في هذا السياق يبدو الشركات الصغيرة والمتوسطة على منصة QUICيُعدّ QUIC نوعًا حديثًا من شبكات VPN الخاصة بـ SMB، حيث يدمج بروتوكول مشاركة الملفات الكلاسيكي لنظام Windows ضمن QUIC، مستخدمًا تشفير TLS 1.3 وقدرةً محسّنةً على التعامل مع الشبكات غير الموثوقة، مما يُغيّر جذريًا طريقة وصولنا إلى الموارد المشتركة عبر الإنترنت. ستتعرف في هذه المقالة، بتفصيلٍ وافٍ، على كيفية عمله، وما تحتاجه لإعداده، وكيفية إدارته، وكيفية تعزيز أمان بيئتك.
ما هو بروتوكول SMB عبر QUIC ولماذا يغير قواعد اللعبة؟
الشركات الصغيرة والمتوسطة على منصة QUIC إنها تطور نقل SMB الذي يحل محل TCP 445 الكلاسيكي بـ QUIC عبر UDP 443. بدلاً من تعريض منفذ SMB التقليدي للإنترنت، يتم إنشاء نفق آمن باستخدام TLS 1.3 فوق QUIC، بحيث يتم تشفير جميع الحزم والتحقق منها دائمًا منذ البداية.
يوفر بروتوكول QUIC، الذي تم توحيده من قبل IETF، مزايا واضحة للغاية مقارنة ببروتوكول TCPالتشفير إلزامي في جميع الحزم، ويستخدم بروتوكول المصافحة TLS 1.3 المصادق عليه، ويسمح بتدفقات متوازية موثوقة وغير موثوقة على نفس الاتصال، ويرسل بيانات التطبيق في 0-RTT لتقليل زمن الاستجابة الأولي، ويحسن التحكم في الازدحام واستعادة الانقطاع، ويدعم تغييرات IP أو المنفذ دون إسقاط الجلسة.
عندما نستخدم ملفات SMB داخل نفق QUIC هذالا يتم كشف حركة مرور بروتوكول SMB - بما في ذلك المصادقة والترخيص والبيانات - كنص عادي للشبكة الأساسية. يرى العميل مشاركة SMB قياسية، مع إمكانية الوصول متعدد القنوات، والتوقيع، والضغط، والتوافر العالي، وتأجير الدليل، وغيرها من الميزات الشائعة، ولكن كل شيء ينتقل مغلفًا ومشفرًا عبر منفذ UDP 443، وهو أكثر توافقًا مع جدران الحماية والشبكات العامة.
في الممارسة العملية، يوفر SMB عبر QUIC شبكة افتراضية خاصة بالملفات صُمم هذا النظام خصيصاً للعاملين عن بُعد، والأجهزة المحمولة، والفروع، والمؤسسات ذات المتطلبات الأمنية العالية. يعمل المستخدم تماماً كما لو كان متصلاً بالشبكة الداخلية، ولكن دون الحاجة إلى إعداد شبكة VPN عامة ودون فتح المنفذ 445 للاتصال الخارجي.
نقطة مهمة: لا يتم تفعيل بروتوكول SMB عبر QUIC تلقائيًايجب على المسؤول تفعيل هذه الميزة على خادم الملفات. لا تزال عملاء SMB على نظام ويندوز تستخدم بروتوكول TCP افتراضيًا، ولا تحاول استخدام QUIC إلا إذا فشل الوصول عبر TCP أولًا، أو إذا تم فرض النقل صراحةً باستخدام أوامر مثل NET USE /TRANSPORT:QUIC أو New-SmbMapping -TransportType QUIC.
المتطلبات الأساسية لنشر بروتوكول SMB على QUIC
قبل تفعيل أي شيء، عليك التحقق من متطلبات البنية التحتية الأساسيةالأمر ليس معقداً بشكل خاص، لكن من الجيد فهمه بوضوح لتجنب الأخطاء السخيفة في الإنتاج.
إلى خادم SMBيجب تشغيل إصدار يدعم بروتوكول QUIC، مثل Windows Server 2022 Datacenter: Azure Edition أو إصدار أحدث، وتهيئته كخادم ملفات طرفي أو ما شابه. ويمكن استخدامه أيضًا في بيئات Azure المحلية وعلى الإصدارات المستقبلية مثل Windows Server 2025.
