SMB по QUIC

  • Статья

применимо к: Windows Server 2022 datacenter: Azure Edition, Windows 11

SMB over QUIC представляет собой альтернативу сетевому транспорту TCP, обеспечивающему безопасное и надежное подключение к пограничным файловым серверам по ненадежным сетям, таким как Интернет. QUIC — это стандартизированный протокол IETF с множеством преимуществ по сравнению с TCP:

  • Все пакеты всегда шифруются, а подтверждение подлинности проверяется с помощью TLS 1,3
  • Параллельные потоки надежных и ненадежных данных приложений
  • Обмен данными приложения в первом цикле обработки (0 — RTT)
  • Улучшенное управление перегрузками и восстановление потерь
  • Выдерживает изменение IP-адреса или порта клиентов.

SMB over QUIC предлагает "SMB VPN" для дистанционных пользователей, мобильных устройств и организаций с высоким уровнем безопасности. Сертификат сервера создает туннель с шифрованием TLS 1,3 через удобный для Интернета UDP-порт 443 вместо устаревшего порта TCP 445. Весь трафик SMB, включая проверку подлинности и авторизацию в туннеле, никогда не предоставляется базовой сети. Обычно SMB работает в туннеле QUIC, что означает, что взаимодействие с пользователем не меняется. Такие функции SMB, как многоканальная, подписывание, сжатие, постоянная доступность, Аренда каталога и т. д., работают нормально.

Администратор файлового сервера должен принять участие в активации SMB через QUIC. Он не включен по умолчанию, и клиент не может заставить файловый сервер включить SMB через QUIC. Windows клиенты smb по-прежнему используют протокол TCP по умолчанию и пытаются попытаться использовать smb через QUIC, только если первая попытка TCP завершается неудачно или если намеренно требуется QUIC с помощью NET USE /TRANSPORT:QUIC или New-SmbMapping -TransportType QUIC

Предварительные требования

Чтобы использовать SMB через QUIC, вам потребуется выполнить следующие действия:

  • файловый сервер, на котором работает Windows server 2022 datacenter: Azure Edition (операционные системы Microsoft server)
  • компьютер Windows 11 (Windows для бизнеса)
  • центр администрирования Windows (домашняя страница)
  • Инфраструктура открытых ключей для выдачи сертификатов, таких как Active Directory Certificate Server или доступ к доверенному издателю сертификата стороннего поставщика, например VeriSign, DigiCert, Encrypt и т. д.

Развертывание SMB через QUIC

Шаг 1. Установка сертификата сервера

  1. Создайте сертификат, выданный центром сертификации, со следующими свойствами:

    • Использование ключа: Цифровая подпись
    • Назначение: проверка подлинности сервера (EKU 1.3.6.1.5.5.7.3.1)
    • Алгоритм подписи: SHA256RSA (или более поздняя)
    • Хэш подписи: SHA256 (или более)
    • Алгоритм открытого ключа: ECDSA_P256 (или более поздней версии. Также может использовать RSA с длиной не менее 2048.)
    • Альтернативное имя субъекта (SAN): (запись DNS-имени для каждого полного DNS-имени, используемого для доступа к SMB-серверу)
    • Subject: (CN = что угодно, но должно существовать)
    • Закрытый ключ добавлен: Да

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    при использовании центра сертификации Microsoft Enterprise можно создать шаблон сертификата и разрешить администратору файлового сервера предоставлять DNS-имена при запросе. Дополнительные сведения о создании шаблона сертификата см. в разделе Проектирование и реализация шаблонов сертификатов PKI: Part III. демонстрация создания сертификата для SMB через QUIC с помощью центра сертификации майкрософт Enterprise см. в этом видео:

    Сведения о запросе сертификата стороннего производителя см. в документации поставщика.

  2. при использовании центра сертификации Microsoft Enterprise:

    1. Запустите MMC.EXE на файловом сервере.
    2. Добавьте оснастку Сертификаты и выберите учетную запись компьютера.
    3. Разверните узел Сертификаты (локальный компьютер), личное, щелкните правой кнопкой мыши Сертификаты и выберите пункт запросить новый сертификат.
    4. Нажмите кнопку Далее
    5. Выбор политики регистрации Active Directory
    6. Нажмите кнопку Далее
    7. Выберите шаблон сертификата для SMB over QUIC, который был опубликован в Active Directory.
    8. Щелкните Дополнительные сведения для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.
    9. Таким образом, пользователи могут использовать для нахождение файлового сервера, заполняя в поле значение именем и альтернативное имя субъекта одним или несколькими DNS-именами.
    10. Нажмите кнопку ОК и щелкните Регистрация.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

Примечание

если вы используете файл сертификата, выданный сторонним центром сертификации, можно импортировать его с помощью оснастки "сертификаты" или центра администрирования Windows.

