In questo contesto appare SMB su QUICQuic è una sorta di "VPN SMB" moderna che incapsula il classico protocollo di condivisione file di Windows all'interno di QUIC, utilizzando la crittografia TLS 1.3 e una maggiore tolleranza alle reti inaffidabili, cambiando completamente il modo in cui accediamo alle risorse condivise su Internet. In questo articolo, scoprirete, in modo approfondito, come funziona, cosa vi serve per configurarlo, come gestirlo e come rafforzare ulteriormente la sicurezza del vostro ambiente.
Cos'è SMB su QUIC e perché cambia le regole del gioco?
SMB su QUIC Si tratta dell'evoluzione del trasporto SMB che sostituisce il classico TCP 445 con QUIC su UDP 443. Invece di esporre la tradizionale porta SMB a Internet, viene stabilito un tunnel sicuro con TLS 1.3 su QUIC, in modo che tutti i pacchetti siano sempre crittografati e autenticati fin dall'inizio.
Il protocollo QUIC, standardizzato dall'IETF, offre vantaggi molto chiari rispetto al TCPLa crittografia è obbligatoria in tutti i pacchetti, il protocollo handshake utilizza TLS 1.3 autenticato, consente flussi paralleli affidabili e non affidabili sulla stessa connessione, invia dati applicativi a 0-RTT per ridurre la latenza iniziale, migliora il controllo della congestione e il ripristino delle interruzioni e supporta modifiche di IP o porte senza interrompere la sessione.
Quando usiamo SMB all'interno di questo tunnel QUICIl traffico SMB, inclusi autenticazione, autorizzazione e dati, non viene mai esposto in chiaro alla rete sottostante. Il client vede una condivisione SMB standard, con accesso multicanale, firma, compressione, alta disponibilità, leasing di directory e altre funzionalità comuni, ma tutto viaggia incapsulato e crittografato sulla porta UDP 443, che è molto più compatibile con firewall e reti pubbliche.
In pratica, SMB su QUIC fornisce a VPN specifica per i file Progettato per lavoratori da remoto, dispositivi mobili, filiali e organizzazioni con elevati requisiti di sicurezza. L'utente lavora esattamente come se si trovasse sulla rete interna, ma senza dover configurare una VPN generica e senza dover aprire la porta 445 verso l'esterno.
Un punto importante: SMB su QUIC non si attiva da soloÈ l'amministratore che deve abilitarlo sul file server. I client SMB su Windows utilizzano ancora TCP per impostazione predefinita e tentano QUIC solo se l'accesso TCP fallisce prima o se il trasporto viene forzato esplicitamente con comandi come NET USE /TRANSPORT:QUIC o New-SmbMapping -TransportType QUIC.
Prerequisiti per la distribuzione di SMB su QUIC
Prima di attivare qualsiasi cosa, è necessario controllare il requisiti infrastrutturali di baseNon è particolarmente complicato, ma è comunque una buona idea esserne chiari per evitare stupidi errori in fase di produzione.
per Server SMBÈ necessario eseguire un'edizione che supporti QUIC, come Windows Server 2022 Datacenter: Azure Edition o versione successiva, e configurarla come file server edge o simile. Può essere utilizzata anche in scenari Azure On-premises e su versioni future come Windows Server 2025.
Dalla parte di clienteÈ richiesto Windows 11 Enterprise Edition, poiché le funzionalità SMB su QUIC sono progettate per ambienti aziendali. Il dispositivo deve essere in grado di risolvere il nome pubblico del server tramite DNS o, in mancanza di ciò, deve averlo definito nel suo file HOSTS.
In termini di identità, lo scenario consigliato è che Il server e il client SMB sono uniti a un dominio Active DirectoryIl server deve essere in grado di contattare almeno un controller di dominio per l'autenticazione, sebbene questi controller non necessitino di accesso a Internet. Sono supportate anche configurazioni di gruppi di lavoro con account locali e NTLM, nonché server collegati a Microsoft Azure IaaS, ma con alcune limitazioni sulle operazioni di sicurezza remote.
Per quanto riguarda la connettività, il server deve essere accessibile da Internet tramite la sua interfaccia pubblicacon una regola firewall che consenta il traffico UDP/443 in entrata. È fondamentale non esporre la porta TCP 445 da Internet; se sono necessarie porte alternative, Microsoft consente di modificare le impostazioni della porta SMB, ma la filosofia generale è: UDP 443 sì, TCP 445 no.
