correnti di Windows.

Prerequisiti

Per usare SMB su QUIC, sono necessari gli elementi seguenti:

• Un server SMB in esecuzione in uno dei sistemi operativi seguenti.

  • Windows Server 2022 Datacenter: Azure Edition (Sistemi operativi Microsoft Server) o versioni successive

  • Qualsiasi edizione di Windows Server 2025 o versione successiva

• Un dispositivo Windows 11 (Windows for business)

• Il server SMB e il client devono essere aggiunti a un dominio di Active Directory o il client deve avere un account utente locale nel server SMB. Il server SMB deve avere accesso ad almeno un controller di dominio per l'autenticazione, ma nessun controller di dominio richiede alcun accesso a Internet. È consigliabile usare SMB su QUIC con domini di Active Directory, ma non è obbligatorio. È anche possibile usare SMB su QUIC in un server aggiunto al gruppo di lavoro con credenziali utente locali e NTLM.

• Il server deve essere accessibile ai client nell'interfaccia pubblica aggiungendo una regola del firewall per consentire SMB su QUIC. Per impostazione predefinita, SMB su QUIC usa UDP/443 in ingresso. Non consentire TCP/445 in ingresso al file server. Per informazioni su come modificare la porta predefinita, consultare la sezione Configurare porte SMB alternative.

• Il file server deve avere accesso ad almeno un controller di dominio per l'autenticazione, ma nessun controller di dominio richiede alcun accesso a Internet.

• Windows Admin Center (WAC) (Home page)

• Un'infrastruttura a chiave pubblica (PKI) per rilasciare certificati come il server di certificati Active Directory o l'accesso a un'autorità di certificazione di terze parti attendibile, ad esempio Verisign, Digicert, Let's Encrypt e così via.

• Privilegi amministrativi o equivalenti per il server SMB che si sta configurando.

Distribuire SMB tramite QUIC

Passaggio 1: installare un certificato SSL del server

1. Creare un certificato rilasciato dall'autorità di certificazione con le proprietà seguenti:

   • Utilizzo chiave: firma digitale
   • Scopo: autenticazione server (EKU 1.3.6.1.5.5.7.3.1)
   • Algoritmo di firma: SHA256RSA (o versione successiva)
   • Hash della firma: SHA256 (o versione successiva)
   • Algoritmo a chiave pubblica: ECDSA_P256 (o versione successiva). Può anche usare RSA con almeno 2048 lunghezza)
   • Nome alternativo del soggetto (SAN): (una voce di nome DNS per ciascun nome DNS completo utilizzato per raggiungere il server SMB)
   • Oggetto: (CN= qualsiasi elemento, ma deve esistere)
   • Chiave privata inclusa: sì

   

   

   

   Se si usa un'autorità di certificazione Microsoft Enterprise, è possibile creare un modello di certificato e consentire all'amministratore del file server di fornire i nomi DNS durante la richiesta. Per maggiori informazioni sulla creazione di un modello di certificato, consultare la sezione Progettazione e implementazione di un PKI: modelli di certificato Parte III. Per una dimostrazione della creazione di un certificato per SMB tramite QUIC tramite un'autorità di certificazione Microsoft Enterprise, guardare questo video:

   Per richiedere un certificato di terze parti, consultare la documentazione del fornitore.

2. Se si usa un'autorità di certificazione Microsoft Enterprise:

   1. Avviare MMC.EXE nel file server.
   2. Aggiungere lo snap-in Certificati e selezionare l'Account Computer.
   3. Espandere Certificati (computer locale), Personale, quindi fare clic con il pulsante destro del mouse su Certificati e selezionare Richiedi nuovo certificato.
   4. Selezionare Avanti.
   5. Selezionare i criteri di registrazione di Active Directory
   6. Selezionare Avanti.
   7. Selezionare il modello di certificato per SMB su QUIC pubblicato in Active Directory.
   8. Selezionare Ulteriori informazioni sono necessarie per iscriversi a questo certificato. Fare clic qui per configurare le impostazioni.
   9. Gli utenti possono quindi usare per individuare il file server, specificare il valore Oggetto con un nome comune e Nome alternativo oggetto con uno o più nomi DNS.
   10. Selezionare Ok e selezionare Registra.

   

   

Nota

Non usare indirizzi IP per SMB sui Nomi Alternativi del Soggetto del server QUIC.

• Gli indirizzi IP richiederanno l'uso di NTLM, anche se Kerberos è disponibile da un controller di dominio o tramite il proxy KDC.
• Le VM IaaS di Azure che eseguono SMB su QUIC usano NAT per un'interfaccia pubblica a un'interfaccia privata. SMB su QUIC non supporta l'uso dell'indirizzo IP per il nome del server tramite NAT, è necessario usare un nome DNS completo che si risolve nell'indirizzo IP dell'interfaccia pubblica solo in questo caso.

