Delen via

SMB configureren via QUIC-clienttoegangsbeheer

  • Artikel

Met SMB via QUIC-clienttoegangsbeheer kunt u beperken welke clients toegang hebben tot SMB via QUIC-servers. Met clienttoegangsbeheer kunt u acceptatielijsten en bloklijsten maken voor apparaten om verbinding te maken met de bestandsserver. Clienttoegangsbeheer biedt organisaties meer beveiliging zonder de verificatie te wijzigen die wordt gebruikt bij het maken van de SMB-verbinding, noch de eindgebruikerservaring.

Hoe clienttoegangsbeheer werkt

Clienttoegangsbeheer omvat de server die een toegangsbeheerlijst met certificaten controleert om te bepalen of een client een QUIC-verbinding met de server tot stand mag brengen. De server valideert de clientcertificaatketen en zorgt ervoor dat deze wordt vertrouwd voordat u doorgaat met de controles voor toegangsbeheer. Voor het configureren van clienttoegangsbeheer geeft een beheerder een certificaat uit aan de client en kan een hash van het certificaat toevoegen aan een toegangsbeheerlijst die door de server wordt onderhouden.

Als de client via QUIC verbinding mag maken met de server, wordt er een met TLS 1.3 versleutelde tunnel via UDP-poort 443 gemaakt. Clienttoegangsbeheer ondersteunt ook certificaten met alternatieve onderwerpnamen. U kunt SMB via QUIC ook configureren om toegang te blokkeren door certificaten in te roepen of expliciet toegang tot bepaalde apparaten te weigeren. Een serverbeheerder kan voorkomen dat een client toegang krijgt tot de server door het clientcertificaat in te trekken in plaats van alleen op clienttoegangsbeheer te vertrouwen.

Notitie

U wordt aangeraden SMB te gebruiken via QUIC met Active Directory-domeinen, maar dit is niet vereist. U kunt SMB via QUIC ook gebruiken op een server die lid is van een werkgroep met lokale gebruikersreferenties en NTLM.

Toestaan dat vermeldingen voor toegangsbeheer worden toegevoegd en verwijderd met respectievelijk de Grant-SmbClientAccessToServer- en Revoke-SmbClientAccessToServer-cmdlets. Vermeldingen van toegangscontrole weigeren kunnen worden toegevoegd en verwijderd met respectievelijk de cmdlets Block-SmbClientAccessToServer en Unblock-SmbClientAccessToServer. De vermeldingen in de toegangsbeheerlijst kunnen worden weergegeven met behulp van de cmdlet Get-SmbClientAccessToServer.

Een leaf-certificaat kan worden verleend of geweigerd door een toegangsbeheervermelding toe te voegen waarmee het certificaat wordt geïdentificeerd door de SHA256-hash. Een groep leaf-certificaten met een gemeenschappelijke uitgever kan allemaal toegang krijgen of worden geweigerd door een toegangsbeheervermelding voor de gemeenschappelijke uitgever toe te voegen. Een vermelding voor verleners kan worden toegevoegd voor tussenliggende CA-certificaten en basis-CA-certificaten. Het gebruik van vermeldingen van verleners kan handig zijn, omdat ze helpen het totale aantal vermeldingen te verminderen dat moet worden toegevoegd. Als geen van de certificaten in de certificaatketen van de client toegang wordt geweigerd en ten minste één toegang is toegestaan, krijgt de client toegang. Bijvoorbeeld:

  • Als een toegestane vermelding wordt toegevoegd voor een CA-certificaat en er een weigeringsvermelding wordt toegevoegd voor een van de leaf-certificaten, krijgen alle certificaten die zijn uitgegeven door de CA toegang, met uitzondering van het certificaat waarvoor de weigeringsvermelding wordt toegevoegd.

  • Als er een weigeringsvermelding wordt toegevoegd voor een CA-certificaat en er een toegestane vermelding wordt toegevoegd voor een van de leadcertificaten, worden alle certificaten die zijn uitgegeven door de CA geweigerd. Het certificaat, waarvoor een vermelding voor toestaan is toegevoegd, wordt de toegang geweigerd omdat elke weigeringsvermelding in de certificaatketen voorrang heeft op toegestane vermeldingen.