Per il piano di sicurezza, un infrastruttura a chiave pubblica (PKI) che rilascia certificati validi per il server QUIC. Può trattarsi di Active Directory Certificate Services o di un'autorità esterna attendibile (DigiCert, GlobalSign, Let's Encrypt con il profilo appropriato, ecc.). E, naturalmente, l'amministratore che configurerà SMB su QUIC deve disporre di privilegi amministrativi sul server.
Installazione e preparazione del certificato del server
Il nucleo della sicurezza in SMB su QUIC è il certificato TLS del serverSenza un certificato correttamente rilasciato e installato, il tunnel QUIC non verrà stabilito correttamente e il client non si fiderà della connessione.
Tale certificato deve soddisfare diversi requisiti tecnici specifici: utilizzo di una chiave di firma digitale, scopo di autenticazione del server (EKU 1.3.6.1.5.5.7.3.1), algoritmo di firma almeno SHA256RSA, hash SHA256 o superiore e chiave pubblica preferibilmente ECDSA_P256 (sebbene sia supportato RSA con un minimo di 2048 bit). Inoltre, il Subject Alternative Name (SAN) deve contenere tutte le voci DNS complete che verranno utilizzate per accedere al server SMB.
Il certificato deve includere il chiave privata associata ed essere rilasciato da un'entità che i clienti considerano affidabile. Il campo CN dell'emittente può essere flessibile, ma la catena di attendibilità deve essere valida e completa. Negli ambienti con una CA aziendale Microsoft, è prassi comune creare un modello specifico per SMB su QUIC e consentire agli amministratori di specificare i nomi DNS al momento della richiesta del certificato.
Negli scenari con Microsoft Enterprise CA, il processo tipico prevede l'apertura di MMC sul server, l'aggiunta dello snap-in del certificato per l'account del team e, nell'archivio personale, l'avvio di un domanda di nuovo certificatoViene scelto il criterio di registrazione di Active Directory, viene selezionato il modello appropriato e i campi Oggetto e SAN vengono compilati con i nomi DNS che i client utilizzeranno.
Una volta completata la registrazione, il certificato apparirà nel negozio di attrezzature locale. Da quel momento in poi, potrà essere utilizzato in entrambi SMB su QUIC nonché in funzioni complementari come il proxy KDC se si decide di implementarlo in seguito.
Configurazione SMB tramite QUIC sul server
Una volta che hai pronto il certificato, è il momento di Attiva e configura SMB su QUICMicrosoft consente di eseguire questa operazione da Windows Admin Center (WAC) o da PowerShell, a seconda delle preferenze e della versione del sistema.
Abilitando la funzionalità, il server associa il Certificato TLS selezionato per l'endpoint QUIC che ascolterà su UDP 443. Da quel momento in poi, i client in grado di utilizzare SMB su QUIC saranno in grado di stabilire un tunnel crittografato verso il server, a condizione che risolvano il nome DNS del certificato e possano raggiungere la porta 443/UDP.
Windows Admin Center solitamente dispone di un pulsante "Configura" o simile per SMB su QUIC. Tuttavia, sono stati segnalati casi in cui il pulsante non risponde, in genere a causa di versioni obsolete di WAC, estensioni non funzionanti o requisiti non soddisfatti (Ad esempio, la macchina potrebbe non essere Azure Edition, potrebbero mancare dei ruoli o il certificato potrebbe non essere valido). In questi casi, si consiglia di controllare le versioni, verificare che il server soddisfi i requisiti e, se necessario, procedere con la configurazione tramite PowerShell.
Oltre alla configurazione base è possibile applicare criteri di accesso per limitare i client che possono utilizzare QUIC, combinarlo con Azure Automanage per gestire i certificati e monitorare lo stato della configurazione e collegarlo ad altre funzionalità avanzate come il controllo dell'accesso client e il proxy KDC.
Connessione dei client alle risorse SMB condivise tramite QUIC
Per l'utente finale, l'idea è che l'accesso debba essere il più semplice possibile. trasparente e familiare È possibile, come se si trovasse all'interno della rete aziendale. Tuttavia, ci sono diversi punti di configurazione che dovrebbero essere rivisti.
Il primo passo è quello di unire il dispositivo Windows 11 al dominio (se applicabile) e assicurarsi che Nomi DNS del server definiti nel SAN del certificato Corrispondono a voci valide nel DNS o nel file HOSTS. Dall'esterno della rete interna, il client non vedrà più gli IP privati, quindi deve essere utilizzato il nome esterno pubblicato, oppure, in alternativa, Utilizzare OneDrive per condividere file in scenari in cui la pubblicazione di PMI non è fattibile.
