Windows 11, günümüzün Canary Channel Insider Preview Build 25992 yapısından itibaren yeni SMB paylaşımları oluştururken artık SMB1 Windows Defender Güvenlik Duvarı kuralları eklemeyecektir.
Bu değişiklikten önce ve Windows XP SP2’den bu yana, SMB paylaşımları oluşturmak, belirtilen güvenlik duvarı profilleri için “Dosya ve Yazıcı Paylaşımı” grubu içinde güvenlik duvarı kurallarını otomatik olarak ayarlıyordu.
Bugünden sonra Windows 11, güncellenen “Dosya ve Yazıcı Paylaşımı (Kısıtlayıcı)” grubunu yapılandıracak ve 137-139 numaralı gelen NetBIOS bağlantı noktalarını (bunlar SMB1 yapılarıdır) atlayacaktır.
Microsoft’tan Amanda Langowski ve Brandon LeBlanc, “Bu değişiklik, ağ güvenliğini daha yüksek düzeyde varsayılan hale getirmenin yanı sıra KOBİ güvenlik duvarı kurallarını Windows Server “Dosya Sunucusu” rolü davranışına yaklaştırıyor” dedi.
“Yöneticiler gerekirse “Dosya ve Yazıcı Paylaşımı” grubunu yapılandırabilir ve bu yeni güvenlik duvarı grubunu değiştirebilir.”
Microsoft Baş Program Yöneticisi Ned Pyle ayrı bir blog gönderisinde “Bu kural için gelecekteki güncellemelerin aynı zamanda gelen ICMP, LLMNR ve Biriktirici Hizmeti bağlantı noktalarını da kaldırmasını ve yalnızca SMB paylaşımı için gerekli bağlantı noktalarını kısıtlamasını planlıyoruz” diye ekledi.
SMB istemcisi artık sabit kodlu varsayılanlardan farklı olarak özel ağ bağlantı noktaları üzerinden TCP, QUIC veya RDMA aracılığıyla bir SMB sunucusuyla bağlantılara da izin veriyor; daha önce SMB yalnızca TCP/445, QUIC/443 ve RDMA iWARP/5445 desteğiyle geliyordu.
Adım adım Windows’u daha güvenli hale getiriyoruz
Bu iyileştirmeler, son aylarda yayınlanan diğer güncellemelerde de vurgulandığı gibi, Windows ve Windows Server güvenliğini güçlendirmeye yönelik kapsamlı çabaların bir parçasıdır.
Windows 11 Insider Preview Build 25982’nin Canary Channel’da kullanıma sunulmasının ardından yöneticiler artık tüm giden bağlantılar için SMB istemci şifrelemesini zorunlu kılabilir.
Windows yöneticileri, tüm hedef sunucuların SMB 3.x ve şifrelemeyi desteklemesini zorunlu kılarak tüm bağlantıların güvenli olduğunu garanti edebilir, böylece gizlice dinleme ve müdahale saldırıları risklerini azaltabilir.
Yöneticiler ayrıca Windows 11 sistemlerini, Windows 11 Insider Preview Build 25951’den başlayarak, karma geçiş, NTLM geçişi veya parola kırma saldırılarını engellemek için uzak giden bağlantılarda NTLM verilerinin SMB üzerinden otomatik olarak gönderilmesini engelleyecek şekilde yapılandırabilirler.
Windows 11 Insider Preview Canary Build 25381 ile Redmond, NTLM geçiş saldırılarına karşı savunma yapmak amacıyla tüm bağlantılarda varsayılan olarak SMB imzalamayı (güvenlik imzaları) zorunlu kılmaya başladı.
Geçen yıl Nisan ayında Microsoft, Windows 11 Home Insider’lar için onlarca yıllık SMB1 dosya paylaşım protokolünü devre dışı bırakmanın son aşamasını açıkladı.
Şirket ayrıca Eylül 2022’de, gelen başarısız NTLM kimlik doğrulama girişimlerinin etkisini azaltmak için tasarlanmış bir SMB kimlik doğrulama hızı sınırlayıcıyı kullanıma sunarak kaba kuvvet saldırılarına karşı savunmayı güçlendirdi.