على جانب ال زبونيُشترط استخدام نظام التشغيل Windows 11 Enterprise Edition، حيث صُممت إمكانيات بروتوكول SMB عبر QUIC خصيصًا لبيئات الشركات. يجب أن يكون الجهاز قادرًا على تحديد اسم الخادم العام عبر نظام أسماء النطاقات (DNS)، أو في حال تعذر ذلك، يجب أن يكون مُعرّفًا في ملف HOSTS الخاص به.
فيما يتعلق بالهوية، فإن السيناريو الموصى به هو أن تم ربط خادم SMB والعميل بمجال Active Directoryيجب أن يكون الخادم قادراً على الاتصال بوحدة تحكم مجال واحدة على الأقل للمصادقة، مع العلم أن هذه الوحدات لا تحتاج إلى اتصال بالإنترنت. كما يدعم النظام تكوينات مجموعات العمل التي تستخدم حسابات محلية وحسابات NTLM، بالإضافة إلى الخوادم المنضمة إلى خدمة Microsoft Azure IaaS، ولكن مع بعض القيود على عمليات الأمان عن بُعد.
فيما يتعلق بالاتصال، يجب أن يكون الخادم يمكن الوصول إليه من الإنترنت عبر واجهته العامةمع وجود قاعدة جدار حماية تسمح بحركة مرور UDP/443 الواردة. من الضروري عدم كشف منفذ TCP 445 من الإنترنت؛ إذا كنت بحاجة إلى منافذ بديلة، تسمح لك مايكروسوفت بتغيير إعدادات منفذ SMB، ولكن المبدأ العام هو: UDP 443 مسموح، TCP 445 ممنوع.
بالنسبة لخطة السلامة، أ البنية التحتية للمفتاح العام (PKI) يُصدر هذا النظام شهادات صالحة لخادم QUIC. يمكن أن يكون هذا النظام من خدمات شهادات Active Directory أو جهة خارجية موثوقة (مثل DigiCert أو GlobalSign أو Let's Encrypt مع الملف التعريفي المناسب، إلخ). وبالطبع، يجب أن يتمتع المسؤول الذي سيُهيئ بروتوكول SMB على خادم QUIC بصلاحيات إدارية كاملة على الخادم.
تثبيت شهادة الخادم وإعدادها
جوهر الأمن في SMB عبر QUIC هو شهادة TLS للخادمبدون شهادة صادرة ومثبتة بشكل صحيح، لن يتم إنشاء نفق QUIC بشكل صحيح ولن يثق العميل في الاتصال.
يجب أن تستوفي تلك الشهادة عدة معايير متطلبات فنية محددةيتطلب ذلك استخدام مفتاح التوقيع الرقمي، ومصادقة الخادم (EKU 1.3.6.1.5.5.7.3.1)، وخوارزمية توقيع لا تقل عن SHA256RSA، أو تجزئة SHA256 أو أعلى، ومفتاح عام يُفضل أن يكون ECDSA_P256 (مع العلم أن RSA بحد أدنى 2048 بت مدعوم). بالإضافة إلى ذلك، يجب أن يحتوي اسم الموضوع البديل (SAN) على جميع إدخالات نظام أسماء النطاقات (DNS) الكاملة التي ستُستخدم للوصول إلى خادم SMB.
يجب أن تتضمن الشهادة ما يلي: المفتاح الخاص المرتبط ويجب أن تصدر الشهادة من جهة موثوقة لدى العملاء. يمكن أن يكون حقل الاسم الشائع (CN) للجهة المصدرة مرنًا، ولكن يجب أن تكون سلسلة الثقة صحيحة وكاملة. في بيئات تستخدم مرجع مصدق (CA) تابعًا لشركة مايكروسوفت، من الممارسات الشائعة إنشاء قالب خاص لبروتوكول SMB عبر QUIC، والسماح للمسؤولين بتحديد أسماء نطاقات DNS عند طلب الشهادة.
في سيناريوهات استخدام Microsoft Enterprise CA، تتضمن العملية النموذجية فتح وحدة تحكم إدارة Microsoft (MMC) على الخادم، وإضافة وحدة إدارة الشهادات لحساب الفريق، وفي متجر الشهادات الشخصية، تشغيل طلب الحصول على شهادة جديدةيتم اختيار سياسة تسجيل Active Directory، ويتم تحديد القالب المناسب، ويتم ملء حقلي الموضوع و SAN بأسماء DNS التي سيستخدمها العملاء.
