Šajā kontekstā šķiet MVU QUIC tīklāQuic ir mūsdienīgs "MVU VPN" veids, kas ietver klasisko Windows failu koplietošanas protokolu QUIC ietvaros, izmantojot TLS 1.3 šifrēšanu un uzlabotu toleranci pret neuzticamiem tīkliem, pilnībā mainot to, kā mēs piekļūstam koplietotajiem resursiem internetā. Šajā rakstā jūs diezgan detalizēti redzēsiet, kā tas darbojas, kas jums nepieciešams, lai to iestatītu, kā to pārvaldīt un kā vēl vairāk stiprināt savas vides drošību.
Kas ir MVU izmantošana pār QUIC un kāpēc tā maina spēles noteikumus?
MVU QUIC tīklā Tieši SMB transporta evolūcija aizstāj klasisko TCP 445 ar QUIC pār UDP 443. Tā vietā, lai tradicionālais SMB ports būtu pieejams internetam, tiek izveidots drošs tunelis ar TLS 1.3 virs QUIC, lai visas paketes vienmēr tiktu šifrētas un autentificētas jau no paša sākuma.
IETF standartizētais QUIC protokols piedāvā ļoti skaidras priekšrocības salīdzinājumā ar TCPŠifrēšana ir obligāta visās paketēs, rokasspiediena protokols izmanto autentificētu TLS 1.3, tas nodrošina uzticamas un neuzticamas paralēlas plūsmas vienā un tajā pašā savienojumā, tas nosūta lietojumprogrammu datus ar ātrumu 0-RTT, lai samazinātu sākotnējo latentumu, uzlabo sastrēgumu kontroli un pārtraukumu atkopšanu, kā arī atbalsta IP vai portu izmaiņas, nepārtraucot sesiju.
Kad mēs izmantojam MVU šajā QUIC tunelīSMB datplūsma, tostarp autentifikācija, autorizācija un dati, nekad netiek atklāta pamatā esošajam tīklam vienkāršā tekstā. Klients redz standarta SMB koplietošanas resursu ar daudzkanālu piekļuvi, parakstīšanu, saspiešanu, augstu pieejamību, direktoriju nomu un citām kopīgām funkcijām, taču viss tiek pārvietots iekapsulēts un šifrēts pa UDP 443. portu, kas ir daudz saderīgāks ar ugunsmūriem un publiskajiem tīkliem.
Praksē SMB, izmantojot QUIC, nodrošina a VPN īpaši failiem Paredzēts attālinātiem darbiniekiem, mobilajām ierīcēm, filiālēm un organizācijām ar augstām drošības prasībām. Lietotājs darbojas tieši tā, it kā atrastos iekšējā tīklā, bet bez vispārējas nozīmes VPN iestatīšanas un 445. porta atvēršanas uz ārpusi.
Svarīgs punkts: SMB, izmantojot QUIC, pats neaktivizējas.Tas ir administratoram, kuram tas jāiespējo failu serverī. SMB klienti operētājsistēmā Windows joprojām pēc noklusējuma izmanto TCP un mēģina izmantot QUIC tikai tad, ja vispirms neizdodas piekļūt TCP vai ja transports tiek skaidri piespiests ar tādām komandām kā NET USE /TRANSPORT:QUIC vai New-SmbMapping -TransportType QUIC.
Priekšnosacījumi SMB izvietošanai QUIC platformā
Pirms jebkādu darbību aktivizēšanas ir jāpārbauda pamata infrastruktūras prasībasTas nav īpaši sarežģīti, taču joprojām ir ieteicams to skaidri saprast, lai izvairītos no muļķīgām kļūdām ražošanā.
Par MVU serverisJums ir nepieciešams palaist izdevumu, kas atbalsta QUIC, piemēram, Windows Server 2022 Datacenter: Azure Edition vai jaunāku versiju, un konfigurēt to kā perifērijas failu serveri vai līdzīgu. To var izmantot arī Azure lokālajos scenārijos un turpmākajās versijās, piemēram, Windows Server 2025.