Durante il test, è consigliabile spostare l'attrezzatura in un rete esterna in cui non vi è accesso diretto al dominio o agli IP interniCiò verifica che l'accesso avvenga effettivamente tramite QUIC e non tramite il classico percorso LAN.
Da Esplora file di Windows, è possibile digitare il percorso UNC della risorsa condivisa, ad esempio \\fsedge1.contoso.com\ventas, e confermare di potervi accedere senza problemi. Se si desidera forzare esplicitamente l'uso di QUIC, è possibile utilizzare comandi come UTILIZZO NETTO/TRASPORTO:QUIC o New-SmbMapping -TransportType QUIC, indicando il percorso UNC desiderato.
Ad esempio, un comando di mappatura può prima tentare TCP e, se fallisce, passare a QUIC, oppure può essere limitato esclusivamente a QUIC. New-SmbMapping semplifica anche questa operazione. assegnare lettere di unità alle risorse remote, cosa molto comoda per l'utente abituato a lavorare con le classiche unità di rete.
Audit e amministrazione delle PMI tramite QUIC
Una volta che SMB su QUIC è operativo, è essenziale avere Visibilità su chi si connette, come e da dovePer raggiungere questo obiettivo, Microsoft ha integrato funzionalità di auditing sia sul lato client che su quello server.
In Windows 11 (a partire dalla versione 24H2), il client SMB include eventi specifici per il trasporto QUIC. Il Visualizzatore eventi consente di visualizzare questi registri nel percorso Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Connettività, dove vengono generati eventi come l'ID 30832 relativo alle connessioni SMB su QUIC.
Sul server SMB, è possibile attivare un audit più dettagliato eseguendo Set-SmbServerConfiguration -AuditClientCertificateAccess $trueDa quel momento in poi, i registri Applicazioni e servizi\Microsoft\Windows\SMBServer\Audit mostrano gli eventi che segnalano se l'accesso è stato consentito o negato, inclusi i dati del certificato client (soggetto, emittente, numero di serie, hash SHA1 e SHA256) e le regole di controllo degli accessi applicate.
Questi eventi incorporano un identificatore di connessione Ciò semplifica la correlazione tra ciò che viene visualizzato sul client e ciò che viene registrato sul server, semplificando notevolmente le attività di risoluzione dei problemi quando si verifica un errore o quando si desidera esaminare un comportamento sospetto.
Utilizzo facoltativo del proxy KDC per gestire Kerberos
Per impostazione predefinita, quando un client si connette da Internet a un Server SMB su QUICIn genere non ha accesso diretto ai controller di dominio di Active Directory. In questo scenario, l'autenticazione tende a ricorrere a NTLMv2, con il file server che si autentica per conto del client, sempre all'interno del tunnel QUIC crittografato con TLS 1.3.
Sebbene NTLMv2 sia protetto all'interno del tunnel e non esca sulla rete in chiaro, le buone pratiche di sicurezza raccomandano continua a usare Kerberos Se possibile, evita di creare nuove dipendenze NTLMv2. È qui che entra in gioco il proxy KDC, che inoltra le richieste di ticket Kerberos per conto dell'utente tramite un canale HTTPS compatibile con Internet.
Per configurarlo, sul file server vengono prima creati i seguenti elementi: Prenotazioni URL HTTP per il servizio proxy Utilizzando NETSH, i valori del registro del servizio KPSSVC vengono modificati per consentire il tipo di autenticazione desiderato e l'impronta digitale del certificato SMB su QUIC viene associata all'endpoint HTTPS 0.0.0.0:443 con Add-NetIPHttpsCertBinding.
Bisogna anche aggiungere Nomi alternativi per il server SMB su QUIC, come SPN In Active Directory, ad esempio utilizzando NETDOM, in modo che il server possa rappresentare correttamente l'identità del servizio in Kerberos. Infine, il servizio proxy KDC viene impostato per l'avvio automatico e avviato.
Sul lato client, un criterio di gruppo è configurato in Configurazione computer\Modelli amministrativi\Sistema\Kerberos\Specifica server proxy KDC per client Kerberos, dove il dominio interno (ad esempio, corp.contoso.com) è mappato all'URL HTTPS esterno del server QUIC (ad esempio, https fsedge1.contoso.com:443:kdcproxy/). In questo modo, il client sa che se un utente di quel dominio si connette a un file server pubblicato esternamente, dovrebbe Utilizzare il proxy KDC per ottenere i biglietti.
