Partilhar via

SMB sobre QUIC

O SMB em vez do QUIC introduz uma alternativa ao transporte da rede do TCP, fornecendo uma conectividade segura e fiável a servidores de ficheiro do Edge em redes não fidedignas, como a Internet. O QUIC é um protocolo padronizado pela IETF com muitos benefícios quando comparado ao TCP:

  • Todos os pacotes são sempre criptografados e o handshake é autenticado com TLS 1.3
  • Fluxos paralelos de dados de aplicativos confiáveis e não confiáveis
  • Troca dados de aplicativos na primeira viagem de ida e volta (0-RTT)
  • Melhor controle de congestionamento e recuperação de perdas
  • Sobrevive a uma alteração no endereço IP ou na porta do cliente

SMB over QUIC oferece uma "VPN SMB" para teletrabalhadores, usuários de dispositivos móveis e organizações de alta segurança. O certificado do servidor cria um túnel encriptado TLS 1.3 pela porta UDP 443 amigável para Internet em vez da porta TCP 445 legada. Todo o tráfego SMB, incluindo a autenticação e a autorização no túnel, nunca é exposto à rede subjacente. O SMB se comporta normalmente dentro do túnel QUIC, o que significa que a experiência do usuário não muda. Recursos SMB como multicanal, assinatura, compactação, disponibilidade contínua, locação de diretórios e assim por diante, funcionam normalmente.

Um administrador de servidor de arquivos deve optar por habilitar o SMB sobre o QUIC. Ele não está ativado por padrão e um cliente não pode forçar um servidor de arquivos a habilitar o SMB sobre QUIC. Os clientes SMB do Windows ainda usam TCP por padrão e só tentarão SMB sobre QUIC se a tentativa de TCP falhar primeiro ou se exigir intencionalmente QUIC usando NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC.

Note

Não é recomendável definir nomes específicos para namespaces DFS em cenários que envolvem conexões SMB e QUIC com pontos de extremidade externos. Isso ocorre porque os nomes de namespace DFS interno serão referenciados, e essas referências geralmente não são acessíveis para um cliente externo nas versões atuais do Windows.

Prerequisites

Para usar o SMB sobre o QUIC, você precisa do seguinte:

  • Um servidor SMB em execução em um dos seguintes sistemas operacionais.

  • Um dispositivo Windows 11 (Windows for business)

  • O servidor e o cliente SMB devem estar associados a um domínio do Ative Directory ou o cliente deve ter uma conta de usuário local no servidor SMB. O servidor SMB deve ter acesso a pelo menos um controlador de domínio para autenticação, mas nenhum controlador de domínio requer acesso à Internet. Recomendamos o uso de SMB sobre QUIC com domínios do Ative Directory, no entanto, não é necessário. Você também pode usar SMB através de QUIC num servidor associado a um grupo de trabalho com credenciais de utilizador local e NTLM.

  • Seu servidor deve estar acessível aos clientes em sua interface pública, adicionando uma regra de permissão de firewall para permitir SMB sobre QUIC. Por padrão, o SMB sobre QUIC usa UDP/443 de entrada. Não permita a entrada TCP/445 no servidor de ficheiros. Para saber mais sobre como alterar a porta padrão, consulte Configurar portas SMB alternativas.

  • O servidor de arquivos deve ter acesso a pelo menos um controlador de domínio para autenticação, mas nenhum controlador de domínio requer acesso à Internet.

  • Windows Admin Center (WAC) (Página inicial)

  • Uma infraestrutura de chave pública (PKI) para emitir certificados como o Ative Directory Certificate Server ou acesso a um emissor de certificados de terceiros confiável como Verisign, Digicert, Let's Encrypt, etc.

  • Privilégios administrativos ou equivalente para o servidor SMB que você está configurando.

