SMB по QUIC

SMB по QUIC — это альтернатива сетевому транспортному протоколу TCP, которая обеспечивает безопасное, надежное подключение к пограничным файловым серверам через ненадежные сети, такие как Интернет. QUIC — это стандартизованный протокол IETF со многими преимуществами по сравнению с TCP:

• Все пакеты всегда шифруются, и проверка подлинности выполняется с помощью TLS 1.3.
• Параллельные потоки надежных и ненадежных данных приложения
• Обмен данными приложения в первом круговом пути (0-RTT)
• Улучшено управление перегрузкой и восстановление потери
• Выживает изменение IP-адреса или порта клиентов

SMB over QUIC предлагает "SMB VPN" для telecommuters, пользователей мобильных устройств и организаций с высокой безопасностью. Сертификат сервера создает туннель TLS 1.3, зашифрованный через интернет-совместимый порт UDP 443, а не устаревший порт TCP 445. Весь трафик SMB, включая проверку подлинности и авторизацию в туннеле, никогда не раскрывается базовой сети. SMB работает как обычно в туннеле QUIC: для пользователей ничего не меняется. Функции SMB, такие как мультиканал, подписывание, сжатие, непрерывная доступность, аренда каталогов и т. д., работают нормально.

Администратор файлового сервера должен включить SMB по QUIC. Он не включен по умолчанию, и клиент не может принудительно включить SMB через QUIC. Клиенты Windows SMB по-прежнему используют TCP по умолчанию и будут пытаться выполнить SMB через QUIC, если попытка TCP сначала завершается ошибкой, или если намеренно требуется NET USE /TRANSPORT:QUIC использование QUIC или New-SmbMapping -TransportType QUIC.

Примечание.

Не рекомендуется определять конкретные имена для пространств имен DFS в сценариях, связанных с подключениями SMB и QUIC с внешними конечными точками. Это связано с тем, что имена внутренних пространств имен DFS будут ссылаться, и эти ссылки обычно недоступны для внешнего клиента в текущих выпусках Windows.

Необходимые компоненты

Чтобы использовать SMB над QUIC, вам потребуется следующее:

• Сервер SMB, работающий на одном из следующих операционных систем.

  • Windows Server 2022 Datacenter: Azure Edition (операционные системы Microsoft Server) или более поздней версии

  • Любой выпуск Windows Server 2025 или более поздней версии

• Устройство с Windows 11 (Windows для бизнеса)

• Сервер SMB и клиент должны быть присоединены к домену Active Directory или клиент должен иметь локальную учетную запись пользователя на сервере SMB. Сервер SMB должен иметь доступ по крайней мере к одному контроллеру домена для проверки подлинности, но для доступа к Интернету не требуется контроллер домена. Мы рекомендуем использовать SMB для QUIC с доменами Active Directory, однако это не обязательно. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM.

• Сервер должен быть доступен клиентам в общедоступном интерфейсе, добавив правило разрешения брандмауэра, чтобы разрешить SMB через QUIC. По умолчанию SMB в QUIC использует UDP/443 входящий трафик. Не разрешайте входящий трафик TCP/445 на файловый сервер. Дополнительные сведения об изменении порта по умолчанию см. в статье "Настройка альтернативных портов SMB".

• Файловый сервер должен иметь доступ по крайней мере к одному контроллеру домена для проверки подлинности, но контроллер домена не требует доступа к Интернету.

• Windows Admin Center (WAC) (домашняя страница)

• Инфраструктура открытых ключей (PKI) для выдачи сертификатов, таких как сервер сертификатов Active Directory или доступ к поставщику доверенных сторонних сертификатов, таким как Verisign, Digicert, Let's Encrypt и т. д.

• Права администратора или эквивалентные для настраиваемого сервера SMB.

