Configurar o controle de acesso de cliente SMB sobre QUIC no Windows Server 2022 Azure Edition e no Windows Server Insider (versão preliminar)

Importante

Os builds do Windows Insider e do Windows Server para Insiders estão em PREVIEW. Estas informações estão relacionadas a um produto de pré-lançamento, que pode ser bastante modificado antes de ser lançado. A Microsoft não faz nenhuma garantia, expressa ou implícita, com relação às informações fornecidas aqui.

O controle de acesso de cliente SMB sobre QUIC permite restringir quais clientes podem acessar SMB em servidores QUIC. O controle de acesso de cliente cria listas de permissões e bloqueios para que os dispositivos se conectem ao servidor de arquivos. O controle de acesso de cliente oferece às organizações mais proteção sem alterar a autenticação usada ao fazer a conexão SMB, nem altera a experiência do usuário final.

O artigo explica como usar o PowerShell para configurar o controle de acesso de cliente para SMB sobre QUIC no Windows 11 e no Windows Server 2022 Datacenter: Azure Edition. Para continuar com as instruções, você deve ter o KB5035853 de Atualização de março ou KB5035857 instalado, executar um build recente do Windows 11 Insider ou um build do Windows Server Insider.

Para saber mais sobre como configurar SMB sobre QUIC, consulte SMB sobre QUIC.

Como funciona o controle de acesso do cliente

O controle de acesso do cliente verifica se os clientes que se conectam a um servidor estão usando um certificado de cliente conhecido ou têm um certificado emitido por um certificado raiz compartilhado. O administrador emite esse certificado para o cliente e adiciona o hash a uma lista de permissões mantida pelo servidor. Quando o cliente tenta se conectar ao servidor, o servidor compara o certificado do cliente com a lista de permissões. Se o certificado for válido, o certificado do servidor criará um túnel criptografado TLS 1.3 sobre a porta UDP 443 e concederá ao cliente acesso ao compartilhamento. O controle do acesso de cliente também oferece suporte a certificados com nomes alternativos de entidade.

Você também pode configurar o SMB sobre QUIC para bloquear o acesso revogando certificados ou negando explicitamente o acesso a determinados dispositivos.

Pré-requisitos

Antes de configurar o controle de acesso do cliente, você precisa de um servidor SMB com os seguintes pré-requisitos.

• Um servidor SMB executando o Windows Server 2022 Datacenter: Azure Edition com a Atualização KB5035857 de 12 de março de 2024 ou o Windows Server Insiders build 25977 ou posterior. Para desbloquear a versão prévia do recurso, você também deve instalar a Versão prévia do recurso do Windows Server 2022 KB5035857 240302_030531.
• SMB sobre QUIC habilitado e configurado no servidor. Para saber como configurar o SMB sobre QUIC, consulte SMB sobre QUIC.
• Se você estiver usando certificados de cliente emitidos por uma autoridade de certificação (CA) diferente, precisará garantir que a autoridade de certificação seja confiável para o servidor.
• Privilégios administrativos para o servidor SMB que você está configurando.

Você também precisa de um cliente SMB com os pré-requisitos a seguir.

• Um cliente SMB em execução em um dos seguintes sistemas operacionais:
  • Windows Server 2022 Datacenter: Azure Edition com a atualização KB5035857 de 12 de março de 2024. Para desbloquear a versão prévia do recurso, você também deve instalar a Versão prévia do recurso do Windows Server 2022 KB5035857 240302_030531.
  • Windows 11 com a atualização KB5035853 de 12 de março de 2024. Para desbloquear a versão prévia do recurso, você também deve instalar a Versão prévia do recurso do Windows 11 (versão original) KB5035854 240302_030535.
  • Windows Server Insiders build 25977 ou posterior.
  • Windows 11 Insider Preview Build 25977 (Canary Channel) ou posterior.
• Um certificado de cliente que é:
  • Emitido para autenticação de cliente (EKU 1.3.6.1.5.5.7.3.2).
  • Emitido por uma autoridade de certificação confiável pelo servidor SMB.
  • Instalado no armazenamento de certificados do cliente.
• Privilégios administrativos para o servidor SMB que você está configurando.