Nota

Se si usa un file di certificato emesso da un'autorità di certificazione di terze parti, è possibile usare lo snap-in Certificati o WAC (Windows Admin Center) per importarlo.

Passaggio 2: Configurare SMB su QUIC

Per configurare SMB su QUIC, selezionare il metodo preferito e seguire la procedura.

Importante

Se si usa Windows Server 2025, è necessario usare il metodo PowerShell per configurare SMB su QUIC. Il metodo Windows Admin Center non è attualmente supportato per Windows Server 2025.

Per una dimostrazione della configurazione e dell'uso di SMB su QUIC, guardare questo video:

Windows Admin Center

1. Accedere al file server come amministratore.

2. Installare la versione più recente d WAC in un PC di gestione o nel file server. È necessaria la versione più recente dell'estensione File & Condivisione file. Viene installato automaticamente da WAC se Aggiorna automaticamente estensioni è abilitato in Impostazioni > Estensioni.

3. Connettersi al server con WAC e selezionare l'icona Impostazioni in basso a sinistra. Nella sezione Condivisioni file (server SMB) in Condivisione file in Internet con SMB su QUIC, selezionare Configura.

4. Selezionare un certificato in Selezionare un certificato computer per questo file server, selezionare gli indirizzi del server a cui i client possono connettersi o selezionare Seleziona tutto, quindi selezionare Abilita.

   

5. Assicurarsi che il certificato e il report SMB su QUIC siano integri.

   

6. Selezionare la voce di menu File e Condivisione di File. Annota le condivisioni SMB esistenti o creane una nuova.

PowerShell

1. Accedere al file server come amministratore.

2. Apri un prompt di PowerShell con privilegi elevati.

3. Elencare i certificati nell'archivio certificati del server eseguendo il comando seguente.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

4. Eseguire il comando seguente per archiviare il certificato in una variabile. Sostituire <subject name> con il nome del soggetto del certificato che si desidera usare.

   $serverCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

5. Verificare che il certificato corrisponda a quello che si desidera usare eseguendo il comando seguente.

   $serverCert
   

6. Per abilitare SMB su QUIC utilizzando l'impronta digitale del certificato corrispondente, eseguire il comando seguente. Assicurati di sostituire <server FQDN> con il nome di dominio completo del server SMB tramite QUIC.

   New-SmbServerCertificateMapping -Name <server FQDN> -ThumbPrint $serverCert.Thumbprint -Storename My 
   

Se si desidera applicare il controllo al client tramite SMB, è possibile utilizzare il Controllo di accesso client. Per maggiori informazioni su come limitare i client che possono accedere ai server SMB su QUIC, consultare la sezione Configurare il controllo di accesso client SMB su QUIC.

Passaggio 3: Connettersi a condivisioni SMB

1. Aggiungere il dispositivo client Windows al proprio dominio. Accertarsi che i nomi alternativi del soggetto del certificato del file server SMB su QUIC vengano pubblicati in DNS e siano completamente qualificati o aggiunti ai file HOST per il client Windows. Assicurarsi che i nomi alternativi del soggetto del certificato del server vengano pubblicati in DNS o aggiunti ai file HOSTS per il client Windows.

2. Spostare il dispositivo client Windows in una rete esterna in cui non ha più accesso di rete ai controller di dominio o agli indirizzi IP interni del file server.

3. In File Explorer di Windows, nella barra degli indirizzi, digitare il percorso UNC di una condivisione nel file server e verificare che sia possibile accedere ai dati nella condivisione. In alternativa, è possibile usare NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC con un percorso UNC. Esempi:

   REM Automatically tries TCP then QUIC
   NET USE * \\fsedge1.contoso.com\sales
   
   REM Tries only QUIC
   NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC
   

   #Tries only QUIC
   New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC
   

Gestire SMB tramite QUIC

PowerShell

Gli amministratori possono disabilitare SMB su QUIC per un server eseguendo il comando seguente:

Set-SmbServerConfiguration -EnableSMBQUIC $false

Per disabilitare SMB su QUIC per un dispositivo client, eseguire il comando seguente:

Set-SmbClientConfiguration -EnableSMBQUIC $false

SMB su QUIC può essere abilitato sul server o sul client impostando $false su $true.

Nota

Se un client tenta di connettersi a un server tramite QUIC e SMB tramite QUIC è disabilitato, il client tenta di connettersi al server tramite TCP. Si presuppone che il server non sia incluso nell'elenco delle eccezioni.

