SMB por QUIC

  • Artigo

Aplica-se a: Windows Server 2022 Datacenter: Azure Edition, Windows 11

O SMB sobre QUIC introduz uma alternativa ao transporte de rede TCP, fornecendo conectividade segura e confiável para servidores de arquivos de borda em redes não confiáveis como a Internet. O QUIC é um protocolo padronizado por IETF com muitos benefícios quando comparado com o TCP:

  • Todos os pacotes são sempre criptografados e o handshake é autenticado com TLS 1.3
  • Fluxos paralelos de dados de aplicativo confiáveis e não confiáveis
  • Troca de dados do aplicativo na primeira viagem de ida e volta (0-RTT)
  • Controle de congestionamento e recuperação de perda aprimorados
  • Sobrevivência diante de uma alteração no endereço IP ou na porta dos clientes

O SMB sobre QUIC oferece uma "VPN SMB" para telecomunicações, usuários de dispositivos móveis e organizações de alta segurança. O certificado do servidor cria um túnel criptografado TLS 1.3 pela porta UDP 443 adaptada à Internet, em vez da porta TCP herdada 445. Todo o tráfego SMB, incluindo a autenticação e autorização dentro do túnel, nunca é exposto à rede subjacente. O SMB se comporta normalmente dentro do túnel QUIC, o que significa que a experiência do usuário não muda. Recursos SMB como multicanal, assinatura, compactação, disponibilidade contínua e locação de diretório funcionam normalmente.

Um administrador de servidor de arquivos deve optar por habilitar o SMB por QUIC. O recurso não está ativado por padrão e um cliente não pode forçar um servidor de arquivos a habilitar o SMB por QUIC. Os clientes SMB do Windows ainda usam TCP por padrão e só tentarão usar o SMB por QUIC se a tentativa de TCP falhar primeiro ou, intencionalmente, exigir que o QUIC use NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC.

Pré-requisitos

Para usar o SMB por QUIC, você precisa do seguinte:

  • Um servidor de arquivos que executa o Windows Server 2022 Datacenter: Azure Edition (Sistemas Operacionais Microsoft Server) ou posterior
  • Um dispositivo do Windows 11 (Windows para empresas)
  • WAC (Windows Admin Center) (Home page)
  • Uma PKI (Infraestrutura de Chave Pública) para emitir certificados, como o Servidor de Certificados do Active Directory ou acesso a um emissor de certificados de terceiros confiáveis como Verisign, Digicert, Let's Encrypt etc.

Implantar o SMB por QUIC

Etapa 1: Instalar um certificado de servidor

  1. Crie um certificado emitido por uma Autoridade de Certificação com as seguintes propriedades:

    • Uso de chave: assinatura digital
    • Finalidade: Autenticação de Servidor (EKU 1.3.6.1.5.5.7.3.1)
    • Algoritmo de assinatura: SHA256RSA (ou superior)
    • Hash de assinatura: SHA256 (ou superior)
    • Algoritmo de chave pública: ECDSA_P256 (ou superior. Você também pode usar o RSA com um comprimento mínimo de 2048)
    • Nome Alternativo da Entidade (SAN): (uma entrada de nome DNS para cada nome DNS totalmente qualificado usado para acessar o servidor SMB)
    • Entidade: (CN = qualquer coisa, mas precisa existir)
    • Chave privada incluída: sim

    configurações de certificado mostrando algoritmo de assinatura com um valor de sha256RSA, valor de algoritmo de hash de assinatura de sha256 e valor de assunto de ws2022-quic

    Configurações de certificado na guia Detalhe exibindo o valor da chave pública do ECC (256 bits), parâmetros de chave pública ECDSA-P256, políticas de aplicativo e 1 política de certificado do aplicativo

    Detalhes do certificado mostrando o valor do nome alternativo do assunto como Nome DNS igual a ws2022-quic.corp e o valor de Uso da Chave como Assinatura Digital, Não Repudiada.

    Se estiver usando uma Autoridade de Certificação Corporativa da Microsoft, você poderá criar um modelo de certificado e permitir que o administrador do servidor de arquivos forneça os nomes DNS ao solicitá-lo. Para obter mais informações sobre como criar um modelo de certificado, leia Como criar e implementar uma PKI: Modelo de Certificado Parte III. Para conferir uma demonstração de como criar um certificado para SMB por QUIC usando uma Autoridade de Certificação Corporativa da Microsoft, assista a esse vídeo:

    Para solicitar um certificado de terceiros, consulte a documentação do seu fornecedor.