  • Stel dat een basis-CA twee tussenliggende CA's heeft met de naam tussenliggende CA 1 en tussenliggende CA 2. Als er een toegestane vermelding wordt toegevoegd voor de basis-CA en er een vermelding voor weigeren wordt toegevoegd voor tussenliggende CA 2, krijgen certificaten die zijn uitgegeven door tussenliggende CA 1 toegang en worden certificaten geweigerd die zijn uitgegeven door tussenliggende CA 2.

Voorwaarden

Voordat u clienttoegangsbeheer kunt configureren, hebt u een SMB-server met de volgende vereisten nodig.

  • Een SMB-server met Windows Server 2022 Datacenter: Azure Edition met de 12 maart 2024—KB5035857-update of Windows Server 2025 of hoger. Als u de preview-functie wilt ontgrendelen, moet u ook Windows Server 2022 KB5035857 240302_030531 Feature Preview-installeren.
  • SMB via QUIC ingeschakeld en geconfigureerd op de server. Zie voor meer informatie over het configureren van SMB via QUIC SMB via QUIC.
  • Als u clientcertificaten gebruikt die zijn uitgegeven door een andere certificeringsinstantie (CA), moet u ervoor zorgen dat de CA wordt vertrouwd door de server.
  • Beheerdersbevoegdheden voor de SMB-server die u configureert.

Belangrijk

Zodra KB5035857 is geïnstalleerd, moet u deze functie inschakelen in Groepsbeleid:

  1. Klik op Start, typ gpediten selecteer Groepsbeleid bewerken.
  2. Ga naar Computerconfiguratie\Beheersjablonen\KB5035857 240302_030531 Feature Preview\Windows Server 2022.
  3. Open het KB5035857 240302_030531-functiekenmerkbeleid en selecteer Ingeschakeld.

U hebt ook een SMB-client nodig met de volgende vereisten.

Belangrijk

Zodra KB5035854 is geïnstalleerd, moet u deze functie inschakelen in Groepsbeleid:

  1. Klik op Start, typ gpediten selecteer Groepsbeleid bewerken.
  2. Navigeer naar Computerconfiguratie\Beheersjablonen\KB5035854 240302_030535 Feature Preview\Windows 11 (oorspronkelijke versie).
  3. Open het beleid KB5035854 240302_030535 Feature Preview en selecteer Ingeschakeld.

De SMB-server configureren

Als u de instellingen voor de SMB-client wilt beheren, moet u eerst de SMB-server configureren om te verplichten dat de client een geldige en vertrouwde certificaatketen verzendt en om de controles voor toegangsbeheer uit te voeren op basis van de clientcertificaatketen. Voer de volgende opdracht uit om deze actie uit te voeren:

Set-SmbServerCertificateMapping -RequireClientAuthentication $true

Notitie

Als zowel RequireClientAuthentication als SkipClientCertificateAccessCheck- zijn ingesteld op $true, controleert de server de geldigheid en betrouwbaarheid van de keten van het clientcertificaat, maar voert geen controles voor toegangsbeheer uit.

De SMB-client configureren

De gegevens van het SMB-clientcertificaat verzamelen

De hash van uw clientcertificaat verzamelen met behulp van PowerShell:

  1. Open een PowerShell-prompt met verhoogde bevoegdheid op de SMB-client.

  2. Vermeld de certificaten in het certificaatarchief van de client door de volgende opdracht uit te voeren.

    Get-ChildItem -Path Cert:\LocalMachine\My

  3. Voer de volgende opdracht uit om het certificaat op te slaan in een variabele. Vervang <subject name> door de onderwerpnaam van het certificaat dat u wilt gebruiken.

    $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}

  4. Noteer de SHA256-hash van het clientcertificaat door de volgende opdracht uit te voeren. U hebt deze id nodig bij het configureren van clienttoegangsbeheer.

    $clientCert.GetCertHashString("SHA256")

Notitie

De vingerafdruk die is opgeslagen in het $clientCert-object maakt gebruik van het SHA1-algoritme. Dit wordt gebruikt door opdrachten zoals New-SmbClientCertificateMapping. U hebt ook de SHA256-vingerafdruk nodig om clienttoegangsbeheer te configureren. Deze vingerafdrukken zijn anders afgeleid met behulp van verschillende algoritmen voor hetzelfde certificaat.