Gli amministratori possono ora specificare un elenco di eccezioni per server SMB over QUIC nel client. Un client può connettersi a un server quando SMB su base QUIC è disabilitato nel client, purché l'indirizzo IP del server, il nome NetBIOS o il nome FQDN sia nell'elenco delle eccezioni. Per altre informazioni, vedere Abilitare le eccezioni al blocco NTLM. È possibile creare un elenco di eccezioni del server eseguendo il comando seguente:

Set-SmbClientConfiguration -DisabledSMBQUICServerExceptionList "<Server01>, <Server02>, <Server03>"

Criteri di gruppo

Per disabilitare SMB su QUIC per il server, seguire questa procedura:

1. Selezionare Start, digitare gpedit.msc e selezionare Invio.
2. Nell'interfaccia utente dei Criteri di gruppo, passare a Configurazione computer\Modelli amministrativi\Rete\Lanman Server, selezionare Abilita SMB su QUIC e quindi selezionare Disabilitato.

Per abilitare SMB su QUIC, impostare questo criterio su Abilitato.

Per disabilitare SMB su QUIC per un dispositivo client, seguire questa procedura:

1. Nell'interfaccia utente Criteri di gruppo, navigare fino a Configurazione computer\Modelli amministrativi\Rete\Workstation Lanman, selezionare Abilita SMB su QUIC e quindi selezionare Disabilitato.

Per abilitare SMB su QUIC, impostare questo criterio su Abilitato.

Per abilitare un elenco di eccezioni del server per SMB su QUIC, seguire questa procedura:

1. Nell'interfaccia utente dei Criteri di gruppo, passare a Configurazione computer\Modelli amministrativi\Rete\Lanman Workstation, selezionare Elenco delle eccezioni dei server SMB disabilitato su QUIC e quindi selezionare Abilitato.
2. Nella casella delle opzioni dell'Elenco eccezioni server disabilitato SMB su QUIC, aggiungere l'indirizzo IP del server, il nome NetBIOS o il FQDN. Usare una virgola per aggiungere più valori.
3. Dopo aver popolato l'elenco delle eccezioni, selezionare OK.

Controllo per il client SMB su QUIC

Il controllo viene usato per tracciare le connessioni client per SMB su QUIC, con gli eventi che vengono scritti in un registro eventi. Il Visualizzatore eventi acquisisce queste informazioni per il protocollo di trasporto QUIC. Questa funzionalità è disponibile per il client SMB a partire da Windows 11 versione 24H2 Per visualizzare questi log, seguire questa procedura:

1. Aprire il Visualizzatore eventi.
2. Passare a Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Connettività.
3. Monitorare l'ID evento 30832.

Configurare il proxy KDC (opzionale, ma consigliato)

Per impostazione predefinita, un dispositivo client Windows non avrà accesso a un controller di dominio di Active Directory quando ci si connette a un file server SMB tramite file server QUIC. Questo significa che l'autenticazione usa NTLMv2, in cui il file server esegue l'autenticazione per conto del client. Non viene eseguita alcuna autenticazione o autorizzazione NTLMv2 all'esterno del tunnel QUIC crittografato TLS 1.3. Tuttavia, è comunque consigliabile usare Kerberos come procedura consigliata per la sicurezza generale e non è consigliabile creare nuove dipendenze NTLMv2 nelle distribuzioni. A tale scopo, è possibile configurare il proxy KDC per inoltrare le richieste di ticket per conto dell'utente, tutto mentre si usa un canale di comunicazione crittografato HTTPS compatibile con Internet. Il proxy KDC è supportato da SMB su QUIC e fortemente consigliato.

Nota

Non è possibile configurare WAC in modalità gateway usando la porta TCP 443 in un file server in cui si sta configurando il proxy KDC. Quando si configura WAC sul file server, impostare la porta su una che non sia in uso e diversa da 443. Se hai già configurato WAC sulla porta 443, esegui nuovamente il setup MSI di WAC e scegli una porta diversa quando richiesto dal sistema.

Windows Admin Center

1. Assicurarsi di usare WAC, Versione 2110 o successiva.

2. Configurare normalmente SMB su QUIC. A partire da WAC 2110, l'opzione per configurare il proxy KDC in SMB su QUIC viene abilitata automaticamente e non è necessario eseguire passaggi aggiuntivi nei file server. La porta proxy KDC predefinita è la 443 e viene assegnata automaticamente da WAC.

   Nota

   Non è possibile usare WAC per configurare un server SMB su QUIC aggiunto a un gruppo di lavoro. È necessario aggiungere il server a un dominio di Active Directory o seguire la procedura descritta nella configurazione del proxy KDC in PowerShell o in Criteri di gruppo.

PowerShell

1. Nel file server, in un prompt di PowerShell con privilegi elevati, eseguire:

   NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force
   
   Get-SmbServerCertificateMapping
   

2. Copiare il valore di impronta digitale dal certificato associato a SMB su QUIC (potrebbero esserci più righe, ma tutte con la stessa impronta digitale) e incollarlo come valore Certhash per il comando seguente.