Развертывание SMB через QUIC

Шаг 1. Установка сертификата сервера

1. Создайте сертификат, выданный центром сертификации, со следующими свойствами:

   • Использование ключа: цифровая подпись
   • Назначение: проверка подлинности сервера (EKU 1.3.6.1.5.5.7.3.1)
   • Алгоритм подписи: SHA256RSA (или больше)
   • Хэш подписи: SHA256 (или более поздней версии)
   • Алгоритм открытого ключа: ECDSA_P256 (или больше). Также можно использовать RSA с не менее 2048 длиной)
   • Альтернативное имя субъекта (SAN): (запись DNS-имени для каждого полного DNS-имени, используемого для доступа к серверу SMB)
   • Тема: (CN= что-либо, но должно существовать)
   • Закрытый ключ включен: да

   

   

   

   При использовании центра сертификации Microsoft Enterprise можно создать шаблон сертификата и разрешить администратору файлового сервера предоставлять DNS-имена при запросе. Дополнительные сведения о создании шаблона сертификата см. в статье "Проектирование и реализация PKI: часть III. Шаблоны сертификатов". Демонстрация создания сертификата для SMB через QUIC с помощью Центра сертификации Майкрософт см. в этом видео:

   Чтобы запросить сертификат сторонних производителей, обратитесь к документации по поставщику.

2. При использовании центра сертификации Microsoft Enterprise:

   1. Запустите MMC.EXE на файловом сервере.
   2. Добавьте оснастку "Сертификаты" и выберите учетную запись компьютера.
   3. Разверните сертификаты (локальный компьютер), личное, а затем щелкните правой кнопкой мыши сертификаты и выберите "Запросить новый сертификат".
   4. Выберите Далее
   5. Выбор политики регистрации Active Directory
   6. Выберите Далее
   7. Выберите шаблон сертификата для SMB через QUIC, опубликованный в Active Directory.
   8. Для регистрации этого сертификата требуется выбрать дополнительные сведения. Щелкните здесь, чтобы настроить параметры.
   9. Таким образом, пользователи могут использовать для поиска файлового сервера, заполните значение Subject общим именем и альтернативным именем субъекта одним или несколькими DNS-именами.
   10. Нажмите кнопку "ОК" и нажмите кнопку "Регистрация".

   

   

Примечание.

Не используйте IP-адреса для SMB через альтернативные имена субъектов сервера QUIC.

• IP-адреса потребуют использования NTLM, даже если Kerberos доступен из контроллера домена или через прокси-сервер KDC.
• Виртуальные машины IaaS Azure под управлением SMB через QUIC используют NAT для общедоступного интерфейса обратно в частный интерфейс. SMB через QUIC не поддерживает использование IP-адреса для имени сервера через NAT, необходимо использовать полное DNS-имя, разрешающее IP-адрес общедоступного интерфейса только в этом случае.

Примечание.

Если вы используете файл сертификата, выданный сторонним центром сертификации, вы можете использовать оснастки сертификатов или WAC для импорта.

Шаг 2. Настройка SMB через QUIC

Чтобы настроить SMB через QUIC, выберите предпочтительный метод и выполните действия.

Внимание

Если вы используете Windows Server 2025, необходимо использовать метод PowerShell для настройки SMB через QUIC. В настоящее время метод Windows Admin Center не поддерживается для Windows Server 2025.

Демонстрация настройки и использования SMB через QUIC см. в этом видео:

Windows Admin Center

1. Войдите на файловый сервер в качестве администратора.

2. Установите последнюю версию WAC на компьютере управления или на файловом сервере. Вам нужна последняя версия расширения "Файлы и общий доступ к файлам". Он устанавливается автоматически, если расширения автоматического обновления включены в > параметров.

3. Подключитесь к серверу с помощью WAC и выберите значок "Параметры " в левом нижнем левом. В разделе общих папок (сервер SMB) в разделе "Общий доступ к файлам через Интернет с помощью SMB через QUIC" выберите "Настроить".

4. Выберите сертификат в разделе "Выбор сертификата компьютера" для этого файлового сервера, выберите адреса серверов, к которому могут подключаться клиенты, или выбрать "Выбрать все" и нажмите кнопку "Включить".

   

5. Убедитесь, что сертификат и SMB над отчетом QUIC работоспособны.

   

6. Выберите пункт меню "Файлы и общий доступ к файлам ". Запишите существующие общие папки SMB или создайте новую.

PowerShell

1. Войдите на файловый сервер в качестве администратора.