Uz sāniem klientsIr nepieciešama operētājsistēma Windows 11 Enterprise Edition, jo MVU iespējas, izmantojot QUIC, ir paredzētas korporatīvai videi. Ierīcei ir jāspēj noteikt servera publisko nosaukumu, izmantojot DNS, vai, ja tas nav iespējams, tam jābūt definētam tās HOSTS failā.
Runājot par identitāti, ieteicamais scenārijs ir šāds: SMB serveris un klients ir savienoti ar Active Directory domēnu.Serverim ir jāspēj sazināties ar vismaz vienu domēna kontrolleri autentifikācijai, lai gan šiem kontrolleriem nav nepieciešama piekļuve internetam. Tiek atbalstītas arī darba grupas konfigurācijas ar lokāliem un NTLM kontiem, kā arī serveri, kas pievienoti Microsoft Azure IaaS, taču ar noteiktiem ierobežojumiem attiecībā uz attālinātajām drošības darbībām.
Runājot par savienojamību, serverim ir jābūt pieejams no interneta, izmantojot tā publisko saskarniar ugunsmūra noteikumu, kas atļauj ienākošo UDP/443 datplūsmu. Ir svarīgi neatklāt TCP portu 445 no interneta; ja jums ir nepieciešami alternatīvi porti, Microsoft ļauj mainīt SMB porta iestatījumus, taču vispārējā filozofija ir: UDP 443 jā, TCP 445 nē.
Drošības plānam publiskās atslēgas infrastruktūra (PKI) kas izsniedz derīgus sertifikātus QUIC serverim. Tas var būt Active Directory sertifikātu pakalpojums vai uzticama ārēja iestāde (DigiCert, GlobalSign, Let's Encrypt ar atbilstošu profilu utt.). Un, protams, administratoram, kurš konfigurēs SMB QUIC serverī, ir jābūt administratora privilēģijām serverī.
Servera sertifikāta instalēšana un sagatavošana
MVU drošības pamatā, izmantojot QUIC, ir servera TLS sertifikātsBez pareizi izsniegta un instalēta sertifikāta QUIC tunelis netiks pareizi izveidots, un klients neuzticēsies savienojumam.
Šim sertifikātam jāatbilst vairākām prasībām īpašas tehniskās prasībasIzmantot digitālo paraksta atslēgu, servera autentifikācijas mērķi (EKU 1.3.6.1.5.5.7.3.1), paraksta algoritmu vismaz SHA256RSA, SHA256 jaucējkodu vai augstāku un publisko atslēgu, vēlams, ECDSA_P256 (lai gan tiek atbalstīta RSA ar vismaz 2048 bitiem). Turklāt subjekta alternatīvajā nosaukumā (SAN) ir jāiekļauj visi pilnie DNS ieraksti, kas tiks izmantoti, lai piekļūtu SMB serverim.
Sertifikātā jāiekļauj saistītā privātā atslēga un to izsniedz vienība, ko klienti uzskata par uzticamu. Izdevēja CN lauks var būt elastīgs, taču uzticības ķēdei ir jābūt derīgai un pilnīgai. Vidēs ar Microsoft korporatīvo sertifikācijas izdevēju ir ierasta prakse izveidot īpašu veidni SMB, izmantojot QUIC, un ļaut administratoriem norādīt DNS nosaukumus, pieprasot sertifikātu.
Scenārijos ar Microsoft Enterprise CA tipiskais process ietver MMC atvēršanu serverī, sertifikātu papildprogrammas pievienošanu komandas kontam un sertifikāta palaišanu personīgajā krātuvē. pieteikums jaunam sertifikātamTiek izvēlēta Active Directory reģistrācijas politika, atlasīta atbilstošā veidne un lauki “Tēma” un “SAN” tiek aizpildīti ar DNS nosaukumiem, ko klienti izmantos.
Kad reģistrācija būs pabeigta, sertifikāts parādīsies vietējā aprīkojuma veikalā. No šī brīža to varēs izmantot abos MVU QUIC tīklā kā arī papildfunkcijās, piemēram, KDC starpniekserverī, ja tiek nolemts to ieviest vēlāk.
SMB konfigurācija serverī, izmantojot QUIC
Kad sertifikāts ir gatavs, ir pienācis laiks Aktivizējiet un konfigurējiet SMB, izmantojot QUICMicrosoft ļauj to izdarīt no Windows administrēšanas centra (WAC) vai PowerShell atkarībā no jūsu preferencēm un sistēmas versijas.