بمجرد اكتمال التسجيل، ستظهر الشهادة في متجر المعدات المحلي. ومن تلك اللحظة فصاعدًا، يمكن استخدامها في كليهما الشركات الصغيرة والمتوسطة على منصة QUIC وكذلك في الوظائف التكميلية مثل وكيل KDC إذا تقرر تنفيذه لاحقًا.
تكوين SMB عبر QUIC على الخادم
بمجرد تجهيز الشهادة، حان الوقت لـ تفعيل وتكوين بروتوكول SMB عبر QUICتتيح لك مايكروسوفت القيام بذلك إما من مركز إدارة ويندوز (WAC) أو من خلال PowerShell، وذلك حسب تفضيلاتك وإصدار النظام.
بتفعيل هذه الميزة، يقوم الخادم بربط تم اختيار شهادة TLS لنقطة نهاية QUIC والذي سيستمع على UDP 443. من تلك اللحظة فصاعدًا، سيتمكن العملاء القادرون على استخدام SMB عبر QUIC من إنشاء نفق مشفر إلى الخادم طالما أنهم يحللون اسم DNS الخاص بالشهادة ويمكنهم الوصول إلى المنفذ 443/UDP.
يحتوي مركز إدارة ويندوز عادةً على زر "تكوين" أو زر مشابه لبروتوكول SMB على QUIC. ومع ذلك، توجد حالات مُبلغ عنها يكون فيها الزر غير مستجيب، وعادةً ما يكون ذلك بسبب إصدارات قديمة من WAC، أو ملحقات معطلة، أو متطلبات غير مستوفاة (على سبيل المثال، قد لا يكون الجهاز إصدار Azure، أو قد تكون الأدوار مفقودة، أو قد تكون الشهادة غير صالحة.) في هذه الحالات، يوصى بالتحقق من الإصدارات، والتأكد من أن الخادم يفي بالمتطلبات، وإذا لزم الأمر، المتابعة في التكوين عبر PowerShell.
بالإضافة إلى التكوين الأساسي، من الممكن تُطبق سياسات الوصول للحد من العملاء الذين يمكنهم استخدام QUIC، قم بدمجه مع Azure Automanage لإدارة الشهادات ومراقبة حالة التكوين، وقم بربطه بميزات متقدمة أخرى مثل التحكم في وصول العميل ووكيل KDC.
ربط العملاء بموارد SMB المشتركة عبر QUIC
بالنسبة للمستخدم النهائي، تكمن الفكرة في أن يكون الوصول سهلاً قدر الإمكان. شفاف ومألوف هذا ممكن، كما لو كان ضمن شبكة الشركة. ومع ذلك، هناك عدة نقاط تكوين ينبغي مراجعتها.
الخطوة الأولى هي ربط جهاز Windows 11 بالمجال (إن أمكن) والتأكد من أن أسماء نظام أسماء النطاقات (DNS) للخادم المحدد في اسم المجال البديل (SAN) للشهادة تتوافق هذه مع إدخالات صحيحة في نظام أسماء النطاقات (DNS) أو ملف HOSTS. من خارج الشبكة الداخلية، لن يتمكن العميل من رؤية عناوين IP الخاصة، لذا يجب استخدام الاسم الخارجي المنشور، أو بدلاً من ذلك، استخدم OneDrive لمشاركة الملفات في الحالات التي لا يكون فيها نشر ملفات SMBs ممكناً.
عند إجراء الاختبار، يُنصح بنقل المعدات إلى شبكة خارجية لا يوجد فيها وصول مباشر إلى النطاق أو عناوين IP الداخليةوهذا يؤكد أن الوصول يتم بالفعل من خلال QUIC وليس عبر مسار الشبكة المحلية التقليدي.
من مستكشف ملفات ويندوز، يمكنك كتابة مسار UNC للمورد المشترك، مثل \\fsedge1.contoso.com\ventas، والتأكد من إمكانية الوصول إليه دون مشاكل. إذا كنت ترغب في فرض استخدام QUIC بشكل صريح، يمكنك استخدام أوامر مثل استخدام الشبكة / النقل: سريع o إنشاء تعيين SMB جديد - نوع النقل QUIC، مما يشير إلى مسار UNC المطلوب.