Implantar SMB sobre QUIC

Etapa 1: Instalar um certificado de servidor

  1. Crie um certificado emitido pela Autoridade de Certificação com as seguintes propriedades:

    • Uso da chave: assinatura digital
    • Finalidade: Autenticação do servidor (EKU 1.3.6.1.5.5.7.3.1)
    • Algoritmo de assinatura: SHA256RSA (ou superior)
    • Hash de assinatura: SHA256 (ou superior)
    • Algoritmo de chave pública: ECDSA_P256 (ou superior. Também pode usar RSA com pelo menos 2048 comprimento)
    • Nome Alternativo de Sujeito (SAN): (uma entrada de nome DNS para cada nome DNS totalmente qualificado usado para aceder ao servidor SMB)
    • Assunto: (CN= qualquer coisa, mas deve existir)
    • Chave privada incluída: sim

    Captura de tela das configurações de certificado mostrando o algoritmo de assinatura com um valor de sha256RSA, o valor do algoritmo de hash de assinatura de sha256 e o valor de assunto de ws2022-quic.

    Captura de tela das configurações do certificado na guia Detalhes mostrando o valor da chave pública do ECC (256 bits), parâmetros de chave pública ECDSA-P256 e Políticas de aplicativo 1 Política de certificado do aplicativo.

    Captura de tela dos detalhes do certificado mostrando o valor do nome alternativo da entidade como Nome DNS igual a contoso.com e o valor Uso da Chave como Assinatura Digital, Não Repudiada.

    Se estiver usando uma Autoridade de Certificação Microsoft Enterprise, você poderá criar um modelo de certificado e permitir que o administrador do servidor de arquivos forneça os nomes DNS ao solicitá-lo. Para obter mais informações sobre como criar um modelo de certificado, consulte Projetando e implementando uma PKI: Modelos de certificado Parte III. Para obter uma demonstração da criação de um certificado para SMB sobre QUIC usando uma Autoridade de Certificação Microsoft Enterprise, assista a este vídeo:

    Para solicitar um certificado de terceiros, consulte a documentação do fornecedor.

  2. Se estiver usando uma Autoridade de Certificação Microsoft Enterprise:

    1. Inicie MMC.EXE no servidor de arquivos.
    2. Adicione o snap-in Certificados e selecione a conta Computador.
    3. Expanda Certificados (Computador Local), Pessoale, em seguida, clique com o botão direito do rato em Certificados e selecione Solicitar Novo Certificado.
    4. Selecione Seguinte
    5. Selecione Política de Registro do Ative Directory
    6. Selecione Seguinte
    7. Selecione o modelo de certificado para SMB sobre QUIC que foi publicado no Ative Directory.
    8. Selecione Mais informações são necessárias para se inscrever para este certificado. Clique aqui para definir as configurações.
    9. Para que os usuários possam usar para localizar o servidor de arquivos, preencha o valor Assunto com um nome comum e Nome alternativo do assunto com um ou mais nomes DNS.
    10. Selecione Ok e, em seguida, selecione Registrar.

    Uma imagem mostrando o Registro de Certificado do Console de Gerenciamento Microsoft com SMB sobre QUIC selecionado.

    Uma imagem mostrando a janela de Propriedades do Certificado do certificado selecionado.

Note

Não use endereços IP para SMB sobre nomes alternativos de assunto do servidor QUIC.

  • Os endereços IP exigirão o uso de NTLM, mesmo que o Kerberos esteja disponível a partir de um controlador de domínio ou através do Proxy KDC.
  • As VMs IaaS do Azure que executam SMB sobre QUIC utilizam NAT com uma interface pública e uma interface privada. SMB sobre QUIC não suporta o uso do endereço IP para o nome do servidor através de um NAT, você deve usar um nome DNS totalmente qualificado que resolve para o endereço IP da interface pública apenas neste caso.

Note

Se estiver a usar um ficheiro de certificado emitido por uma autoridade de certificação de terceiros, pode usar o snap-in Certificados ou o WAC para importá-lo.

Etapa 2: Configurar o SMB sobre o QUIC

Para configurar o SMB sobre o QUIC, selecione seu método preferido e siga as etapas.

Important

Se você estiver usando o Windows Server 2025, precisará usar o método PowerShell para configurar o SMB sobre QUIC. O método Windows Admin Center não é suportado atualmente para o Windows Server 2025.

Para uma demonstração de configuração e uso do SMB sobre QUIC, assista a este vídeo:

  1. Inicie sessão no servidor de ficheiros como administrador.

  2. Instale a versão mais recente do WAC em um PC de gerenciamento ou no servidor de arquivos. Você precisa da versão mais recente da extensão Files & File Sharing. Ele é instalado automaticamente pelo WAC se Atualizar extensões automaticamente estiver ativado em Configurações > Extensões.