Iespējojot šo funkciju, serveris saista QUIC galapunktam atlasītais TLS sertifikāts kas klausīsies UDP 443. No šī brīža klienti, kas spēj izmantot SMB, izmantojot QUIC, varēs izveidot šifrētu tuneli ar serveri, ja vien tie atrisinās sertifikāta DNS nosaukumu un varēs sasniegt 443/UDP portu.
Windows administrēšanas centrā QUIC vidē SMB parasti ir poga “Konfigurēt” vai līdzīga. Tomēr ir ziņots par gadījumiem, kad poga nereaģē, parasti šādu iemeslu dēļ: novecojušas WAC versijas, bojāti paplašinājumi vai neizpildītas prasības (Piemēram, iekārta, iespējams, nav Azure izdevuma, var trūkt lomu vai sertifikāts var būt nederīgs.) Šādos gadījumos ieteicams pārbaudīt versijas, pārliecināties, ka serveris atbilst prasībām, un, ja nepieciešams, turpināt konfigurēšanu, izmantojot PowerShell.
Papildus pamata konfigurācijai ir iespējams lietot piekļuves politikas Lai ierobežotu to klientu loku, kuri var izmantot QUIC, apvienojiet to ar Azure Automanage sertifikātu pārvaldībai un konfigurācijas statusa uzraudzībai, kā arī sasaistiet to ar citām papildu funkcijām, piemēram, klienta piekļuves kontroli un KDC starpniekserveri.
Klientu savienošana ar koplietotajiem MVU resursiem, izmantojot QUIC
Galalietotājam ideja ir tāda, lai piekļuvei būtu jābūt pēc iespējas vienkāršākai. caurspīdīgs un pazīstams Tas ir iespējams, it kā tas būtu korporatīvā tīkla ietvaros. Tomēr ir vairāki konfigurācijas punkti, kas būtu jāpārskata.
Pirmais solis ir pievienot Windows 11 ierīci domēnam (ja piemērojams) un pārliecināties, ka Sertifikāta SAN definētā servera DNS nosaukumi Tie atbilst derīgiem ierakstiem DNS vai HOSTS failā. Ārpus iekšējā tīkla klients vairs neredzēs privātās IP adreses, tāpēc ir jāizmanto publicētais ārējais nosaukums vai arī Izmantojiet OneDrive failu koplietošanai scenārijos, kad MVU publicēšana nav iespējama.
Testēšanas laikā ieteicams pārvietot aprīkojumu uz ārējais tīkls, kurā nav tiešas piekļuves domēnam vai iekšējām IP adresēmTas apstiprina, ka piekļuve faktiski tiek veikta, izmantojot QUIC, nevis klasisko LAN maršrutu.
Windows failu pārlūkā varat ierakstīt koplietojamā resursa UNC ceļu, piemēram, \\fsedge1.contoso.com\ventas, un apstiprināt, ka varat tam piekļūt bez problēmām. Ja vēlaties skaidri piespiesti izmantot QUIC, varat izmantot tādas komandas kā NETO LIETOŠANA / TRANSPORTS: ĀTRI o Jauna SmbMapping -TransportType QUIC, norādot vēlamo UNC ceļu.
Piemēram, kartēšanas komanda var vispirms mēģināt izmantot TCP un, ja tas neizdodas, pārslēgties uz QUIC vai arī to var ierobežot tikai ar QUIC. Arī New-SmbMapping to vienkāršo. piešķirt disku burtus uz attāliem resursiem, kas ir ļoti ērti lietotājam, kurš ir pieradis strādāt ar klasiskajiem tīkla diskiem.
MVU audits un administrēšana, izmantojot QUIC
Kad SMB, izmantojot QUIC, ir sākusi darboties, ir svarīgi, lai būtu Pārredzamība par to, kas, kā un no kurienes izveido savienojumuLai to panāktu, Microsoft ir iekļāvis auditēšanas iespējas gan klienta, gan servera pusē.
