Поделиться через

Настройка SMB через управление доступом клиента QUIC в Windows Server 2022 Azure Edition и Windows Server Insider (предварительная версия)

  • Статья

Внимание

Сборки программы предварительной оценки Windows и Windows Server Insider находятся в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Управление доступом клиента SMB через QUIC позволяет ограничить доступ клиентов к SMB через СЕРВЕРЫ QUIC. Управление доступом клиента создает списки разрешений и блокировок для устройств, которые будут подключаться к файловом серверу. Управление доступом клиентов обеспечивает организациям большую защиту, не изменяя проверку подлинности, используемую при подключении SMB, и не изменяет взаимодействие с конечным пользователем.

В этой статье объясняется, как использовать PowerShell для настройки управления доступом клиентов для SMB через QUIC в Windows 11 и Windows Server 2022 Datacenter: Azure Edition. Чтобы продолжить работу с инструкциями, необходимо установить KB5035853 обновления марта или KB5035857, запустить последнюю сборку программы предварительной оценки Windows 11 или сборку программы предварительной оценки Windows Server.

Дополнительные сведения о настройке SMB через QUIC см. в статье SMB over QUIC.

Как работает управление доступом клиента

Контроль доступа клиента проверяет, что клиенты, подключающиеся к серверу, используют известный сертификат клиента или имеют сертификат, выданный общим корневым сертификатом. Администратор выдает этот сертификат клиенту и добавляет хэш в список разрешений, поддерживаемый сервером. Когда клиент пытается подключиться к серверу, сервер сравнивает сертификат клиента с списком разрешений. Если сертификат действителен, сертификат сервера создает туннель TLS 1.3, зашифрованный через порт UDP 443, и предоставляет клиенту доступ к общей папке. Управление доступом клиентов также поддерживает сертификаты с альтернативными именами субъектов.

Вы также можете настроить SMB через QUIC для блокировки доступа, отменив сертификаты или явно запретив доступ к определенным устройствам.

Примечание.

Рекомендуется использовать SMB через QUIC с доменами Active Directory, однако это не обязательно. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM.

Необходимые компоненты

Прежде чем настроить управление доступом клиента, вам потребуется сервер SMB со следующими предварительными условиями.

Внимание

После установки KB5035857 необходимо включить эту функцию в групповой политике:

  1. Нажмите кнопку "Пуск", введите gpedit и выберите "Изменить групповую политику".
  2. Перейдите к разделу "Конфигурация компьютера\Административные шаблоны\KB5035857 240302_030531 Предварительная версия компонентов\Windows Server 2022".
  3. Откройте политику предварительного просмотра компонентов KB5035857 240302_030531 и выберите "Включено".

Вам также нужен клиент SMB со следующими предварительными условиями.

  • Клиент SMB, работающий в одной из следующих операционных систем:
  • Сертификат клиента, который:
    • Выдано для проверки подлинности клиента (EKU 1.3.6.1.5.5.7.3.2).
    • Выдан доверенным сервером SMB центром сертификации.
    • Устанавливается в хранилище сертификатов клиента.
  • Права администратора для настраиваемого сервера SMB.

Внимание

После установки KB5035854 необходимо включить эту функцию в групповой политике:

  1. Нажмите кнопку "Пуск", введите gpedit и выберите "Изменить групповую политику".
  2. Перейдите к разделу "Конфигурация компьютера\Административные шаблоны\KB5035854 240302_030535 Предварительная версия компонентов\Windows 11 (исходный выпуск)".
  3. Откройте политику предварительного просмотра компонентов KB5035854 240302_030535 и выберите "Включено".

Настройка клиента SMB

Сбор сведений о сертификате клиента SMB

Чтобы собрать хэш сертификата клиента с помощью PowerShell:

  1. Откройте запрос PowerShell с повышенными привилегиями на клиенте SMB.

  2. Выведите список сертификатов в хранилище сертификатов клиента, выполнив следующую команду.

    Get-ChildItem -Path Cert:\LocalMachine\My

  3. Выполните следующую команду, чтобы сохранить сертификат в переменной. Замените <subject name> именем субъекта сертификата, который вы хотите использовать.

    $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}

  4. Запишите хэш сертификата клиента SHA256, выполнив следующую команду. Этот идентификатор требуется при настройке управления доступом клиента.

    $clientCert.GetCertHashString("SHA256")

Примечание.

Отпечаток, хранящийся в объекте $clientCert , использует алгоритм SHA1. Это используется такими командами, как New-SmbClientCertificateMapping. Вам также потребуется отпечаток SHA256 для настройки управления доступом клиента, эти отпечатки будут отличаться с использованием различных алгоритмов для одного и того же сертификата.

Сопоставление сертификата клиента с клиентом SMB

Чтобы сопоставить сертификат клиента с клиентом SMB, выполните следующие действия.

  1. Откройте запрос PowerShell с повышенными привилегиями на клиенте SMB.

  2. New-SmbClientCertificateMapping Выполните команду, чтобы сопоставить сертификат клиента. Замените <namespace> полное доменное имя сервера SMB и используйте отпечаток сертификата клиента SHA1, собранный в предыдущем разделе с помощью переменной.

    New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My

После завершения сертификат клиента используется клиентом SMB для проверки подлинности на сервере SMB, который соответствует полному доменному имени.

Настройка управления доступом клиента

Предоставление отдельных клиентов

Выполните действия, чтобы предоставить определенный клиентский доступ к серверу SMB с помощью управления доступом клиента.

  1. Войдите на сервер SMB.

  2. Откройте запрос PowerShell с повышенными привилегиями на сервере SMB.

  3. Grant-SmbClientAccessToServer Запустите сертификат клиента, чтобы предоставить доступ к сертификату клиента. Замените <name> именем узла сервера SMB и <hash> идентификатором сертификата клиента SHA256, собранным в разделе "Сбор сведений о сертификате клиента SMB".

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>

Теперь вы предоставили доступ к сертификату клиента. Чтобы проверить доступ к сертификату клиента, выполните Get-SmbClientAccessToServer команду.

Предоставление определенных центров сертификации

Выполните действия, чтобы предоставить клиентам определенный центр сертификации, также известный как издатель, с помощью управления доступом клиентов.

  1. Войдите на сервер SMB.

  2. Откройте запрос PowerShell с повышенными привилегиями на сервере SMB.

  3. Grant-SmbClientAccessToServer Запустите сертификат клиента, чтобы предоставить доступ к сертификату клиента. Замените <name> именем узла сервера SMB и <subject name> полным именем сертификата издателя X.500. Например, CN=Contoso CA, DC=Contoso, DC=com.

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"

Отключение SMB через QUIC

Начиная с сборки предварительной оценки Windows 11 26090 администраторы теперь могут отключить SMB через QUIC для клиента, выполнив следующую команду:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Аналогичным образом эта операция может выполняться в групповой политике, отключив политику Enable SMB over QUIC в следующем пути:

  • Конфигурация компьютера\Административные шаблоны\Сетевая\Рабочая станция Lanman

Подключение к серверу SMB

По завершении проверьте, можно ли подключиться к серверу, выполнив одну из следующих команд:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Or

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Если вы можете подключиться к серверу, вы успешно настроили SMB через QUIC с помощью управления доступом клиента.

Связанный контент