على سبيل المثال، يمكن لأمر الربط أن يحاول أولاً استخدام بروتوكول TCP، وإذا فشل ذلك، ينتقل إلى بروتوكول QUIC، أو يمكن حصره حصرياً على بروتوكول QUIC. كما أن الأمر New-SmbMapping يجعل هذا الأمر بسيطاً. تخصيص أحرف محركات الأقراص الوصول إلى الموارد البعيدة، وهو أمر مريح للغاية للمستخدم الذي اعتاد العمل مع محركات الأقراص الشبكية التقليدية.
التدقيق والإدارة للشركات الصغيرة والمتوسطة من خلال QUIC
بمجرد أن يصبح بروتوكول SMB عبر QUIC جاهزًا للتشغيل، يصبح من الضروري أن يكون إمكانية معرفة من يتصل، وكيف، ومن أينولتحقيق ذلك، قامت مايكروسوفت بدمج إمكانيات التدقيق على جانبي العميل والخادم.
في نظام التشغيل Windows 11 (بدءًا من الإصدار 24H2)، يتضمن عميل SMB أحداثًا خاصة بنقل QUIC. يتيح لك عارض الأحداث عرض هذه السجلات في المسار التالي: سجلات التطبيقات والخدمات\Microsoft\Windows\SMBClient\الاتصال، حيث يتم إنشاء أحداث مثل المعرف 30832 المتعلقة باتصالات SMB عبر QUIC.
على خادم SMB، يمكنك تفعيل تدقيق أكثر تفصيلاً عن طريق تشغيل Set-SmbServerConfiguration -AuditClientCertificateAccess $trueمنذ تلك اللحظة فصاعدًا، تُظهر سجلات التطبيقات والخدمات\Microsoft\Windows\SMBServer\Audit أحداثًا تُبلغ عما إذا كان الوصول مسموحًا به أم مرفوضًا، بما في ذلك بيانات شهادة العميل (الموضوع، والجهة المصدرة، والرقم التسلسلي، وتجزئة SHA1 وSHA256) وقواعد التحكم في الوصول التي تم تطبيقها.
تتضمن هذه الفعاليات ما يلي: معرّف الاتصال وهذا يجعل من السهل ربط ما يُرى على جهاز العميل بما يتم تسجيله على الخادم، مما يبسط بشكل كبير مهام استكشاف الأخطاء وإصلاحها عندما يحدث خطأ ما أو عندما تريد مراجعة سلوك مشبوه.
استخدام وكيل KDC اختياري للحفاظ على Kerberos
بحسب التصميم، عندما يتصل عميل من الإنترنت بـ خادم SMB على QUICلا يمتلك عادةً وصولاً مباشراً إلى وحدات تحكم مجال Active Directory. في هذه الحالة، يميل التوثيق إلى الرجوع إلى NTLMv2، حيث يقوم خادم الملفات بالتوثيق نيابةً عن العميل، دائماً داخل نفق QUIC المشفر باستخدام TLS 1.3.
على الرغم من أن بروتوكول NTLMv2 محمي داخل النفق ولا يخرج إلى الشبكة كنص عادي، إلا أن ممارسات الأمان الجيدة توصي بذلك. استمر في استخدام Kerberos تجنب قدر الإمكان إنشاء تبعيات جديدة لبروتوكول NTLMv2. وهنا يأتي دور وكيل KDC، حيث يقوم بإعادة توجيه طلبات تذاكر Kerberos نيابةً عن المستخدم عبر قناة HTTPS متوافقة مع الإنترنت.
لتكوينه، يتم أولاً إنشاء ما يلي على خادم الملفات: حجز عناوين URL لخدمة البروكسي باستخدام NETSH، يتم تعديل قيم سجل خدمة KPSSVC للسماح بنوع المصادقة المطلوب، ويتم ربط بصمة شهادة SMB عبر QUIC بنقطة نهاية HTTPS 0.0.0.0:443 باستخدام Add-NetIPHttpsCertBinding.
نحتاج أيضًا إلى إضافة أسماء بديلة لخادم SMB عبر QUIC، مثل SPN في Active Directory، على سبيل المثال باستخدام NETDOM، حتى يتمكن الخادم من تمثيل هوية الخدمة بشكل صحيح في Kerberos. وأخيرًا، يتم ضبط خدمة وكيل KDC على التشغيل التلقائي وتشغيلها.