Operētājsistēmā Windows 11 (sākot ar versiju 24H2) SMB klients ietver īpašus notikumus QUIC transportam. Notikumu skatītājs ļauj skatīt šos žurnālus ceļā. Lietojumprogrammu un pakalpojumu žurnāli\Microsoft\Windows\SMBClient\Savienojamība, kur tiek ģenerēti tādi notikumi kā ID 30832, kas saistīti ar SMB savienojumiem, izmantojot QUIC.
SMB serverī varat aktivizēt detalizētāku auditu, palaižot Set-SmbServerConfiguration -AuditClientCertificateAccess $trueKopš šī brīža žurnālos Applications and Services Logs\Microsoft\Windows\SMBServer\Audit tiek rādīti notikumi, kas ziņo par to, vai piekļuve tika atļauta vai liegta, tostarp klienta sertifikāta dati (tēma, izdevējs, sērijas numurs, SHA1 un SHA256 jaucējkods) un piemērotie piekļuves kontroles noteikumi.
Šie pasākumi ietver savienojuma identifikators Tas atvieglo klienta datorā redzamā un serverī ierakstītā korelāciju, ievērojami vienkāršojot problēmu novēršanas uzdevumus, ja rodas kļūme vai ja vēlaties pārskatīt aizdomīgu darbību.
KDC starpniekservera izmantošana pēc izvēles Kerberos uzturēšanai
Pēc būtības, kad klients izveido savienojumu no interneta uz MVU serveris QUIC tīklāParasti tam nav tiešas piekļuves Active Directory domēna kontrolleriem. Šādā gadījumā autentifikācija parasti tiek veikta, izmantojot NTLMv2, un failu serveris autentificējas klienta vārdā, vienmēr QUIC tunelī, kas šifrēts ar TLS 1.3.
Lai gan NTLMv2 ir aizsargāts tuneļa iekšpusē un neiziet uz tīklu skaidrā tekstā, labas drošības prakses iesaka turpināt lietot Kerberos Kad vien iespējams, izvairieties no jaunu NTLMv2 atkarību veidošanas. Šeit noder KDC starpniekserveris, kas lietotāja vārdā pārsūta Kerberos biļešu pieprasījumus, izmantojot ar internetu saderīgu HTTPS kanālu.
Lai to konfigurētu, failu serverī vispirms tiek izveidoti šādi faili: HTTP URL rezervācijas starpniekservera pakalpojumam Izmantojot NETSH, KPSSVC pakalpojuma reģistra vērtības tiek pielāgotas, lai atļautu vēlamo autentifikācijas veidu, un SMB sertifikāta pirkstu nospiedums, izmantojot QUIC, tiek saistīts ar HTTPS galapunktu 0.0.0.0:443, izmantojot Add-NetIPHttpsCertBinding.
Ir arī nepieciešams pievienot Alternatīvi nosaukumi SMB serverim, izmantojot QUIC, piemēram, SPN Piemēram, pakalpojumā Active Directory, izmantojot NETDOM, lai serveris varētu pareizi attēlot pakalpojuma identitāti Kerberos. Visbeidzot, KDC starpniekservera pakalpojums tiek iestatīts uz automātisku startēšanu un startēts.
Klienta pusē grupas politika ir konfigurēta sadaļā Datora konfigurācija\Administratīvās veidnes\Sistēma\Kerberos\Norādiet KDC starpniekserverus Kerberos klientiem, kur iekšējais domēns (piemēram, corp.contoso.com) ir kartēts ar QUIC servera ārējo HTTPS URL (piemēram, https fsedge1.contoso.com:443:kdcproxy/). Tādā veidā klients zina, ka, ja lietotājs no šī domēna izveido savienojumu ar ārēji publicētu failu serveri, viņam vajadzētu Izmantojiet KDC starpniekserveri, lai iegūtu biļetes.
Sertifikātu dzīves cikla pārvaldība MVU vidē, izmantojot QUIC
Sertifikāti nav mūžīgi, un, ja runa ir par MVU QUIC tīklāKatra atjaunošana nes sev līdzi jaunu digitālo pirkstu nospiedumu. Pat ja Active Directory sertifikātu pakalpojumos tiek izmantoti automātiskās atjaunošanas mehānismi, pirkstu nospieduma maiņa nozīmē, ka ir jāatjaunina sertifikāta piešķiršana QUIC konfigurācijā.