  3. Conecte-se ao servidor com WAC e selecione o ícone Configurações no canto inferior esquerdo. Na secção Compartilhamentos de ficheiros (servidor SMB), sob Partilha de ficheiros pela Internet com SMB sobre QUIC, selecione Configurar.

  4. Selecione um certificado em Selecione um certificado de computador para este servidor de arquivos, selecione os endereços de servidor aos quais os clientes podem se conectar ou selecione Selecionar todos ose selecione Ativar.

    Uma imagem mostrando a tela de configuração do SMB sobre QUIC no Windows Admin Center.

  5. Certifique-se de que o certificado e o relatório SMB sobre QUIC estejam íntegros.

    Uma imagem mostrando todos os certificados disponíveis para a configuração SMB sobre QUIC configurada no Windows Admin Center.

  6. Selecione a opção de menu Arquivos e Partilha de Ficheiros. Observe seus compartilhamentos SMB existentes ou crie um novo.

Se você quiser aplicar o controle ao SMB sobre o cliente, poderá usar o Controle de Acesso para Cliente. Para saber mais como restringir quais clientes podem acessar o SMB sobre servidores QUIC, consulte Configurar o controle de acesso do cliente SMB sobre QUIC.

Etapa 3: Conectar-se a compartilhamentos SMB

  1. Junte o dispositivo cliente Windows ao seu domínio. Certifique-se de que os nomes dos nomes alternativos da entidade do certificado do servidor de arquivos SMB sobre QUIC sejam publicados no DNS e sejam totalmente qualificados ou adicionados aos arquivos HOST do seu cliente Windows. Certifique-se de que os nomes alternativos da entidade do certificado do servidor sejam publicados no DNS ou adicionados aos arquivos HOSTS do seu cliente Windows.

  2. Mova o dispositivo cliente Windows para uma rede externa onde ele não tenha mais acesso de rede aos controladores de domínio ou aos endereços IP internos do servidor de arquivos.

  3. No Explorador de Arquivos do Windows, na Barra de Endereços, digite o caminho UNC para um compartilhamento no servidor de arquivos e confirme se você pode acessar os dados no compartilhamento. Como alternativa, você pode usar NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC com um caminho UNC. Examples:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

Gerenciar SMB sobre QUIC

Os administradores podem desativar o SMB sobre QUIC para um servidor executando o seguinte comando:

Set-SmbServerConfiguration -EnableSMBQUIC $false

Para desativar o SMB sobre QUIC para um dispositivo cliente, execute o seguinte comando:

Set-SmbClientConfiguration -EnableSMBQUIC $false

O SMB sobre QUIC pode ser ativado no servidor ou cliente definindo $false para $true.

Os administradores agora podem especificar uma lista de exceções do servidor SMB sobre QUIC no cliente. Um cliente pode se conectar a um servidor quando o SMB sobre QUIC está desativado no cliente, desde que o endereço IP do servidor, o nome NetBIOS ou o FQDN estejam na lista de exceções. Para mais informações, consulte Ativar exceções ao bloqueio de NTLM. Uma lista de exceções de servidor pode ser criada executando o seguinte comando:

Set-SmbClientConfiguration -DisabledSMBQUICServerExceptionList "<Server01>, <Server02>, <Server03>"

Auditoria de clientes SMB através de QUIC

A auditoria é usada para rastrear conexões de cliente de SMB sobre QUIC, com eventos a serem registados em um registo de eventos. O Visualizador de Eventos captura essas informações para o protocolo de transporte QUIC. Este recurso está disponível para SMB Client a partir do Windows 11, versão 24H2 Para visualizar estes registos, siga estes passos:

  1. Abra o Visualizador de Eventos.
  2. Navegue até Registos de Aplicações e Serviços\Microsoft\Windows\SMBClient\Connectivity.
  3. Monitore a ID do evento 30832.