2. Откройте командную строку с повышенными привилегиями PowerShell.

3. Выведите список сертификатов в хранилище сертификатов сервера, выполнив следующую команду.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

4. Выполните следующую команду, чтобы сохранить сертификат в переменной. Замените <subject name> именем субъекта сертификата, который вы хотите использовать.

   $serverCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

5. Убедитесь, что сертификат соответствует тому, который вы хотите использовать, выполнив следующую команду.

   $serverCert
   

6. Чтобы включить SMB через QUIC с помощью отпечатка сертификата соответствующего сертификата, выполните следующую команду. Обязательно замените <server FQDN> полное доменное имя SMB на сервере QUIC.

   New-SmbServerCertificateMapping -Name <server FQDN> -ThumbPrint $serverCert.Thumbprint -Storename My 
   

Если вы хотите применить управление к SMB через клиент, можно использовать контроль доступа клиента. Дополнительные сведения об ограничении доступа клиентов к SMB через QUIC-серверы см. в статье Настройка SMB через управление доступом клиента QUIC.

Шаг 3. Подключение к общим папкам SMB

1. Присоедините клиентское устройство Windows к вашему домену. Убедитесь, что имена субъекта сертификата SMB через QUIC файлового сервера публикуются в DNS и полностью или добавляются в файлы HOST для клиента Windows. Убедитесь, что альтернативные имена субъекта сертификата сервера публикуются в DNS или добавляются в файлы HOSTS для клиента Windows.

2. Переместите клиентское устройство Windows в внешнюю сеть, где у него больше нет сетевого доступа к контроллерам домена или внутренним IP-адресам файлового сервера.

3. В Windows проводник в адресной строке введите UNC-путь к общей папке на файловом сервере и убедитесь, что вы можете получить доступ к данным в общей папке. Кроме того, можно использовать NET USE /TRANSPORT:QUIC или New-SmbMapping -TransportType QUIC использовать UNC-путь. Примеры:

   REM Automatically tries TCP then QUIC
   NET USE * \\fsedge1.contoso.com\sales
   
   REM Tries only QUIC
   NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC
   

   #Tries only QUIC
   New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC
   

Управление SMB через QUIC

PowerShell

Администраторы могут отключить SMB через QUIC для сервера, выполнив следующую команду:

Set-SmbServerConfiguration -EnableSMBQUIC $false

Чтобы отключить SMB через QUIC для клиентского устройства, выполните следующую команду:

Set-SmbClientConfiguration -EnableSMBQUIC $false

SMB через QUIC можно включить на сервере или клиенте, установив для $false значение $true.

Примечание.

Если клиент пытается подключиться к серверу через QUIC, а SMB через QUIC отключен, клиент пытается подключиться к серверу через TCP. Это предполагает, что сервер не находится в списке исключений.

Теперь администраторы могут указать список серверов, исключенных из SMB по протоколу QUIC, на клиенте. Клиент может подключиться к серверу, если SMB через QUIC отключен на клиенте, если IP-адрес сервера, имя NetBIOS или полное доменное имя находится в списке исключений. Дополнительные сведения см. в разделе "Включение исключений для блокировки NTLM". Список исключений сервера можно создать, выполнив следующую команду:

Set-SmbClientConfiguration -DisabledSMBQUICServerExceptionList "<Server01>, <Server02>, <Server03>"

Групповая политика

Чтобы отключить SMB через QUIC для сервера, выполните следующие действия.

1. Выберите Пуск, введите gpedit.msc и нажмите Enter.
2. В пользовательском интерфейсе групповой политики перейдите к Конфигурация компьютера\Административные шаблоны\Сеть\Lanman Server, выберите Включить SMB по протоколу QUIC, а затем выберите Отключено.

Чтобы включить SMB через QUIC, установите для этой политики значение включено.

Чтобы отключить SMB через QUIC для клиентского устройства, выполните следующее:

1. В пользовательском интерфейсе групповой политики перейдите к Конфигурация компьютера\Административные шаблоны\Сеть\Lanman Workstation, выберите Разрешить SMB через QUIC, а затем выберите Отключено.