Шаг 2. Настройка SMB через QUIC

  1. развертывание Windows server 2022 datacenter: сервер выпуска Azure .

  2. установите последнюю версию центра администрирования Windows на компьютере управления или на файловом сервере. Требуется последняя версия расширения для общего доступа к файлам файлов . он устанавливается автоматически Windows центре администрирования, если в расширениях Параметрывключено автоматическое обновление расширений .

  3. присоедините свой Windows Server 2022 datacenter: файловый сервер Azure Edition к домену Active Directory и сделайте его доступным для Windows клиентов программы предварительной оценки на общедоступном интерфейсе Azure, добавив правило разрешения для входящего трафика UDP/443. Не разрешать входящие TCP/445 на файловый сервер. Файловый сервер должен иметь доступ хотя бы к одному контроллеру домена для проверки подлинности, но ни один контроллер домена не требует доступа к Интернету.

  4. Подключение на сервер с Windows центре администрирования и щелкните значок Параметры в левом нижнем углу. В разделе Общие файловые ресурсы (SMB-сервер) в разделе общий доступ к файлам через Интернет с помощью SMB over QUICнажмите кнопку настроить.

  5. Щелкните сертификат в разделе выберите сертификат компьютера для этого файлового сервера, щелкните адрес сервера, к которому могут подключиться клиенты, или нажмите кнопку выбрать всеи выберите включить.

    image showing the steps for configure SMB over QUIC1

  6. Убедитесь, что сертификат и отчет SMB через QUIC работоспособны.

    image showing the steps for configure SMB over QUIC2

  7. Выберите пункт меню " файлы и общий доступ к файлам". Запишите существующие общие ресурсы SMB или создайте новый.

Демонстрация настройки и использования SMB через QUIC смотрите в этом видео:

шаг 3. Подключение к общим ресурсам SMB

  1. присоедините устройство Windows 11 к домену. убедитесь, что имена альтернативного имени субъекта сертификата файлового сервера SMB over QUIC публикуются в DNS и являются полными или добавляются в файлы узлов для Windows 11. убедитесь, что альтернативные имена субъекта сертификата сервера публикуются в DNS или добавляются в файлы hosts для Windows 11.

  2. переместите устройство Windows 11 во внешнюю сеть, где больше нет сетевого доступа к контроллерам домена или внутренним IP-адресам файлового сервера.

  3. в Windows проводнике в адресной строке введите UNC-путь к общей папке на файловом сервере и убедитесь, что вы можете получить доступ к данным в общей папке. Кроме того, можно использовать net use/транспорт: QUIC или New-SMBMAPPING-TransportType QUIC с путем UNC. Примеры:

    NET USE * \\fsedge1.contoso.com\salesNET USE * \\fsedge1.contoso.com\sales

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUICNET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUICNew-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

по умолчанию устройство Windows 11 не имеет доступа к контроллеру домена Active Directory при подключении к файловому серверу SMB через QUIC. Это означает, что проверка подлинности использует NTLMv2, где файловый сервер проходит проверку подлинности от имени клиента. Ни проверка подлинности NTLMv2, ни авторизация не выполняются за пределами туннеля TLS 1,3-encrypted QUIC. Однако мы по-прежнему рекомендуем использовать Kerberos в качестве общей рекомендации по безопасности и не рекомендует создавать новые зависимости NTLMv2 в развертываниях. Чтобы разрешить это, можно настроить прокси-сервер KDC для переадресации запросов билетов от имени пользователя, используя удобный для Интернета канал связи HTTPS.

Примечание

вы не можете настроить центр администрирования Windows (вак) в режиме шлюза с помощью TCP-порта 443 на файловом сервере, где настраивается прокси KDC. При настройке ВАК на файловом сервере измените порт на другой, который не используется и не 443. Если вы уже настроили ВАК для порта 443, перезапустите MSI-файл установки ВАК и выберите другой порт при появлении соответствующего запроса.

метод центра администрирования Windows

  1. убедитесь, что используется по крайней мере Windows центра администрирования версии 2110.

  2. Настройка SMB через QUIC обычно. начиная с Windows Admin Center 2110, возможность настройки прокси-сервера KDC в SMB over QUIC включена автоматически, и вам не нужно выполнять дополнительные действия на файловых серверах.

