bencede
New member
Microsoft, dahili teknoloji topluluğunda, KOBİ’lerin hem istemci hem de sunucu tarafları için kapsamlı güçlendirme önlemlerini duyurdu. KOBİ uzmanı Ned Pyle, Windows 11 Preview 25951’den itibaren bu yenilikleri duyurdu.
Duyuru
Bunlardan ilki, KOBİ bileşenindeki lehçelerin kontrolüyle ilgilidir. Microsoft bir süre önce SMB sürüm 1’i varsayılan olarak devre dışı bıraktıktan sonra, istemci ve sunucunun standart davranışı her zaman 2.0.2’den 3.1.1’e kadar en yüksek uyumlu sürüm numarası üzerinde anlaşmaktı.
Grup İlkesi Min/Maks
Redmond şirketine göre önizleme 25951, “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman SunucusuSMB’nin minimum sürümünü gönder” veya “Ayarla” bölümündeki sunucu için grup ilkesi (GPO) aracılığıyla minimum ve maksimum sürüm numarasını ayarlamanıza olanak tanır. maksimum KOBİ sürümü.” İstemciler için bu ayar, “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman İş İstasyonuSMB’nin minimum sürümünü gönder” veya “SMB’nin maksimum sürümünü gönder” seçeneğinde mevcuttur.
Artık Windows Önizleme’de: SMB’nin minimum ve maksimum istemci sürümünü kontrol etmeye yönelik yeni bir seçeneğe sahip Grup İlkesi.
(Resim: Microsoft)
Komut satırını kullanmayı tercih ederseniz ayarları PowerShell kullanarak da yapabilirsiniz. Karşılık gelen bağımsız değişkenleri içeren ilgili cmdlet’i burada bulabilirsiniz: Set-SmbClientConfiguration -Smb2DialectMax {SMB202 | SMB210 | SMB300 | SMB302 | SMB311 | None} -Smb2DialectMin {None | SMB202 | SMB210 | SMB300 | SMB302 | SMB311}
Bu, yöneticilerin artık SMB sürümünün sağlamlaştırılması için daha kesin ayarlar tanımlayabileceği anlamına geliyor; örneğin eski uygulamalar eski sürümleri gerektirmiyorsa istemci ve sunucu tarafında yalnızca 3.1.1 sürümüne izin vermek.
NTLM kimlik doğrulamasından kaçının
Ayrıca, SMB istemci bileşeni için aynı önizlemede, giden bağlantılar için NTLM’yi engelleme seçeneği de mevcuttur. Daha önce NTLM, Kerberos ve diğer protokollerin anlaşması SMB SPNEGO aracılığıyla mümkündü. NTLM ile bu aynı zamanda şu anlama da geliyordu: “NTLM’nin tüm sürümlerine izin verilir.” Yani hem LM, NTLM hem de NTLMv2 etkinleştirilir. Microsoft’a göre, önizlemede NTLM’yi tüm protokoller için sistem genelinde devre dışı bırakmadan yalnızca SMB istemci bileşeni için NTLM’yi devre dışı bırakma olanağı var.
Yönetici bu yeni ayarı GPO veya PowerShell aracılığıyla da tanımlayabilir. Yeni grup ilkeleri “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman İş İstasyonuNTLM Bloğu (LM, NTLM, NTLMv2)” konumunda bulunur. Bu PowerShell aracılığıyla yapılır Set-SMbClientConfiguration -BlockNTLM $true.
Belirli eşlemeler için NTLM’yi devre dışı bırakmak üzere NET USE’yi kullanabilirsiniz: “NET USE \servershare /BLOCKNTLM”. Alternatif olarak PowerShell karşılığını kullanabilirsiniz New-SmbMapping -RemotePath \servershare -BlockNTLM $true.
Active Directory, şirketin BT ve fidye yazılımı dağıtım merkezine en büyük giriş noktalarından biridir. Yeni iX Compact, bunun nasıl korunacağını gösteriyor. Artık Haberler Shop’ta kitapçık veya PDF olarak mevcut: https://Haber/s/bOq1
Microsoft’a göre, bunların her zaman Kerberos kullanması gerektiğinden, bunun bağlı Active Directory istemcileri ve etki alanı hesaplarının kullanımı üzerinde hiçbir etkisinin olmadığı varsayılmaktadır. Özel hedefler için beyaz listeye alma yoluyla NTLM’ye izin verme seçeneği daha sonraki bir tarihte kullanıma sunulacaktır. Ancak Microsoft’un stratejisi, güvenlik nedeniyle NTLM’yi tamamen geçersiz kılmaktır.