   $guid = [Guid]::NewGuid()
   Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false
   

3. Aggiungere i nomi del file server SMB su QUIC come SPN in Active Directory per Kerberos. Ad esempio:

   NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`
   

4. Impostare il servizio proxy KDC su automatico e avviarlo:

   Set-Service -Name kpssvc -StartupType Automatic
   
   Start-Service -Name kpssvc
   

Criteri di gruppo

1. Configurare i criteri di gruppo seguenti per l'applicazione al dispositivo client Windows:

   Configurazione computer\Modelli amministrativi\Sistema\Kerberos\Specificare i server proxy KDC per i client Kerberos

   Il formato di questa impostazione di Criteri di gruppo è un nome di valore del nome di dominio Active Directory completo e il valore diventa il nome esterno specificato per il server QUIC. Ad esempio, dove il dominio di Active Directory è denominato corp.contoso.com e il dominio DNS esterno è denominato contoso.com:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Questo mapping dell'area di autenticazione Kerberos significa che se l'utente ned@corp.contoso.com ha tentato di connettersi a un nome di file server fs1edge.contoso.com", il proxy KDC sa inoltrare i ticket Kerberos a un controller di dominio nel dominio interno corp.contoso.com. La comunicazione con il client sarà tramite HTTPS sulla porta 443 e le credenziali utente non vengono esposte direttamente nella rete client-file server.

2. Creare una regola di Windows Defender Firewall che abilita la porta TCP 443 per il servizio proxy KDC per ricevere le richieste di autenticazione.

3. Assicurarsi che i firewall perimetrali consentano HTTPS sulla porta 443 in ingresso nel file server.

4. Applicare i criteri di gruppo e riavviare il dispositivo client Windows.

Nota

La configurazione automatica del proxy KDC sarà disponibile in un secondo momento in SMB tramite QUIC e questi passaggi del server non saranno necessari.

Scadenza e rinnovo del certificato

Un certificato SMB scaduto su QUIC che viene sostituito con un nuovo certificato dall'autorità emittente conterrà una nuova impronta digitale. Anche se è possibile rinnovare automaticamente i certificati SMB su QUIC quando scadono, utilizzando i Servizi certificati di Active Directory, un certificato rinnovato ottiene anche una nuova impronta digitale. Questo significa effettivamente che SMB su QUIC deve essere riconfigurato alla scadenza del certificato, poiché deve essere mappata una nuova impronta digitale del certificato. Selezionare il nuovo certificato in WAC per la configurazione SMB su QUIC esistente o usare il comando Set-SMBServerCertificateMapping di PowerShell per aggiornare il mapping per il nuovo certificato. È possibile usare Gestione automatica di Azure per Windows Server per rilevare la scadenza del certificato in sospeso e impedire un'interruzione. Per maggiori informazioni, consultare la sezione Gestione automatica di Azure per Windows Server.

Note

• Per i clienti che non usano il cloud pubblico di Azure, Windows Server 2022 Datacenter: Azure Edition è disponibile in Azure Locale a partire dalla versione 22H2.
• È consigliabile usare SMB su QUIC con domini di Active Directory, ma non è un requisito obbligatorio. È anche possibile utilizzare SMB su QUIC su un server unito a un gruppo di lavoro con credenziali utente locali e NTLM oppure su Azure IaaS con server Windows uniti a Microsoft Entra. I server Windows collegati a Microsoft Entra per macchine non basate su IaaS Azure non sono supportati. I server Windows aggiunti a Microsoft Entra non supportano le credenziali per le operazioni di sicurezza di Windows remote perché Microsoft Entra ID non contiene SID utente o gruppo. I server Windows aggiunti a Microsoft Entra devono usare un account utente locale o basato su dominio per accedere alla condivisione SMB tramite QUIC.
• Non è possibile configurare SMB su QUIC usando WAC quando il server SMB si trova in un gruppo di lavoro, ovvero non aggiunto a un dominio di Active Directory. Per questo scenario, è necessario usare il cmdlet New-SMBServerCertificateMapping .
• È consigliabile che i controller di dominio di sola lettura configurati solo con password degli utenti mobili siano resi disponibili per il file server.
• Gli utenti devono avere password complesse o, idealmente, essere configurati usando una strategia senza password con Windows Hello for Business MFA o smart card. Configurare un criterio di blocco dell'account per gli utenti mobili tramite criteri di password dettagliati ed è necessario inoltre distribuire un software di protezione dalle intrusioni per rilevare attacchi di forza bruta o password spray.

Altri riferimenti

• Blog di Microsoft sulla Memorizzazione
• Home page del gruppo di lavoro QUIC
• Home page di Microsoft MsQuic GitHub
• QUIC Wikipedia
• Home page del gruppo di lavoro TLS 1.3
• Passaggio di Transport Layer Security (TLS) al livello successivo con TLS 1.3