  2. Se estiver usando uma Autoridade de Certificação Corporativa da Microsoft:

    1. Inicie o MMC.EXE no servidor de arquivos.
    2. Adicione o snap-in Certificados e selecione a conta do computador.
    3. Expanda Certificados (Computador Local), Pessoal e, depois, clique com o botão direito do mouse em Certificados e selecione Solicitar Novo Certificado.
    4. Selecione Avançar
    5. Selecione Política de Registro do Active Directory
    6. Selecione Avançar
    7. Selecione o modelo de certificado para o SMB por QUIC que foi publicado no Active Directory.
    8. Selecione Mais informações são necessárias para se registrar neste certificado. Clique aqui para definir as configurações.
    9. Para que os usuários possam usá-lo para localizar o servidor de arquivos, preencha o valor Entidade com um nome comum e o Nome Alternativo da Entidade com um ou mais nomes DNS.
    10. Selecione OK e, depois, Registrar.

    Uma imagem mostrando o Registro de Certificado do Console de Gerenciamento Microsoft com SMB sobre QUIC selecionado

    Uma imagem mostrando as janelas Propriedades do Certificado do certificado selecionado

    Uma imagem mostrando o processo de conclusão do registro de certificado no Console de Gerenciamento Microsoft

Observação

Não use endereços IP no SMB em nomes alternativos da entidade do servidor QUIC.

  • Os endereços IP exigirão o uso do NTLM, mesmo se o Kerberos estiver disponível em um controlador de domínio ou por meio do Proxy KDC.
  • VMs de IaaS do Azure que executam SMB no QUIC usam NAT para uma interface pública de volta a uma interface privada. O SMB via QUIC não dá suporte ao uso de endereço IP para o nome do servidor por meio de uma NAT; você deve usar um nome DNS totalmente qualificado que resolva no endereço IP da interface pública somente nesse caso.

Observação

Se estiver usando um arquivo de certificado emitido por uma autoridade de certificação de terceiros, você poderá usar o snap-in Certificados ou o WAC para importá-lo.

Etapa 2: Configurar o SMB por QUIC

  1. Implantar um servidor Windows Server 2022 Datacenter: Azure Edition.
  2. Instale a versão mais recente do WAC em um computador de gerenciamento ou no servidor de arquivos. Você precisa da versão mais recente da extensão Arquivos e Compartilhamento de Arquivos. Ela será instalada automaticamente pelo WAC se Atualizar extensões automaticamente estiver habilitado em Configurações > Extensões.
  3. Ingresse seu servidor de arquivos do Windows Server 2022 Datacenter: Azure Edition no seu domínio do Active Directory e torne-o acessível aos clientes do Windows Insider na interface pública do Azure adicionando uma regra de permissão de firewall para entradas na porta UDP/443. Não permita a entrada na porta TCP/445 para o servidor de arquivos. O servidor de arquivos deve ter acesso a pelo menos um controlador de domínio para autenticação, mas nenhum controlador de domínio requer nenhum acesso à internet.

Observação

Recomendamos o uso do SMB por QUIC com domínios do Active Directory, mas isso não é necessário. Você também pode usar o SMB por QUIC em um servidor ingressado em um grupo de trabalho com credenciais de usuário local e NTLM.

  1. Conecte-se ao servidor com WAC e selecione o ícone Configurações no canto esquerdo inferior. Na seção Compartilhamentos de arquivos (servidor SMB), em Compartilhamento de arquivos na Internet com SMB por QUIC, selecione Configurar.

  2. Selecione um certificado em Selecionar um certificado de computador para esse servidor de arquivos, selecione os endereços do servidor aos quais os clientes podem se conectar ou selecione Selecionar tudo e, depois, clique em Habilitar.

    Uma imagem mostrando a tela de configuração do SMB sobre QUIC no Windows Admin Center

  3. Certifique-se de que o certificado e o relatório SMB por QUIC estão íntegros.

    Uma imagem mostrando todos os certificados disponíveis para a configuração SMB sobre QUIC configurada no Windows Admin Center

  4. Selecione a opção de menu Arquivos e Compartilhamento de Arquivos. Observe seus compartilhamentos de SMB existentes ou crie um novo.

Para conferir uma demonstração de configuração e uso do SMB por QUIC, assista a esse vídeo:

Etapa 3: Conectar-se aos compartilhamentos de SMB

  1. Associe o seu dispositivo Windows 11 ao seu domínio. Certifique-se de que os nomes em nomes alternativos da entidade de certificado do servidor de arquivos SMB por QUIC estejam publicados no DNS e totalmente qualificados ou adicionados aos arquivos HOST para o seu Windows 11. Verifique se os nomes alternativos da entidade de certificado do servidor foram publicados no DNS ou adicionados aos arquivos HOSTS para o seu Windows 11.