من جانب العميل، يتم تكوين سياسة المجموعة في تكوين الكمبيوتر\قوالب الإدارة\النظام\Kerberos\تحديد خوادم وكيل KDC لعملاء Kerberos، حيث يتم ربط النطاق الداخلي (مثل corp.contoso.com) بعنوان URL الخارجي لبروتوكول HTTPS لخادم QUIC (مثل https fsedge1.contoso.com:443:kdcproxy/). بهذه الطريقة، يعرف العميل أنه إذا اتصل مستخدم من هذا النطاق بخادم ملفات منشور خارجيًا، فيجب عليه استخدم خادم KDC الوكيل للحصول على التذاكر.
إدارة دورة حياة الشهادات في الشركات الصغيرة والمتوسطة على منصة QUIC
لا تدوم الشهادات إلى الأبد، وفي حالة الشركات الصغيرة والمتوسطة على منصة QUICيُضفي كل تجديد بصمة رقمية جديدة. حتى مع استخدام آليات التجديد التلقائي مع خدمات شهادات Active Directory، فإن تغيير البصمة يستلزم تحديث تعيين الشهادة في إعدادات QUIC.
عندما توشك الشهادة على الانتهاء أو عند تجديدها، يجب عليك أعد تحديد الشهادة في مركز إدارة ويندوز بالنسبة للإعدادات الحالية، أو قم بتشغيل أمر PowerShell cmdlet Set-SMBServerCertificateMapping مع الإشارة إلى بصمة الشهادة الجديدة. في حال إغفال هذه الخطوة، قد ينقطع اتصال SMB عبر QUIC بشكل غير متوقع.
ولتجنب المفاجآت، توصي مايكروسوفت بدعم هذه الإدارة بأدوات مثل إدارة Azure التلقائية لنظام التشغيل Windows Serverيراقب هذا النظام حالة الشهادات وينبه إلى المشكلات (أو حتى يصححها) قبل حدوث انقطاع في الخدمة. وهذا يُحدث فرقًا كبيرًا في بيئات الوصول عن بُعد عالية التوفر والحساسة.
التحكم في وصول العملاء باستخدام الشهادات
بالإضافة إلى المصادقة البسيطة، يمكن تطبيق بروتوكول SMB عبر QUIC أيضًا التحكم في الوصول المستند إلى شهادة العميلإنها طبقة أمان إضافية تقيد الأجهزة التي يمكنها إنشاء نفق QUIC مع الخادم، حتى لو كانت تعرف بيانات الاعتماد.
تتم العملية على النحو التالي: يطلب الخادم من العميل تقديم سلسلة شهادات صالحة وموثوقةمن تلك السلسلة، يتم فحص قائمة التحكم في الوصول التي قد تحتوي على إدخالات الأذونات أو الحظر، سواء للشهادات المحددة (التي يتم تحديدها بواسطة تجزئة SHA256 الخاصة بها) أو للجهات المصدرة الكاملة (الشهادات الوسيطة أو الجذرية).
لكي ينجح هذا، يتم أولاً تفعيل شرط مصادقة العميل باستخدام Set-SmbServerCertificateMapping -RequireClientAuthentication $trueبعد ذلك، يبدأ تسجيل شهادات العميل المسموح بها أو المحظورة باستخدام أوامر cmdlets مثل Grant-SmbClientAccessToServer و Revoke-SmbClientAccessToServer و Block-SmbClientAccessToServer و Unblock-SmbClientAccessToServer.
يسمح هذا النموذج، على سبيل المثال، تفويض هيئة تنظيمية كاملة للشركة وفي الوقت نفسه، يمكن منع الوصول إلى شهادة معينة يُعتقد أنها مخترقة. أو العكس: حظر جهة إصدار الشهادات بالكامل مع السماح بشهادة فردية محددة للغاية. قواعد الرفض لها الأولوية على قواعد السماح، مما يساعد على الحد من المخاطر.