Gestione del ciclo di vita dei certificati in SMB su QUIC
I certificati non durano per sempre, e nel caso di SMB su QUICOgni rinnovo comporta una nuova impronta digitale. Anche se vengono utilizzati meccanismi di rinnovo automatico con Active Directory Certificate Services, il fatto che l'impronta digitale cambi implica che l'assegnazione del certificato nella configurazione QUIC debba essere aggiornata.
Quando il certificato sta per scadere o è in fase di rinnovo, è necessario riselezionare il certificato in Windows Admin Center Per la configurazione esistente, eseguire il cmdlet di PowerShell Set-SMBServerCertificateMapping puntando alla nuova impronta digitale. Se questo passaggio viene omesso, la connettività SMB tramite QUIC potrebbe interrompersi inaspettatamente.
Per evitare sorprese, Microsoft consiglia di supportare questa gestione con strumenti come Azure Automanage per Windows ServerQuesto sistema monitora lo stato dei certificati e segnala (o addirittura corregge) eventuali problemi prima che si verifichi un'interruzione del servizio. Negli ambienti ad alta disponibilità e con accesso remoto critico, questo fa la differenza.
Controllo degli accessi dei clienti con certificati
Oltre alla semplice autenticazione, può essere applicato anche SMB su QUIC controllo degli accessi basato sul certificato clientSi tratta di un ulteriore livello di sicurezza che limita i dispositivi che possono stabilire un tunnel QUIC con il server, anche se conoscono le credenziali.
Il processo funziona come segue: il server richiede al client di presentare un catena di certificati valida e affidabileDa tale catena viene controllato un elenco di controllo degli accessi che può contenere voci di autorizzazione o di blocco, sia per certificati specifici (identificati dal loro hash SHA256) sia per emittenti completi (CA intermedie o radice).
Affinché ciò funzioni, il requisito di autenticazione del client viene prima abilitato con Set-SmbServerCertificateMapping -RequireClientAuthentication $trueSuccessivamente, inizia la registrazione dei certificati client consentiti o bloccati utilizzando cmdlet quali Grant-SmbClientAccessToServer, Revoke-SmbClientAccessToServer, Block-SmbClientAccessToServer e Unblock-SmbClientAccessToServer.
Questo modello consente, ad esempio, autorizzare un'intera CA aziendale E, allo stesso tempo, negare l'accesso a un certificato specifico considerato compromesso. Oppure viceversa: bloccare un'intera CA ma autorizzare un singolo certificato molto specifico. Le regole di negazione hanno la precedenza sulle regole di autorizzazione, il che contribuisce a mitigare i rischi.
Dal punto di vista del cliente è sufficiente che nel proprio negozio locale sia installato un certificato rilasciato per l'autenticazione del client (EKU 1.3.6.1.5.5.7.3.2) da una CA ritenuta attendibile dal server. L'amministratore può recuperare l'impronta digitale del certificato o il Soggetto da PowerShell (Get-ChildItem Cert:\LocalMachine\My, filtri per Soggetto, ecc.) e utilizzarlo in seguito per configurare l'elenco di accesso sul server.
Test di connettività e risoluzione dei problemi
Una buona pratica quando si implementa SMB su QUIC è quella di seguire una serie di prove controllate prima di renderlo pubblico all'intera organizzazione. In questo modo, eventuali problemi relativi a certificati, DNS o firewall vengono rilevati tempestivamente e le guide possono essere consultate quando necessario. risolvere i problemi di accesso ai file.
Dal client, è possibile iniziare con una mappatura esplicita utilizzando `NET USE \\server\resource /TRANSPORT:QUIC` o `New-SmbMapping -RemotePath \\server\resource -TransportType QUIC`. Se invece di connettersi si riceve un messaggio che indica che il server ha negato l'accesso, probabilmente è perché... L'assegnazione del certificato e la ricezione del tunnel QUIC funzionanoTuttavia, è necessario configurare il controllo dell'accesso del client oppure rivedere le autorizzazioni.
Parallelamente, è importante rivedere la registri degli eventi di connettività del client e audit del server discusso in precedenza. Lì vedrai sia i tentativi riusciti che quelli falliti, con informazioni dettagliate sulla catena di certificati e sulle regole applicate in ciascun caso.
Si consiglia inoltre di verificare dal server che il regole del firewall Consentono l'ingresso UDP 443 e TCP 443 per scenari in cui vengono utilizzati il proxy KDC o altri servizi HTTPS associati e che TCP 445 non sia stato accidentalmente esposto a Internet.