  2. Mova seu dispositivo Windows 11 para uma rede externa onde ele não tem mais acesso de rede aos controladores de domínio ou aos endereços IP internos do servidor de arquivos.

  3. No Explorador de Arquivos do Windows, na Barra de Endereços, digite o caminho UNC para um compartilhamento no servidor de arquivos e confirme se você consegue acessar dados no compartilhamento. Como alternativa, você pode usar NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC com um caminho UNC. Exemplos:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

Auditoria de cliente SMB sobre QUIC

A auditoria é usada para rastrear conexões de cliente para SMB sobre QUIC, com eventos gravados em um log de eventos. O Visualizador de Eventos captura essas informações para o protocolo de transporte QUIC. Esse recurso está disponível para o SMB Client a partir do Windows 11 Insider build 26090. Para exibir esses logs, siga estas etapas:

  1. Abra o Visualizador de Eventos.
  2. Navegue até Aplicativos e Logs de Serviços\Microsoft\Windows\SMBClient\Connectivity.
  3. Monitore a ID de 30832.

Por padrão, um dispositivo Windows 11 não terá acesso a um controlador de domínio do Active Directory quando se conectar a um servidor de arquivos SMB por QUIC. Isso significa que a autenticação usa NTLMv2, em que o servidor de arquivos é autenticado em nome do cliente. Nenhuma autenticação ou autorização NTLMv2 ocorre fora do túnel QUIC criptografado com TLS 1.3. No entanto, continuamos recomendando o uso do Kerberos como uma boa prática geral de segurança e não recomendamos a criação de novas dependências de NTLMv2 nas implantações. Para permitir isso, você pode configurar o proxy do KDC para encaminhar solicitações de tíquete em nome do usuário, tudo isso usando um canal de comunicação criptografado HTTPS de fácil uso na internet. O Proxy do KDC é compatível com SMB por QUIC e altamente recomendado.

Observação

Você não pode configurar o WAC no modo gateway usando a porta TCP 443 em um servidor de arquivos em que está configurando o Proxy do KDC. Ao configurar o WAC no servidor de arquivos, altere a porta para uma que não esteja em uso e não seja 443. Se já tiver configurado o WAC na porta 443, execute novamente o MSI de instalação do WAC e escolha uma porta diferente quando solicitado.

Método do Windows Admin Center

  1. Verifique se você está usando pelo menos o WAC versão 2110.

  2. Configure o SMB por QUIC normalmente. A partir do WAC 2110, a opção de configurar o Proxy do KDC no SMB via QUIC é habilitada automaticamente e você não precisa executar etapas extras nos servidores de arquivos. A porta de proxy KDC padrão é 443. Ela é atribuída automaticamente pelo WAC.

    Observação

    Não é possível configurar um SMB via servidor QUIC associado a um grupo de trabalho usando o WAC. Você precisa ingressar o servidor em um domínio do Active Directory ou usar as etapas da seção Método Manual.

  3. Defina a seguinte configuração de política de grupo a ser aplicada ao dispositivo Windows 11:

    Configuração do Computador\Modelos Administrativos\Sistema\Kerberos\Especifique servidores de proxy do KDC para clientes Kerberos

    O formato dessa configuração de política de grupo é um nome de valor do nome de domínio totalmente qualificado do Active Directory e o valor se torna o nome externo que você especificou para o servidor QUIC. Por exemplo, onde o domínio do Active Directory é nomeado corp.contoso.com e o domínio DNS externo é nomeado contoso.com:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Esse mapeamento do realm do Kerberos significa que, se o usuário ned@corp.contoso.com tentou se conectar a um nome de servidor de arquivos fs1edge.contoso.com, o proxy KDC saberá que deve encaminhar os tíquetes do Kerberos para um controlador de domínio no domínio interno corp.contoso.com. A comunicação com o cliente será por HTTPS na porta 443 e as credenciais do usuário não serão expostas diretamente na rede do servidor de arquivos do cliente.