من وجهة نظر العميل، يكفي الحصول على شهادة صادرة لمصادقة العميل مثبتة في متجره المحلي (وحدة التحكم الإلكترونية 1.3.6.1.5.5.7.3.2) بواسطة جهة مصدقة موثوقة من قبل الخادم. يمكن للمسؤول استرداد بصمة الشهادة أو موضوعها من خلال PowerShell (باستخدام الأمر Get-ChildItem Cert:\LocalMachine\My، مع إمكانية التصفية حسب الموضوع، إلخ) واستخدامها لاحقًا لتكوين قائمة الوصول على الخادم.
اختبار الاتصال واستكشاف الأخطاء وإصلاحها
من الممارسات الجيدة عند تطبيق بروتوكول SMB على QUIC اتباع سلسلة من الخطوات التالية: الاختبارات الخاضعة للرقابة قبل فتحه لجميع أفراد المؤسسة. بهذه الطريقة، يتم اكتشاف مشاكل الشهادات أو نظام أسماء النطاقات أو جدار الحماية مبكراً، ويمكن الرجوع إلى الأدلة عند الضرورة. استكشاف مشكلات الوصول إلى الملفات وإصلاحها.
من جانب العميل، يمكنك البدء بتعيين صريح باستخدام الأمر `NET USE \\server\resource /TRANSPORT:QUIC` أو `New-SmbMapping -RemotePath \\server\resource -TransportType QUIC`. إذا تلقيت رسالة تفيد بأن الخادم قد رفض الوصول بدلاً من الاتصال، فربما يكون السبب هو... يتم الآن تخصيص الشهادات واستقبال نفق QUIC.ومع ذلك، يجب تكوين التحكم في وصول العميل أو مراجعة الأذونات.
بالتوازي مع ذلك، من المهم مراجعة سجلات أحداث اتصال العميل وتدقيق الخادم كما سبق ذكره. ستجد هناك المحاولات الناجحة والفاشلة، مع معلومات تفصيلية حول سلسلة الشهادات والقواعد التي تم تطبيقها في كل حالة.
يُنصح أيضًا بالتحقق من الخادم أن قواعد جدار الحماية تسمح هذه الآلية بدخول UDP 443 و TCP 443 في الحالات التي يتم فيها استخدام وكيل KDC أو خدمات HTTPS الأخرى المرتبطة به، وأن TCP 445 لم يتم الكشف عنه عن طريق الخطأ للإنترنت.
أفضل الممارسات لتقسيم وعزل حركة مرور الشركات الصغيرة والمتوسطة
على الرغم من أن بروتوكول SMB عبر QUIC يوفر حماية قوية لحركة الملفات عبر الإنترنت، إلا أنه لا يزال من المستحسن تنفيذ تقنيات التجزئة والعزل لتقليل مساحة الهجوم بين الأجهزة على الشبكة.
أحد المبادئ التوجيهية الأساسية هو حظر منفذ TCP الوارد رقم 445 من الإنترنت على جدران الحماية المحيطية. إذا كنت بحاجة إلى عرض موارد الملفات على المحيط، فإن الخيار الآمن هو نشرها باستخدام SMB عبر QUIC على منفذ UDP 443، وليس عن طريق فتح اتصال SMB تقليدي مباشرةً.
في المقابل، يمنع حظر منفذ TCP الصادر رقم 445 إلى الإنترنت أجهزة الكمبيوتر الداخلية من إرسال بيانات SMB إلى خوادم خارجية غير خاضعة للرقابة. هذا يحدث فقط في حالات محددة للغاية مثل ملفات Azure أو Office 365 قد يكون من الضروري السماح بحركة البيانات هذه، وحتى في هذه الحالة يوصى بتوجيهها عبر شبكات VPN أو قواعد صارمة للغاية حسب نطاقات IP.
في الشبكات التي تضم العديد من الأجهزة، يجدر القيام بـ جرد الاستخدام الفعلي للشركات الصغيرة والمتوسطةيتضمن ذلك تحليل الخوادم التي تحتاج فعليًا إلى بروتوكول SMB الوارد، والعملاء الذين يحتاجون إلى مشاركة الملفات، والشبكات الفرعية التي يتم الوصول منها إلى كل خادم. يمكن استخدام أدوات مثل Get-FileShareInfo لهذا الغرض، بالإضافة إلى تمكين عمليات تدقيق مشاركة الملفات لفترة محدودة لمراقبة الموارد المستخدمة.
