Konfigurera SMB över QUIC-klientåtkomstkontroll

Med SMB över QUIC-klientåtkomstkontroll kan du begränsa vilka klienter som kan komma åt SMB via QUIC-servrar. Med klientåtkomstkontroll kan du skapa tillåtna listor och blocklistor för enheter som ska ansluta till filservern. Klientåtkomstkontroll ger organisationer mer skydd utan att ändra den autentisering som används när SMB-anslutningen upprättas, och det ändrar inte heller slutanvändarupplevelsen.

Så här fungerar klientåtkomstkontroll

Klientåtkomstkontroll innebär att servern kontrollerar en lista över certifikat för åtkomstkontroll för att avgöra om en klient har behörighet att upprätta en QUIC-anslutning till servern. Servern validerar klientcertifikatkedjan och ser till att den är betrodd innan du fortsätter med åtkomstkontrollkontrollerna. För att konfigurera klientåtkomstkontroll utfärdar en administratör ett certifikat till klienten och kan lägga till en hash för certifikatet i en lista över åtkomstkontroll som underhålls av servern.

Om klienten tillåts ansluta till servern via QUIC skapas en TLS 1.3-krypterad tunnel via UDP-port 443. Klientåtkomstkontroll stöder även certifikat med alternativa namn i certifikatsubjekt. Du kan också konfigurera SMB via QUIC för att blockera åtkomst genom att återkalla certifikat eller uttryckligen neka vissa enheter åtkomst. En serveradministratör kan förhindra att en klient kommer åt servern genom att återkalla klientcertifikatet, i stället för att enbart förlita sig på klientåtkomstkontroll.

Obs

Vi rekommenderar att du använder SMB via QUIC med Active Directory-domäner, men det krävs inte. Du kan också använda SMB via QUIC på en arbetsgruppsansluten server med lokala användarautentiseringsuppgifter och NTLM.

Tillåt åtkomstkontrollposter kan läggas till och tas bort med hjälp av cmdletarna Grant-SmbClientAccessToServer respektive Revoke-SmbClientAccessToServer. Neka åtkomstkontrollposter kan läggas till och tas bort med hjälp av cmdletarna Block-SmbClientAccessToServer respektive Unblock-SmbClientAccessToServer. Posterna i åtkomstkontrollistan kan visas med hjälp av cmdleten Get-SmbClientAccessToServer.

Ett lövcertifikat kan beviljas eller nekas åtkomst genom att lägga till en åtkomstkontrollpost som identifierar certifikatet med dess SHA256-hash. En grupp lövcertifikat med en gemensam utfärdare kan beviljas eller nekas åtkomst genom att lägga till en åtkomstkontrollpost för den gemensamma utfärdaren. En utfärdarpost kan läggas till för mellanliggande CA-certifikat och rot-CA-certifikat. Det kan vara användbart att använda poster från utfärdare eftersom de bidrar till att minska det totala antalet poster som behöver läggas till. Om inget av certifikaten i klientens certifikatkedja nekas åtkomst och minst ett tillåts åtkomst beviljas klienten åtkomst. Till exempel:

• Om en tillåtelsepost läggs till för ett CA-certifikat och en nekandepost läggs till för ett av lövcertifikaten beviljas alla certifikat utfärdade av CA åtkomst utom det certifikat som nekandeposten gäller.

• Om en neka-post läggs till för ett CA-certifikat och en tillåten post läggs till för ett av leadcertifikaten nekas alla certifikat som utfärdats av certifikatutfärdare åtkomst. Certifikatet, för vilket en tillåten post har lagts till, nekas åtkomst eftersom alla nekandeposter i certifikatkedjan prioriteras framför tillåtna poster.

• Tänk dig att en Root-CA har två mellanliggande CA som kallas mellanliggande CA 1 och mellanliggande CA 2. Om en tillåtelsepost läggs till för root CA och en nekapost läggs till för intermediär CA 2, beviljas certifikat som utfärdats av intermediär CA 1 åtkomst, medan certifikat som utfärdats av intermediär CA 2 nekas åtkomst.

Förutsättningar

Innan du kan konfigurera klientåtkomstkontroll behöver du en SMB-server med följande krav.