Observação

Recomendamos o uso do SMB sobre QUIC com domínios do Active Directory, mas isso não é obrigatório. Você também pode usar o SMB por QUIC em um servidor ingressado em um grupo de trabalho com credenciais de usuário local e NTLM.

Configurar o cliente SMB

Reunir as informações do certificado do cliente SMB

Para reunir o hash do certificado do cliente usando o PowerShell:

1. Abra um prompt elevado do PowerShell no cliente SMB.

2. Liste os certificados no repositório de certificados do cliente executando o comando a seguir.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Execute o seguinte comando para armazenar o certificado em uma variável. Substitua <subject name> pelo nome do assunto do certificado que você deseja usar.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Anote o hash SHA256 do certificado do cliente executando o comando a seguir. Você precisa desse identificador ao configurar o controle de acesso do cliente.

   $clientCert.GetCertHashString("SHA256")
   

Observação

A impressão digital armazenada no objeto $clientCert usa o algoritmo SHA1. Ele é usado por comandos como New-SmbClientCertificateMapping. Você também precisará da impressão digital SHA256 para configurar o controle de acesso do cliente. Essas impressões digitais serão derivadas diferentes usando algoritmos diferentes em relação ao mesmo certificado.

Mapeie o certificado do cliente para o cliente SMB

Para mapear o certificado do cliente para o cliente SMB:

1. Abra um prompt elevado do PowerShell no cliente SMB.

2. Execute o comando New-SmbClientCertificateMapping para mapear o certificado do cliente. Substitua <namespace> pelo FQDN (nome de domínio totalmente qualificado) do servidor SMB e use a impressão digital do certificado do cliente SHA1 coletada na seção anterior usando a variável.

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

Após a conclusão, o cliente certificado é usado pelo cliente SMB para autenticar no servidor SMB correspondente ao FQDN.

Configure o controle de acesso do cliente

Conceda clientes individuais

Siga as etapas para conceder a um cliente específico acesso ao servidor SMB usando o controle de acesso de cliente.

1. Conecte-se ao servidor SMB.

2. Abra um prompt elevado do PowerShell no servidor SMB.

3. Execute o Grant-SmbClientAccessToServer para conceder acesso ao certificado do cliente. Substitua <name> pelo nome de host do servidor SMB e <hash> usando o identificador de certificado de cliente SHA256 que você reuniu na seção Reunir as informações do certificado do cliente SMB.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Você concedeu acesso ao certificado do cliente. Você pode verificar o acesso ao certificado do cliente executando o comando Get-SmbClientAccessToServer.

Conceda autoridades de certificação específicas

Siga as etapas para conceder clientes de uma autoridade de certificação específica, também conhecida como emissor, usando o controle de acesso do cliente.

1. Conecte-se ao servidor SMB.

2. Abra um prompt elevado do PowerShell no servidor SMB.

3. Execute o Grant-SmbClientAccessToServer para conceder acesso ao certificado do cliente. Substitua <name> pelo nome de host do servidor SMB e <subject name> pelo nome diferenciado X.500 completo do certificado do emissor. Por exemplo, CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

Desabilitar SMB sobre QUIC

A partir do build 26090 do Windows 11 Insider, os administradores podem desabilitar o SMB sobre QUIC para o cliente executando o seguinte comando:

Set-SmbClientConfiguration -EnableSMBQUIC $false

De forma similar, é possível executar essa operação na Política de Grupo, desabilitando a política Habilitar SMB sobre QUIC no seguinte caminho:

• Computer Configuration\Administrative Templates\Network\Lanman Workstation

Conexão com o SMB Server

Quando terminar, teste se você pode se conectar ao servidor executando um dos seguintes comandos:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Ou

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Se você conseguir se conectar ao servidor, significa que configurou com êxito o SMB sobre QUIC usando o controle de acesso do cliente.

Conteúdo relacionado

• SMB por QUIC
• Armazenamento no blog da Microsoft
• Página inicial do Grupo de Trabalho do QUIC
• Página inicial do GitHub do Microsoft MsQuic
• Wikipédia do QUIC
• Página inicial do Grupo de Trabalho do TLS 1.3