  4. Certifique-se de que os firewalls de borda permitam HTTPS na porta 443 de entrada no servidor de arquivos.

  5. Aplique a política de grupo e reinicie o dispositivo Windows 11.

Método "Manual"

  1. No servidor de arquivos, em um prompt do PowerShell com privilégios elevados, execute o seguinte:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force

Get-SmbServerCertificateMapping

  2. Copie o valor da impressão digital do certificado associado ao certificado do SMB via QUIC (pode ter várias linhas, mas todas terão a mesma impressão digital) e cole-o como o valor Certhash para o seguinte comando:

    $guid = [Guid]::NewGuid()

Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false

  3. Adicione os nomes do SMB por QUIC do servidor de arquivos como SPNs no Active Directory para Kerberos. Por exemplo:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`

  4. Configure o serviço de Proxy do KDC como automático e o inicie:

    Set-Service -Name kpssvc -StartupType Automatic

Start-Service -Name kpssvc

  5. Configure a seguinte política de grupo a ser aplicada ao dispositivo Windows 11:

    Configuração do Computador\Modelos Administrativos\Sistema\Kerberos\Especifique servidores de proxy do KDC para clientes Kerberos

    O formato dessa configuração de política de grupo é um nome de valor do nome de domínio totalmente qualificado do Active Directory e o valor se torna o nome externo que você especificou para o servidor QUIC. Por exemplo, quando o nome do domínio do Active Directory for "corp.contoso.com", o nome do domínio DNS externo será "contoso.com":

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Esse mapeamento do realm do Kerberos significa que, se o usuário ned@corp.contoso.com tentou se conectar a um nome de servidor de arquivos fs1edge.contoso.com", o proxy do KDC saberá que deve encaminhar os tíquetes do Kerberos para um controlador de domínio no domínio interno corp.contoso.com. A comunicação com o cliente será por HTTPS na porta 443 e as credenciais do usuário não serão expostas diretamente na rede do servidor de arquivos do cliente.

  6. Crie uma regra do Firewall do Windows Defender que habilita a porta de entrada TCP 443 para que o serviço Proxy do KDC receba solicitações de autenticação.

  7. Certifique-se de que os firewalls de borda permitam HTTPS na porta 443 de entrada no servidor de arquivos.

  8. Aplique a política de grupo e reinicie o dispositivo Windows 11.

Observação

Uma configuração automática do Proxy do KDC será oferecida posteriormente no SMB por QUIC e essas etapas do servidor não serão necessárias.

Expiração e renovação do certificado

Um certificado de SMB por QUIC expirado que você substituir por um novo certificado do emissor conterá uma nova impressão digital. Embora você possa renovar os certificados de SMB por QUIC automaticamente quando eles expirarem usando os Serviços de Certificados do Active Directory, um certificado renovado também obterá uma nova impressão digital. Isso significa, efetivamente, que o SMB por QUIC precisará ser reconfigurado quando o certificado expirar, já que uma nova impressão digital precisa ser mapeada. Selecione seu novo certificado no WAC para a configuração existente SMB via QUIC ou use o Set-SMBServerCertificateMapping comando PowerShell para atualizar o mapeamento para o novo certificado. Você pode usar o Gerenciamento Automatizado do Azure para Windows Server para detectar a expiração iminente de um certificado e evitar uma interrupção. Para obter mais informações, confira Gerenciamento Automatizado do Azure para Windows Server.

Observações

  • Para clientes que não estiverem usando a nuvem pública do Azure, o Windows Server 2022 Datacenter: Azure Edition está disponível no Azure Stack HCI a partir da versão 22H2.
  • Recomendamos o uso do SMB via QUIC com domínios do Active Directory, mas isso não é um requisito. Você também pode usar SMB por QUIC em um servidor ingressado em grupo de trabalho com credenciais de usuário local e NTLM, ou IaaS do Azure com o Microsoft Entra ingressado nos Servidores Windows. Não há suporte para o Microsoft Entra ingressado nos Servidores Windows para computadores não baseados em IaaS do Azure. Os servidores ingressados no Microsoft Entra não dão suporte a credenciais para operações remotas de segurança do Windows porque o Microsoft Entra ID não contém SIDs de usuário ou grupo. Os Servidores Windows ingressados no Microsoft Entra devem usar uma conta de usuário local ou com base em domínio para acessar o compartilhamento SMB por QUIC.
  • Você não pode configurar um SMB por QUIC usando WAC quando o servidor SMB estiver em um grupo de trabalho (ou seja, não ingressado no domínio do AD). Nesse cenário, você precisa usar o cmdlet New-SMBServerCertificateMapping.
  • Recomendamos que controladores de domínio somente leitura configurados apenas com senhas de usuários móveis sejam disponibilizados para o servidor de arquivos.
  • Os usuários devem ter senhas fortes ou, idealmente, serem configurados usando uma estratégia sem senha com o MFA do Windows Hello para Empresas ou cartões inteligentes. Configure uma política de bloqueio de conta para usuários móveis por meio de uma política de senha refinada. Além disso, você deve implantar um software de proteção contra intrusões para detectar ataques de força bruta ou pulverização de senha.

Mais referências