Чтобы включить SMB через QUIC, установите для этой политики значение Включено.

Чтобы включить список исключений сервера для SMB через QUIC, выполните следующие действия:

1. В пользовательском интерфейсе групповой политики перейдите к Конфигурация компьютера\Административные шаблоны\Сеть\Lanman Workstation, выберите отключение списка исключений сервера SMB через QUIC, а затем выберите включено.
2. В окне параметров Отключенный SMB в списке исключений сервера QUIC добавьтеIP-адрес сервера , имя NetBIOS или полное доменное имя. Используйте запятую для добавления нескольких значений.
3. После заполнения списка исключений нажмите кнопку ОК.

SMB через аудит клиента QUIC

Аудит используется для отслеживания клиентских подключений для SMB через QUIC с событиями, записанными в журнал событий. Просмотр событий записывает эти сведения для транспортного протокола QUIC. Эта функция доступна клиенту SMB, начиная с Windows 11 версии 24H2, чтобы просмотреть эти журналы, выполните следующие действия.

1. Откройте Просмотр событий.
2. Перейдите к журналам приложений и служб\Microsoft\Windows\SMBClient\Connectivity.
3. Мониторинг идентификатора события 30832.

Настройка прокси-сервера KDC (необязательно, но рекомендуется)

По умолчанию клиентское устройство Windows не будет иметь доступа к контроллеру домена Active Directory при подключении к SMB через файловый сервер QUIC. Это означает, что проверка подлинности использует NTLMv2, где файловый сервер проходит проверку подлинности от имени клиента. Проверка подлинности или авторизация NTLMv2 не возникает за пределами туннеля QUIC с шифрованием TLS 1.3. Однако мы по-прежнему рекомендуем использовать Kerberos в качестве общей рекомендации по обеспечению безопасности и не рекомендуем создавать новые зависимости NTLMv2 в развертываниях. Чтобы разрешить это, можно настроить прокси-сервер KDC для пересылки запросов на запросы на запросы билетов от имени пользователя, все при использовании защищенного через Интернет HTTPS зашифрованного канала связи. Прокси-сервер KDC поддерживается SMB через QUIC и настоятельно рекомендуется.

Примечание.

Невозможно настроить WAC в режиме шлюза с помощью TCP-порта 443 на файловом сервере, где настраивается прокси-сервер KDC. При настройке WAC на файловом сервере измените порт на порт, который не используется и не равен 443. Если вы уже настроили WAC через порт 443, повторно запустите MSI установки WAC и выберите другой порт при появлении запроса.

Windows Admin Center

1. Убедитесь, что вы используете WAC версии 2110 или более поздней.

2. Обычно настройте SMB через QUIC. Начиная с WAC 2110, параметр настройки прокси-сервера KDC в SMB через QUIC автоматически включен, и вам не нужно выполнять дополнительные действия на файловом сервере. По умолчанию прокси-порт KDC равен 443 и назначается автоматически WAC.

   Примечание.

   Невозможно настроить SMB через СЕРВЕР QUIC, присоединенный к рабочей группе с помощью WAC. Необходимо присоединить сервер к домену Active Directory или выполнить действия по настройке прокси-сервера KDC в PowerShell или групповой политике.

PowerShell

1. На файловом сервере в командной строке PowerShell с повышенными привилегиями выполните следующую команду:

   NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force
   
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force
   
   Get-SmbServerCertificateMapping
   

2. Скопируйте значение отпечатка из сертификата, связанного с сертификатом SMB по сертификату QUIC (может быть несколько строк, но все они будут иметь одинаковый отпечаток) и вставьте его в качестве значения Certhash для следующей команды:

   $guid = [Guid]::NewGuid()
   Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false
   

3. Добавьте SMB файлового сервера по именам QUIC в качестве имен субъектов-служб в Active Directory для Kerberos. Например:

   NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`
   

4. Настройте службу прокси-сервера KDC автоматически и запустите ее:

   Set-Service -Name kpssvc -StartupType Automatic
   
   Start-Service -Name kpssvc
   

Групповая политика

1. Настройте следующую групповую политику для применения к клиентскому устройству Windows:

   Конфигурация компьютера\Административные шаблоны\System\Kerberos\Указание прокси-серверов KDC для клиентов Kerberos

   Формат этого параметра групповой политики — это имя значения полного доменного имени Active Directory, а значение становится внешним именем, указанным для сервера QUIC. Например, где домен Active Directory называется corp.contoso.com , а внешний DNS-домен называется contoso.com:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Это сопоставление областей Kerberos означает, что если пользователь ned@corp.contoso.com пытался подключиться к имени fs1edge.contoso.com"файлового сервера, прокси-сервер KDC знает, чтобы перенаправить билеты kerberos на контроллер домена во внутреннем corp.contoso.com домене. Обмен данными с клиентом будет осуществляться через ПРОТОКОЛ HTTPS через порт 443, а учетные данные пользователя не предоставляются непосредственно в сети файлового сервера клиента.

2. Создайте правило брандмауэра Защитника Windows, которое включает TCP-порт 443 для службы прокси-сервера KDC для получения запросов проверки подлинности.

3. Убедитесь, что пограничные брандмауэры разрешают HTTPS через порт 443, входящий в файловый сервер.

4. Примените групповую политику и перезапустите клиентское устройство Windows.

Примечание.

Автоматическая настройка прокси-сервера KDC будет поступать позже в SMB через QUIC, и эти шаги сервера не потребуются.

Срок действия сертификата и продление

Истекший срок действия SMB по сертификату QUIC, который вы заменяете новым сертификатом издателя, будет содержать новый отпечаток. Хотя вы можете автоматически обновить SMB по сертификатам QUIC при истечении срока действия с помощью служб сертификатов Active Directory, обновленный сертификат также получает новый отпечаток. Это означает, что при истечении срока действия сертификата необходимо перенастроить SMB через QUIC, так как необходимо сопоставить новый отпечаток. Выберите новый сертификат в WAC для существующей конфигурации SMB в QUIC или используйте Set-SMBServerCertificateMapping команду PowerShell для обновления сопоставления нового сертификата. Автоматическое управление Azure для Windows Server можно использовать для обнаружения истечения срока действия сертификата и предотвращения сбоя. Дополнительные сведения см . в статье "Автоматическое управление Azure для Windows Server".

Примечания.

• Для клиентов, не использующих общедоступное облако Azure, Windows Server 2022 Datacenter: Выпуск Azure доступен в локальной среде Azure, начиная с версии 22H2.
• Мы рекомендуем использовать SMB через QUIC с доменами Active Directory, но не является обязательным. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM или Azure IaaS с присоединенными к Microsoft Entra серверами Windows. Microsoft Entra присоединился к серверам Windows для компьютеров, отличных от IaaS, не поддерживается. Присоединенные к Microsoft Entra серверы Windows не поддерживают учетные данные для удаленных операций безопасности Windows, так как идентификатор Microsoft Entra не содержит идентификаторов пользователей или групп. Microsoft Entra присоединенные к Серверам Windows должны использовать учетную запись пользователя на основе домена или локального пользователя для доступа к SMB через общую папку QUIC.
• Невозможно настроить SMB через QUIC с помощью WAC, если сервер SMB находится в рабочей группе (т. е. не присоединен к домену AD). В этом сценарии необходимо использовать командлет New-SMBServerCertificateMapping .
• Мы рекомендуем использовать контроллеры домена только для чтения, настроенные только с помощью паролей мобильных пользователей, доступных на файловом сервере.
• Пользователи должны иметь надежные пароли или, в идеале, настроить с помощью стратегии без пароля с Windows Hello для бизнеса MFA или смарт-картами. Настройте политику блокировки учетных записей для мобильных пользователей с помощью детальной политики паролей и следует развернуть программное обеспечение защиты от вторжений для обнаружения атак подбора или распыления паролей.

Дополнительные ссылки

• Хранилище в блоге Майкрософт
• Домашняя страница рабочей группы QUIC
• Домашняя страница Microsoft MsQuic GitHub
• QUIC Википедия
• Домашняя страница рабочей группы TLS 1.3
• Передача протокола TLS на следующий уровень с TLS 1.3