Wijs het clientcertificaat toe aan de SMB-client

Het clientcertificaat toewijzen aan de SMB-client:

  1. Open een PowerShell-prompt met verhoogde bevoegdheid op de SMB-client.

  2. Voer de opdracht New-SmbClientCertificateMapping uit om het clientcertificaat te kaarten. Vervang <namespace> door de FQDN (Fully Qualified Domain Name) van de SMB-server en gebruik de vingerafdruk van het SHA1-clientcertificaat dat u in de vorige sectie hebt verzameld met behulp van de variabele.

    New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My

Zodra dit is voltooid, wordt het clientcertificaat door de SMB-client gebruikt om te verifiëren bij de SMB-server die overeenkomt met de FQDN.

Mappingconnectiviteit testen

Voer een connectiviteitstest uit door uw server of clientapparaat te koppelen aan een netwerkshare. Voer een van de volgende opdrachten uit om dit uit te voeren:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Of

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Als u een foutbericht ontvangt waarin wordt aangegeven dat de toegang is geweigerd door de server, bent u klaar om door te gaan met de volgende stap, omdat hiermee wordt gecontroleerd of de servercertificaattoewijzing en clientcertificaattoewijzing zijn geconfigureerd.

Clienttoegangsbeheer configureren

Individuele klanten toestemming verlenen

Volg de stappen om een specifieke client toegang te verlenen tot de SMB-server met behulp van clienttoegangsbeheer.

  1. Meld u aan bij de SMB-server.

  2. Open een PowerShell-prompt met verhoogde bevoegdheid op de SMB-server.

  3. Voer de Grant-SmbClientAccessToServer uit om toegang te verlenen tot het clientcertificaat. Vervang <name> door de hostnaam van de SMB-server en <hash> met behulp van de SHA256-clientcertificaat-id die u hebt verzameld in de De informatie over het SMB-clientcertificaat verzamelen sectie.

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>

U hebt nu toegang verleend tot het clientcertificaat. U kunt de toegang tot het clientcertificaat controleren door de cmdlet Get-SmbClientAccessToServer uit te voeren.

Specifieke certificeringsinstanties machtigen

Volg de stappen om toegang te verlenen aan cliënten van een specifieke certificeringsinstantie, ook wel uitgever genoemd, met behulp van toegangscontrole voor cliënten.

  1. Meld u aan bij de SMB-server.

  2. Open een PowerShell-prompt met verhoogde bevoegdheid op de SMB-server.

  3. Voer de Grant-SmbClientAccessToServer uit om toegang te verlenen tot het clientcertificaat. Vervang <name> door de hostnaam van de SMB-server en <subject name> door de volledige X.500 DN-naam van het certificaat van de uitgever. Bijvoorbeeld CN=Contoso CA, DC=Contoso, DC=com.

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"

Zodra deze stap is voltooid, voert u de New-SmbMapping cmdlet uit, zoals vermeld in Connectiviteit testen, omdat een tweede uitvoering wordt aanbevolen om te controleren of clienttoegangsbeheer juist is geconfigureerd.

Gebeurtenislogboeken controleren

Bepaalde gebeurtenissen, zoals toegang toegestaan en toegang geweigerd, worden vastgelegd voor probleemoplossingsdoeleinden. Deze gebeurtenissen bieden informatie over de clientcertificaten (met uitzondering van het basiscertificaat), zoals het onderwerp, de uitgever, het serienummer, de SHA1- en SHA256-hash en de vermeldingen voor toegangsbeheer die van toepassing zijn op deze certificaten. Deze gebeurtenissen geven een verbindings-id weer. Deze id wordt weergegeven in bepaalde clientconnectiviteitsgebeurtenissen, zodat de beheerder de server eenvoudig kan koppelen aan de client die heeft geprobeerd de verbinding tot stand te brengen.

Het controleren van deze gebeurtenissen is standaard uitgeschakeld en kan worden ingeschakeld door de volgende opdracht uit te voeren:

Set-SmbServerConfiguration -AuditClientCertificateAccess $true

Zodra deze gebeurtenissen zijn ingeschakeld, worden ze vastgelegd in de Gebeurtenissenviewer in de volgende paden:

Pad Gebeurtenis-id
Toepassingen- en servicelogboeken\Microsoft\Windows\SMBServer\Audit 3007
3008
3009
Logboeken voor toepassingen en services\Microsoft\Windows\SMBClient\Connectiviteit 30831

Verwante inhoud