Microsoft ประกาศว่าใน Windows 11 จะไม่เพิ่ม SMB1 Windows Defender Firewall rules อีกต่อไปเมื่อมีการสร้าง SMB shares ใหม่โดยเริ่มจาก Canary Channel Insider Preview Build 25992 ในปัจจุบัน
ซึ่งตั้งแต่ Windows XP SP2 การสร้าง SMB shares จะถูกตั้ง firewall rules โดยอัตโนมัติภายใน group "File and Printer Sharing" สำหรับ specified firewall profiles
โดย Windows 11 จะกำหนดค่า group "File and Printer Sharing (Restrictive)" โดยยกเว้นพอร์ต NetBIOS ขาเข้า 137-139 (SMB1 artifacts) การเปลี่ยนแปลงนี้จะบังคับใช้ตั้งแต่ระดับเริ่มต้นของ network security รวมถึงนำ SMB firewall rules เข้ามาใช้กับ role behavior ใน "File Server" ของ Windows Server ทั้งนี้ ผู้ดูแลระบบยังคงสามารถกำหนดค่า group "File and Printer Sharing" ได้หากจำเป็น รวมทั้งแก้ไข firewall group ใหม่ได้อีกด้วย
Microsoft ได้วางแผนการอัปเดตในอนาคตสำหรับ rule นี้เพื่อลบ Port ICMP ขาเข้า, LLMNR และ Spooler Service ขาเข้ารวมถึงจำกัดเฉพาะ Port ที่จำเป็นในการสร้าง SMB shares
โดยขณะนี้ SMB client ยังได้รับอนุญาตให้เชื่อมต่อกับ SMB server ผ่าน TCP, QUIC หรือ RDMA over custom network ports ที่แตกต่างจากค่า hardcoded default ซึ่งก่อนหน้านี้ SMB จะมาพร้อมกับการรองรับ TCP/445, QUIC/443 และ RDMA iWARP/5445 เท่านั้น
การทำให้ Windows มีความปลอดภัยมากยิ่งขึ้น
การปรับปรุงเหล่านี้เป็นส่วนหนึ่งของความพยายามในการเสริมสร้างความปลอดภัยของ Windows และ Windows Server ดังที่ได้ออกการอัปเดตอื่น ๆ ในช่วงไม่กี่เดือนที่ผ่านมา โดยหลังจากการเปิดตัว Windows 11 Insider Preview Build 25982 ใน Canary Channel ผู้ดูแลระบบสามารถบังคับใช้การเข้ารหัส SMB client สำหรับการเชื่อมต่อขาออกทั้งหมดได้แล้ว ด้วยการกำหนดให้เซิร์ฟเวอร์ปลายทางทั้งหมดที่รองรับ SMB 3.x และการเข้ารหัสทำให้ผู้ดูแลระบบ สามารถรับรองได้ว่าการเชื่อมต่อทั้งหมดมีความปลอดภัย ซึ่งจะช่วยลดความเสี่ยงของการดักฟัง และการโจมตีแบบ interception attacks
รวมถึงผู้ดูแลระบบยังสามารถกำหนดค่าระบบ Windows 11 เพื่อบล็อกการส่งข้อมูล NTLM ผ่าน SMB ได้โดยอัตโนมัติในการเชื่อมต่อขาออก เพื่อป้องกันการโจมตีแบบ pass-the-hash, NTLM relay และ password-cracking attacks โดยเริ่มที่ Windows 11 Insider Preview Build 25951 อีกทั้งยังมีการให้ทำ SMB signing (security signatures) เป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดเพื่อป้องกันการโจมตีแบบ NTLM relay attacks
ในเดือนเมษายน 2023 ทาง Microsoft ได้วางแผนการปิดการใช้ SMB1 file-sharing protocol ที่เก่าแก่ และใช้งานมาหลายทศวรรษ สำหรับ Windows 11 Home Insiders รวมทั้งยังเสริมความแข็งแกร่งให้กับการป้องกันการโจมตีแบบ brute-force ในเดือนกันยายน 2022 ด้วยการเปิดตัว SMB authentication rate limiter ที่ออกแบบมาเพื่อลดผลกระทบของการโจมตี NTLM authentication ขาเข้าที่ไม่สำเร็จ
ที่มา : bleepingcomputer