• En SMB-server som kör Windows Server 2022 Datacenter: Azure Edition med uppdateringen 12 mars 2024, KB5035857 eller Windows Server 2025 eller senare. Om du vill låsa upp förhandsgranskningsfunktionen måste du också installera Windows Server 2022 KB5035857 240302_030531 Funktionsförhandsvisning.
• SMB över QUIC aktiverat och konfigurerat på servern. Information om hur du konfigurerar SMB via QUIC finns i SMB via QUIC.
• Om du använder klientcertifikat som utfärdats av en annan certifikatutfärdare (CA) måste du se till att certifikatutfärdare är betrodd av servern.
• Administratörsbehörigheter för den SMB-server som du konfigurerar.

Viktig

När KB5035857 har installerats måste du aktivera den här funktionen i Grupprincip:

1. Klicka på Starta, skriv gpeditoch välj Redigera grupprincip.
2. Gå till Datorkonfiguration\Administrativa mallar\KB5035857 240302_030531 Funktionsförhandsvisning\Windows Server 2022.
3. Öppna policyn KB5035857 240302_030531 Förhandsgranskning av funktioner och välj Aktiverad.

Du behöver också en SMB-klient med följande förutsättningar.

• En SMB-klient som körs på något av följande operativsystem:
  • Windows Server 2022 Datacenter: Azure Edition med den 12 mars 2024 – KB5035857-uppdatering. Om du vill låsa upp förhandsgranskningsfunktionen måste du också installera Windows Server 2022 KB5035857 240302_030531 Funktionsförhandsvisning.
  • Windows 11 med den 12 mars 2024 – KB5035853 Uppdatering. Om du vill låsa upp förhandsgranskningsfunktionen måste du också installera Windows 11 (ursprunglig version) KB5035854 240302_030535 Funktionsförhandsgranskning.
  • Windows Server 2025 eller senare.
  • Windows 11, version 24H2 eller senare.
• Ett klientcertifikat som är:
  • Utfärdad för klientautentisering (EKU 1.3.6.1.5.5.7.3.2).
  • Utfärdad av en certifikatutfärdare som är betrodd av SMB-servern.
  • Installerat i klientens certifikatarkiv.
• Administratörsbehörigheter för den SMB-server som du konfigurerar.

Viktig

När KB5035854 har installerats måste du aktivera den här funktionen i Grupprincip:

1. Klicka på Starta, skriv gpeditoch välj Redigera grupprincip.
2. Gå till Datorkonfiguration\Administrativa mallar\KB5035854 240302_030535 Funktionsförhandsvisning\Windows 11 (ursprunglig version).
3. Öppna policyn KB5035854 240302_030535 Funktionsförhandsgranskning och välj Aktiverad.

Konfigurera SMB-servern

För att hantera inställningarna för SMB-klienten är det nödvändigt att först konfigurera SMB-servern så att den kräver att klienten skickar en giltig och betrodd certifikatkedja och utför åtkomstkontrollkontrollerna baserat på klientcertifikatkedjan. Kör följande kommando för att utföra den här åtgärden:

Set-SmbServerCertificateMapping -RequireClientAuthentication $true

Not

Om både RequireClientAuthentication och SkipClientCertificateAccessCheck är inställda på $trueverifierar servern giltigheten och tillförlitligheten i klientcertifikatkedjan men utför inte åtkomstkontrollkontroller.

Konfigurera SMB-klienten

Samla in SMB-klientcertifikatinformationen

Så här samlar du in din klientcertifikatshash med Hjälp av PowerShell:

1. Öppna en upphöjd PowerShell-prompt på SMB-klienten.

2. Visa en lista över certifikaten i klientens certifikatarkiv genom att köra följande kommando.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Kör följande kommando för att lagra certifikatet i en variabel. Ersätt <subject name> med certifikatets ämnesnamn som du vill använda.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Anteckna klientcertifikatets SHA256-hash genom att köra följande kommando. Du behöver den här identifieraren när du konfigurerar klientåtkomstkontroll.