Kad sertifikāta derīguma termiņš tuvojas beigām vai tas tiek atjaunots, jums ir jā atkārtoti atlasiet sertifikātu Windows administrēšanas centrā Esošajai konfigurācijai vai palaidiet PowerShell cmdlet Set-SMBServerCertificateMapping, norādot uz jauno pirkstu nospiedumu. Ja šī darbība tiek izlaista, SMB savienojamība, izmantojot QUIC, var tikt negaidīti pārtraukta.
Lai izvairītos no pārsteigumiem, Microsoft iesaka atbalstīt šo pārvaldību ar tādiem rīkiem kā Azure Automanage operētājsistēmai Windows ServerŠī sistēma uzrauga sertifikātu statusu un brīdina (vai pat novērš) problēmas pirms pakalpojuma pārtraukuma. Augstas pieejamības un kritiskas attālās piekļuves vidēs tam ir liela nozīme.
Klientu piekļuves kontrole ar sertifikātiem
Papildus vienkāršai autentifikācijai var izmantot arī SMB, izmantojot QUIC uz klienta sertifikātu balstīta piekļuves kontroleTas ir papildu drošības slānis, kas ierobežo, kuras ierīces var izveidot QUIC tuneli ar serveri, pat ja tām ir zināmi akreditācijas dati.
Process darbojas šādi: serverim ir nepieciešams, lai klients uzrādītu derīga un uzticama sertifikātu ķēdeNo šīs ķēdes tiek pārbaudīts piekļuves kontroles saraksts, kas var saturēt atļauju vai bloķēšanas ierakstus gan konkrētiem sertifikātiem (identificēti pēc to SHA256 jaucējkoda), gan pilnīgiem izdevējiem (starpposma vai saknes sertificēšanas iestādēm).
Lai tas darbotos, vispirms ir jāiespējo klienta autentifikācijas prasība, izmantojot Set-SmbServerCertificateMapping -RequireClientAuthentication $truePēc tam sākas atļauto vai bloķēto klienta sertifikātu reģistrēšana, izmantojot tādas cmdlet kā Grant-SmbClientAccessToServer, Revoke-SmbClientAccessToServer, Block-SmbClientAccessToServer un Unblock-SmbClientAccessToServer.
Šis modelis ļauj, piemēram, autorizēt visu korporatīvo sertifikācijas iestādi Un vienlaikus liegt piekļuvi konkrētam sertifikātam, kas tiek uzskatīts par apdraudētu. Vai otrādi: bloķēt visu sertifikācijas iestādi, bet autorizēt ļoti konkrētu atsevišķu sertifikātu. Atteikuma noteikumiem ir prioritāte pār atļaujas noteikumiem, kas palīdz mazināt riskus.
No klienta viedokļa ir pietiekami, ja lokālajā veikalā ir instalēts klienta autentifikācijai izsniegts sertifikāts (EKU 1.3.6.1.5.5.7.3.2) no servera uzticamas sertifikācijas iestādes. Administrators var izgūt sertifikāta pirkstu nospiedumu vai subjektu no PowerShell (Get-ChildItem Cert:\LocalMachine\My, filtri pēc subjekta utt.) un vēlāk to izmantot, lai konfigurētu piekļuves sarakstu serverī.
Savienojamības pārbaude un problēmu novēršana
Ieviešot MVU QUIC platformā, ieteicams ievērot virkni norādījumu. kontrolēti testi pirms tā atvēršanas visai organizācijai. Tādā veidā sertifikātu, DNS vai ugunsmūra problēmas tiek atklātas agrīnā stadijā, un nepieciešamības gadījumā var konsultēties ar ceļvežiem. novērst failu piekļuves problēmas.
No klienta puses varat sākt ar skaidru kartēšanu, izmantojot `NET USE \\server\resource /TRANSPORT:QUIC` vai `New-SmbMapping -RemotePath \\server\resource -TransportType QUIC`. Ja savienojuma izveides vietā saņemat ziņojumu, ka serveris ir lieguši piekļuvi, iespējams, tas ir tāpēc, ka... Sertifikātu piešķiršana un QUIC tuneļa saņemšana darbojasTomēr ir jākonfigurē klienta piekļuves kontrole vai jāpārskata atļaujas.