بناءً على هذا التحليل، يمكن تصميم قواعد جدار الحماية الواردة والصادرة بشكل أكثر دقة، مما يحجب حركة مرور SMB غير الضرورية ويحد من الحركات الجانبية من مهاجم محتمل داخل الشبكة.
تعزيز الحماية باستخدام جدار حماية Windows Defender و IPsec
يعمل جدار حماية Windows Defender المزود بأمان متقدم كـ خط الدفاع الثاني فيما يتعلق بحركة مرور SMB. يمكن إنشاء قواعد لحظر الاتصالات الواردة والصادرة افتراضيًا، والسماح فقط بالاستثناءات الضرورية لوحدات تحكم المجال وخوادم الملفات والخدمات الحيوية.
تتمثل إحدى الاستراتيجيات الشائعة في تحديد قواعد صادرة تمنع استخدام بروتوكول SMB إلى أي وجهة باستثناء وجهة واحدة. قائمة السماح استنادًا إلى عناوين IP أو أسماء النطاقات، مع تفعيل خيار "السماح بالاتصال إذا كان آمنًا". يمكن تخصيص هذا الخيار لاستخدام مصادقة Kerberos وتغليف البيانات الفارغة في بروتوكول IPsec، مما يُلزم فقط مستخدمي النطاق وأجهزة الكمبيوتر المصرح لهم بالاستفادة من هذه الاستثناءات.
لكي ينجح هذا النهج، من الضروري إنشاء قواعد أمان الاتصال على جميع الأجهزة المعنية، بحيث تستند استثناءات جدار الحماية إلى بروتوكول IPsec. وإلا، فقد يصبح الحظر عشوائيًا أو غير متسق.
في الإصدارات الحديثة مثل Windows 11 24H2 وWindows Server 2025، قامت مايكروسوفت بتعديل قواعد جدار الحماية المدمجة لمنع فتح المنافذ تلقائيًا. NetBIOS (137-139) عند إنشاء موارد مشتركة من نوع SMB2 أو أعلى، مما يعكس سياسة أكثر صرامة تتماشى مع عمليات النشر الحديثة.
في البيئات التي لم يعد يُعتمد فيها على بروتوكول SMB1، يُوصى به بشدة. أغلق هذه المنافذ القديمةلا ينبغي إعادة فتحها يدويًا إلا في حالات التوافق الاستثنائي، ويفضل تقييد النطاق من خلال قواعد محددة للغاية.
قم بتعطيل خادم SMB حيث لا تكون هناك حاجة إليه
لا يحتاج العديد من عملاء ويندوز وبعض الخوادم على الشبكة فعليًا إلى خدمة خادم SMB إنها نشطة، لأنها لا تشارك الملفات مع أجهزة كمبيوتر أخرى. إن إبقاء الخدمة مفعلة دون داعٍ لا يؤدي إلا إلى توسيع نطاق الهجمات.
قبل تعطيله، يُنصح بالتحقق مما إذا كانت أي تطبيقات أو عمليات تعتمد عليه. بمجرد التحقق، يمكن تعطيل خدمة خادم SMB على أجهزة كمبيوتر محددة، على سبيل المثال باستخدام تفضيلات سياسة المجموعة التي تطبق هذا التكوين بطريقة واسعة النطاق ومضبوطة.
يساعد هذا الإجراء، بالإضافة إلى استخدام بروتوكول SMB عبر QUIC للوصول عن بُعد وقواعد جدار الحماية المُحسّنة، في بناء بنية مشاركة ملفات أكثر قوة بكثيرحيث تقوم العقد التي تحتاج فقط إلى كشف بروتوكول SMB بذلك، وبأكثر الطرق أمانًا الممكنة.
تتيح تقنية SMB عبر بروتوكول QUIC تقديم خدماتها للمستخدمين عن بُعد والفروع والأجهزة المحمولة. الوصول إلى الملفات المشفرةمقاومة للشبكات غير المستقرة وبدون الحاجة إلى شبكات VPN التقليدية، في حين أن أدوات الشهادات والتحكم في وصول العميل ووكيل KDC وجدار الحماية وتقسيم الشبكة توفر البنية التحتية اللازمة لكي تعمل "شبكة VPN للشركات الصغيرة والمتوسطة" هذه بشكل موثوق وبضمانات أمنية في البيئات الحقيقية.