   $clientCert.GetCertHashString("SHA256")
   

Not

Tumavtrycket som lagras i $clientCert-objektet använder SHA1-algoritmen. Detta används av kommandon som New-SmbClientCertificateMapping. Du behöver också SHA256-tumavtrycket för att konfigurera klientåtkomstkontroll. Dessa tumavtryck kommer att vara olika härledda med olika algoritmer mot samma certifikat.

Mappa klientcertifikatet till SMB-klienten

Så här mappar du klientcertifikatet till SMB-klienten:

1. Öppna en upphöjd PowerShell-prompt på SMB-klienten.

2. Kör kommandot New-SmbClientCertificateMapping för att mappa klientcertifikatet. Ersätt <namespace> med SMB-serverns fullständigt kvalificerade domännamn (FQDN) och använd tumavtrycket för SHA1-klientcertifikatet som du samlade in i föregående avsnitt med hjälp av variabeln .

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

När det är klart används klientcertifikatet av SMB-klienten för att autentisera till den SMB-server som matchar FQDN.

Testa kartläggningsanslutning

Kör ett anslutningstest genom att mappa till en delad resurs för din server eller klientenhet. Utför detta genom att köra något av följande kommandon:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Eller

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Om du får ett felmeddelande som anger att åtkomst nekades av servern är du redo att gå vidare till nästa steg eftersom detta verifierar att servercertifikatmappningen och klientcertifikatmappningen har konfigurerats.

Konfigurera klientåtkomstkontroll

Bevilja enskilda klienter

Följ stegen för att bevilja en specifik klientåtkomst till SMB-servern med hjälp av klientåtkomstkontroll.

1. Logga in på SMB-servern.

2. Öppna en upphöjd PowerShell-fråga på SMB-servern.

3. Kör Grant-SmbClientAccessToServer för att bevilja åtkomst till klientcertifikatet. Ersätt <name> med SMB-serverns värdnamn och <hash> med sha256-klientcertifikatidentifieraren som du samlade in i avsnittet Samla in SMB-klientcertifikatinformationen.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Nu har du beviljat åtkomst till klientcertifikatet. Du kan verifiera åtkomsten till klientcertifikatet genom att köra cmdleten Get-SmbClientAccessToServer.

Bevilja specifika certifikatutfärdare

Följ stegen för att bevilja klienter från en specifik certifikatutfärdare, även kallad utfärdare, med hjälp av klientåtkomstkontroll.

1. Logga in på SMB-servern.

2. Öppna en upphöjd PowerShell-fråga på SMB-servern.

3. Kör Grant-SmbClientAccessToServer för att bevilja åtkomst till klientcertifikatet. Ersätt <name> med SMB-serverns värdnamn och <subject name> med det fullständiga X.500-unika namnet på utfärdarcertifikatet. Till exempel CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

När det här steget är klart kör du cmdleten New-SmbMapping som anges i Testa mappningsanslutningen, eftersom en andra körning rekommenderas för att kontrollera att klientåtkomstkontrollen har konfigurerats korrekt.

Granska händelseloggar

Vissa händelser, till exempel åtkomst tillåten och nekad åtkomst, registreras i felsökningssyfte. Dessa händelser ger information om klientcertifikaten (exklusive rotcertifikatet) som ämne, utfärdare, serienummer, SHA1- och SHA256-hash och de åtkomstkontrollposter som gäller för dessa certifikat. Dessa händelser visar ett anslutnings-ID. Det här ID:t visas i vissa klientanslutningshändelser, vilket gör att administratören enkelt kan matcha servern med klienten som försökte upprätta anslutningen.

Granskning av dessa händelser är inaktiverade som standard och kan aktiveras genom att köra följande kommando:

Set-SmbServerConfiguration -AuditClientCertificateAccess $true

När de här händelserna har aktiverats registreras de i Loggboken i följande sökvägar:

Stig	Händelse-ID
Program- och tjänstloggar\Microsoft\Windows\SMBServer\Audit	3007 3008 3009
Program- och tjänstloggar\Microsoft\Windows\SMBClient\Connectivity	30831

Relaterat innehåll

• SMB över QUIC
• Storage på Microsofts blogg
• SmbShare-modulreferens
• QUIC-arbetsgrupps hemsida
• Startsidan för Microsoft MsQuic GitHub
• QUIC Wikipedia
• startsidan för TLS 1.3-arbetsgruppen