(fo)
Haberin Sonu
Duyuru
Bunlardan ilki, KOBİ bileşenindeki lehçelerin kontrolüyle ilgilidir. Microsoft bir süre önce SMB sürüm 1’i varsayılan olarak devre dışı bıraktıktan sonra, istemci ve sunucunun standart davranışı her zaman 2.0.2’den 3.1.1’e kadar en yüksek uyumlu sürüm numarası üzerinde anlaşmaktı.
Grup İlkesi Min/Maks
Redmond şirketine göre önizleme 25951, “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman SunucusuSMB’nin minimum sürümünü gönder” veya “Ayarla” bölümündeki sunucu için grup ilkesi (GPO) aracılığıyla minimum ve maksimum sürüm numarasını ayarlamanıza olanak tanır. maksimum KOBİ sürümü.” İstemciler için bu ayar, “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman İş İstasyonuSMB’nin minimum sürümünü gönder” veya “SMB’nin maksimum sürümünü gönder” seçeneğinde mevcuttur.
Artık Windows Önizleme’de: SMB’nin minimum ve maksimum istemci sürümünü kontrol etmeye yönelik yeni bir seçeneğe sahip Grup İlkesi.
(Resim: Microsoft)
Komut satırını kullanmayı tercih ederseniz ayarları PowerShell kullanarak da yapabilirsiniz. Karşılık gelen bağımsız değişkenleri içeren ilgili cmdlet’i burada bulabilirsiniz: Set-SmbClientConfiguration -Smb2DialectMax {SMB202 | SMB210 | SMB300 | SMB302 | SMB311 | None} -Smb2DialectMin {None | SMB202 | SMB210 | SMB300 | SMB302 | SMB311}
Bu, yöneticilerin artık SMB sürümünün sağlamlaştırılması için daha kesin ayarlar tanımlayabileceği anlamına geliyor; örneğin eski uygulamalar eski sürümleri gerektirmiyorsa istemci ve sunucu tarafında yalnızca 3.1.1 sürümüne izin vermek.
NTLM kimlik doğrulamasından kaçının
Ayrıca, SMB istemci bileşeni için aynı önizlemede, giden bağlantılar için NTLM’yi engelleme seçeneği de mevcuttur. Daha önce NTLM, Kerberos ve diğer protokollerin anlaşması SMB SPNEGO aracılığıyla mümkündü. NTLM ile bu aynı zamanda şu anlama da geliyordu: “NTLM’nin tüm sürümlerine izin verilir.” Yani hem LM, NTLM hem de NTLMv2 etkinleştirilir. Microsoft’a göre, önizlemede NTLM’yi tüm protokoller için sistem genelinde devre dışı bırakmadan yalnızca SMB istemci bileşeni için NTLM’yi devre dışı bırakma olanağı var.
Yönetici bu yeni ayarı GPO veya PowerShell aracılığıyla da tanımlayabilir. Yeni grup ilkeleri “Bilgisayar YapılandırmasıYönetim ŞablonlarıAğLanman İş İstasyonuNTLM Bloğu (LM, NTLM, NTLMv2)” konumunda bulunur. Bu PowerShell aracılığıyla yapılır Set-SMbClientConfiguration -BlockNTLM $true.
Belirli eşlemeler için NTLM’yi devre dışı bırakmak üzere NET USE’yi kullanabilirsiniz: “NET USE \servershare /BLOCKNTLM”. Alternatif olarak PowerShell karşılığını kullanabilirsiniz New-SmbMapping -RemotePath \servershare -BlockNTLM $true.
Active Directory, şirketin BT ve fidye yazılımı dağıtım merkezine en büyük giriş noktalarından biridir. Yeni iX Compact, bunun nasıl korunacağını gösteriyor. Artık Haberler Shop’ta kitapçık veya PDF olarak mevcut: https://Haber/s/bOq1
Microsoft’a göre, bunların her zaman Kerberos kullanması gerektiğinden, bunun bağlı Active Directory istemcileri ve etki alanı hesaplarının kullanımı üzerinde hiçbir etkisinin olmadığı varsayılmaktadır. Özel hedefler için beyaz listeye alma yoluyla NTLM’ye izin verme seçeneği daha sonraki bir tarihte kullanıma sunulacaktır. Ancak Microsoft’un stratejisi, güvenlik nedeniyle NTLM’yi tamamen geçersiz kılmaktır.
(fo)
Haberin Sonu