Best practice per la segmentazione e l'isolamento del traffico SMB
Sebbene SMB su QUIC fornisca una protezione robusta per il traffico di file su Internet, è comunque consigliabile implementare tecniche di segmentazione e isolamento per ridurre la superficie di attacco tra i dispositivi sulla rete.
Una linea guida di base è bloccare la porta TCP 445 in entrata da Internet sui firewall perimetrali. Se è necessario esporre risorse di file sul perimetro, l'opzione sicura è pubblicarle utilizzando SMB su QUIC sulla porta UDP 443, non aprendo direttamente una connessione SMB classica.
Al contrario, il blocco della porta TCP 445 in uscita verso Internet impedisce ai computer interni di inviare dati SMB a server esterni non controllati. Solo in scenari molto specifici, come File di Azure o Office 365 Potrebbe essere necessario consentire questo traffico e, anche in tal caso, si consiglia di incanalarlo tramite VPN o regole molto rigide per intervalli IP.
Nelle reti con molti dispositivi, vale la pena fare un inventario dell'utilizzo effettivo delle PMICiò comporta l'analisi di quali server necessitano effettivamente di SMB in entrata, quali client richiedono la condivisione file e da quali subnet si accede a ciascun server. Strumenti come Get-FileShareInfo possono essere utilizzati a questo scopo, oltre ad abilitare audit di condivisione file per un periodo di tempo limitato per osservare quali risorse sono in uso.
Sulla base di questa analisi, è possibile progettare regole firewall in entrata e in uscita molto più precise, bloccando il traffico SMB non necessario e limitando movimenti laterali di un potenziale aggressore all'interno della rete.
Rinforzo con Windows Defender Firewall e IPsec
Windows Defender Firewall con funzioni di sicurezza avanzate come seconda linea di difesa intorno al traffico SMB. È possibile creare regole per bloccare le connessioni in entrata e in uscita per impostazione predefinita, consentendo solo le eccezioni necessarie per controller di dominio, file server e servizi critici.
Una strategia comune è quella di definire regole in uscita che impediscano l'uso di SMB verso qualsiasi destinazione tranne una elenco consentito In base agli IP o ai nomi, con l'azione "Consenti connessione se sicura". Questa opzione può essere personalizzata per utilizzare l'autenticazione Kerberos e l'incapsulamento null in IPsec, costringendo solo gli utenti e i computer del dominio autorizzati a sfruttare queste eccezioni.
Affinché questo approccio funzioni, è essenziale creare regole di sicurezza della connessione su tutti i dispositivi coinvolti, in modo che le eccezioni del firewall siano basate su IPsec. In caso contrario, il blocco potrebbe risultare arbitrario o incoerente.
Nelle versioni recenti come Windows 11 24H2 e Windows Server 2025, Microsoft ha modificato le regole del firewall integrate per impedire l'apertura automatica delle porte NetBIOS (137-139) durante la creazione di risorse condivise SMB2 o superiori, riflettendo una politica più rigorosa allineata alle distribuzioni moderne.
Negli ambienti in cui SMB1 non è più utilizzato, è altamente consigliato. chiudere queste porte legacySolo in casi di compatibilità eccezionale dovrebbero essere riaperti manualmente, preferibilmente limitandone l'ambito attraverso regole molto specifiche.
Disattivare il server SMB dove non è necessario
Molti client Windows e alcuni server sulla rete in realtà non hanno bisogno di Servizio server SMB attivi, poiché non condividono mai file con altri computer. Mantenere il servizio abilitato inutilmente non fa che espandere la superficie di attacco.
Prima di disattivarlo, è consigliabile verificare se applicazioni o processi dipendono da esso. Una volta verificato, il servizio server SMB può essere disattivato su computer selezionati, ad esempio con preferenze dei criteri di gruppo che applicano questa configurazione in modo massiccio e controllato.
Questa misura, combinata con SMB su QUIC per l'accesso remoto e regole firewall ben ottimizzate, aiuta a costruire un architettura di condivisione file molto più robustadove solo i nodi che devono esporre SMB lo fanno, e nel modo più sicuro possibile.
SMB su QUIC consente di offrire agli utenti remoti, alle filiali e ai dispositivi mobili un accesso ai file crittografati, resistente alle reti instabili e senza la necessità delle tradizionali VPN, mentre gli strumenti di certificazione, il controllo di accesso client, il proxy KDC, il firewall e la segmentazione di rete forniscono l'impalcatura necessaria affinché questa "SMB VPN" funzioni in modo affidabile e con garanzie di sicurezza in ambienti reali.