  3. настройте следующий параметр групповой политики для применения к устройству Windows 11:

    Компьютеры Административные шаблоны > система > Kerberos > Указание прокси-серверов KDC для клиентов Kerberos

    Формат этого параметра групповой политики — это имя полного Active Directory доменного имени, а значением будет внешнее имя, указанное для сервера QUIC. Например, если домен Active Directory называется Corp.contoso.com , а внешний домен DNS называется contoso.com:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Это сопоставление области Kerberos означает, что если пользователь ned@corp.contoso.com пытался подключиться к файловому серверу с именем ned@corp.contoso.com, прокси-сервер KDC выполнит пересылку билетов Kerberos на контроллер домена во внутреннем домене Corp.contoso.com . Обмен данными с клиентом будет осуществляться по протоколу HTTPS через порт 443, а учетные данные пользователя не предоставляются напрямую в сети клиентского файлового сервера.

  4. Убедитесь, что граничные брандмауэры разрешают HTTPS через порт 443, входящий на файловый сервер.

  5. примените групповую политику и перезапустите устройство Windows 11.

Ручной метод

  1. На файловом сервере в командной строке PowerShell с повышенными привилегиями выполните следующую команду:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. Скопируйте значение отпечатка из сертификата, связанного с сертификатом SMB over QUIC (может быть несколько строк, но все они будут иметь один и тот же отпечаток), и вставьте их в качестве значения certhash для следующей команды:

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Добавьте в Active Directory для Kerberos в качестве имени участника-службы SMB-имена файлового сервера. Пример:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. Настройте прокси-службу KDC для автоматического запуска и запустите ее:

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. настройте следующую групповую политику для применения к устройству Windows 11:

    Компьютеры Административные шаблоны > система > Kerberos > Указание прокси-серверов KDC для клиентов Kerberos

    Формат этого параметра групповой политики — это имя полного Active Directory доменного имени, а значением будет внешнее имя, указанное для сервера QUIC. Например, если домен Active Directory называется "corp.contoso.com", а внешний домен DNS имеет имя "contoso.com":

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Это сопоставление области Kerberos означает, что при ned@corp.contoso.com попытке пользователя подключиться к имени файлового сервера fs1edge.contoso.com" прокси-сервер KDC будет иметь возможность перенаправить билеты Kerberos на контроллер домена во внутреннем corp.contoso.com домене. Обмен данными с клиентом будет осуществляться по протоколу HTTPS через порт 443, а учетные данные пользователя не предоставляются напрямую в сети клиентского файлового сервера.

  6. создание Защитник Windows правила брандмауэра, входящего подключения. включает TCP-порт 443 для службы прокси KDC для получения запросов проверки подлинности.

  7. Убедитесь, что граничные брандмауэры разрешают HTTPS через порт 443, входящий на файловый сервер.

  8. примените групповую политику и перезапустите устройство Windows 11.

Примечание

Автоматическая настройка прокси-сервера KDC будет происходить позже в SMB over QUIC, и эти шаги сервера не будут нужны.

Истечение срока действия сертификата и его продление

Сертификат SMB с истекшим сроком действия, который вы замените на новый сертификат от издателя, будет содержать новый отпечаток. Хотя вы можете автоматически обновлять сертификаты SMB через QUIC при истечении срока их действия с помощью Active Directory служб сертификации, продленный сертификат также получает новый отпечаток. Это означает, что при истечении срока действия сертификата необходимо перенастроить SMB over QUIC, так как должен быть сопоставлен новый отпечаток. вы можете просто выбрать новый сертификат в Windows центре администрирования для существующей конфигурации SMB over QUIC или воспользоваться командой Set-SMBServerCertificateMapping PowerShell, чтобы обновить сопоставление для нового сертификата. вы можете использовать службу "автоматическое управление Azure" для Windows Server, чтобы определить ожидаемый срок действия сертификата и предотвратить сбой. дополнительные сведения см. в службе управления Azure для Windows Server.

Примечания

  • Windows Server 2022 datacenter: выпуск azure также будет доступен на Azure Stack хЦи 21H2, для клиентов, которые не используют общедоступное облако Azure.
  • Рекомендуется, чтобы контроллеры домена только для чтения были настроены только с паролями мобильных пользователей, которые доступны для файлового сервера.
  • пользователи должны иметь надежные пароли или, в идеале, быть настроены с использованием стратегии без пароля с Windows Hello для бизнес-MFA или смарт-карт. Настройте политику блокировки учетных записей для пользователей мобильных устройств с помощью детальной политики паролей . чтобы обнаружить атаки методом подбора или распыление паролей, следует развернуть программное обеспечение защиты от вторжения.

Дополнительные ссылки

блог служба хранилища в майкрософт

Домашняя страница рабочей группы QUIC

домашняя страница Microsoft мскуик GitHub

QUIC Википедии

Домашняя страница рабочей группы TLS 1,3

Справочник по поддержке Microsoft TLS 1,3