Por padrão, um dispositivo cliente Windows não terá acesso a um controlador de domínio do Ative Directory ao se conectar a um servidor de arquivos SMB sobre QUIC. Isso significa que a autenticação usa NTLMv2, onde o servidor de arquivos é autenticado em nome do cliente. Nenhuma autenticação ou autorização NTLMv2 ocorre fora do túnel QUIC criptografado pelo TLS 1.3. No entanto, ainda recomendamos o uso do Kerberos como uma prática recomendada de segurança geral e não recomendamos a criação de novas dependências NTLMv2 em implantações. Para permitir isso, você pode configurar o proxy KDC para encaminhar solicitações de tíquete em nome do usuário, tudo isso usando um canal de comunicação criptografado HTTPS amigável à Internet. O proxy KDC é suportado por SMB via QUIC e é altamente recomendado.

Note

Não é possível configurar o WAC no modo de gateway usando a porta TCP 443 em um servidor de arquivos onde você está configurando o Proxy KDC. Ao configurar o WAC no servidor de arquivos, altere a porta para uma que não esteja em uso e não seja 443. Se você já configurou o WAC na porta 443, execute novamente o MSI de configuração do WAC e escolha uma porta diferente quando solicitado.

  1. Certifique-se de que está a utilizar o WAC versão 2110 ou posterior.

  2. Configure SMB sobre QUIC normalmente. A partir do WAC 2110, a opção para configurar o proxy KDC no SMB sobre QUIC é ativada automaticamente e você não precisa executar etapas extras nos servidores de arquivos. A porta proxy KDC padrão é 443 e atribuída automaticamente pelo WAC.

    Note

    Não é possível configurar um servidor SMB sobre QUIC associado a um Workgroup usando WAC. Você deve associar o servidor a um domínio do Ative Directory ou seguir as etapas de configuração do proxy KDC no PowerShell ou na Política de Grupo.

Note

A configuração automática do Proxy KDC virá mais tarde no SMB via QUIC e, consequentemente, as etapas do servidor não serão necessárias.

Expiração e renovação do certificado

Um certificado SMB sobre QUIC expirado que você substitui por um novo certificado do emissor conterá uma nova impressão digital. Embora você possa renovar automaticamente os certificados SMB sobre QUIC quando eles expirarem usando os Serviços de Certificados do Active Directory, um certificado renovado receberá também uma nova impressão digital. Isso significa efetivamente que o SMB sobre QUIC deve ser reconfigurado quando o certificado expirar, pois uma nova impressão digital deve ser mapeada. Selecione seu novo certificado no WAC para a configuração SMB sobre QUIC existente ou use o comando Set-SMBServerCertificateMapping PowerShell para atualizar o mapeamento para o novo certificado. Você pode usar o Azure Automanage para Windows Server para detetar a expiração iminente do certificado e evitar uma interrupção. Para obter mais informações, consulte Azure Automanage for Windows Server.

Notes

  • Para clientes que não usam a nuvem pública do Azure, o Windows Server 2022 Datacenter: Azure Edition está disponível no Azure Local a partir da versão 22H2.
  • Recomendamos o uso de SMB sobre QUIC com domínios do Ative Directory, mas não é um requisito. Você também pode usar o SMB sobre QUIC num servidor associado a um grupo de trabalho com credenciais de utilizador local e NTLM, ou num IaaS do Azure com servidores Windows associados ao Microsoft Entra. O Microsoft Entra ligado a Servidores Windows para máquinas baseadas em IaaS fora do Azure não é suportado. Os Servidores Windows ingressados no Microsoft Entra não oferecem suporte a credenciais para operações de segurança remotas do Windows porque o Microsoft Entra ID não contém SIDs de usuário ou grupo. Os Microsoft Entra nos Windows Servers devem usar uma conta de utilizador local ou baseada em domínio para aceder a partilha SMB via QUIC.
  • Não é possível configurar o SMB sobre QUIC usando o WAC quando o servidor SMB está em um grupo de trabalho (ou seja, não ingressou no domínio do AD). Nesse cenário, você deve usar o cmdlet New-SMBServerCertificateMapping .
  • Recomendamos que os controladores de domínio de leitura configurados apenas com senhas de usuários móveis sejam disponibilizados para o servidor de arquivos.
  • Os usuários devem ter senhas fortes ou, idealmente, ser configurados usando uma estratégia sem senha com o Windows Hello for Business MFA ou cartões inteligentes. Configure uma política de bloqueio de conta para usuários móveis por meio de política de senha refinada e você deve implantar um software de proteção contra invasões para detetar ataques de força bruta ou spray de senha.

Mais referências

  • Last updated on