Paralēli ir svarīgi pārskatīt klienta savienojamības notikumu žurnāli un servera audits apspriests iepriekš. Tur jūs redzēsiet gan veiksmīgus, gan neveiksmīgus mēģinājumus, ar detalizētu informāciju par sertifikātu ķēdi un noteikumiem, kas tika piemēroti katrā gadījumā.
Ieteicams arī pārbaudīt serverī, vai ugunsmūra noteikumi Tie atļauj ienākošos UDP 443 un TCP 443 scenārijos, kuros tiek izmantots KDC starpniekserveris vai citi saistītie HTTPS pakalpojumi un ja TCP 445 nav nejauši nonācis saskarē ar internetu.
MVU datplūsmas segmentēšanas un izolēšanas labākā prakse
Lai gan SMB, izmantojot QUIC, nodrošina stabilu failu datplūsmas aizsardzību internetā, joprojām ieteicams ieviest segmentācijas un izolācijas metodes lai samazinātu uzbrukuma virsmu starp ierīcēm tīklā.
Pamata vadlīnija ir bloķēt ienākošos TCP portu 445 no interneta uz perimetra ugunsmūriem. Ja nepieciešams atklāt failu resursus perimetrā, drošā iespēja ir tos publicēt, izmantojot SMB pār QUIC UDP portā 443, nevis tieši atverot klasisko SMB savienojumu.
Turpretī, bloķējot izejošo TCP portu 445 uz internetu, iekšējie datori nevar sūtīt SMB datus uz nekontrolētiem ārējiem serveriem. Tikai ļoti specifiskos gadījumos, piemēram, Azure faili vai Office 365 Var būt nepieciešams atļaut šo datplūsmu, un pat tad ieteicams to novirzīt, izmantojot VPN vai ļoti stingrus noteikumus pēc IP diapazoniem.
Tīklos ar daudzām ierīcēm ir vērts veikt faktiskā MVU lietojuma inventarizācijaTas ietver analīzi, kuriem serveriem faktiski ir nepieciešams ienākošais SMB, kuriem klientiem ir nepieciešama failu koplietošana un no kuriem apakštīkliem tiek piekļūts katram serverim. Šim nolūkam var izmantot tādus rīkus kā Get-FileShareInfo, kā arī ierobežotu laiku iespējot failu koplietošanas auditus, lai novērotu, kuri resursi tiek izmantoti.
Pamatojoties uz šo analīzi, var izstrādāt daudz precīzākus ienākošos un izejošos ugunsmūra noteikumus, bloķējot nevajadzīgu MVU datplūsmu un ierobežojot sānu kustības potenciāla uzbrucēja klātbūtni tīklā.
Pastiprināšana ar Windows Defender ugunsmūri un IPsec
Windows Defender ugunsmūris ar uzlabotu drošību darbojas kā otrā aizsardzības līnija ap SMB datplūsmu. Var izveidot noteikumus, lai pēc noklusējuma bloķētu ienākošos un izejošos savienojumus, atļaujot tikai nepieciešamos izņēmumus domēna kontrolleriem, failu serveriem un kritiski svarīgiem pakalpojumiem.
Izplatīta stratēģija ir definēt izejošos noteikumus, kas neļauj izmantot SMB uz jebkuru galamērķi, izņemot vienu. atļauto sarakstu Pamatojoties uz IP adresēm vai nosaukumiem, ar darbību "Atļaut savienojumu, ja tas ir drošs". Šo opciju var pielāgot, lai izmantotu Kerberos autentifikāciju un nulles iekapsulēšanu IPsec protokolā, piespiežot tikai autorizētus domēna lietotājus un datorus izmantot šos izņēmumus.
Lai šī pieeja darbotos, ir svarīgi izveidot savienojuma drošības noteikumi visās iesaistītajās ierīcēs, lai ugunsmūra izņēmumi būtu balstīti uz IPsec. Pretējā gadījumā bloķēšana varētu būt patvaļīga vai nekonsekventa.
Jaunākās versijās, piemēram, Windows 11 24H2 un Windows Server 2025, Microsoft ir pielāgojis iebūvētos ugunsmūra noteikumus, lai apturētu portu automātisku atvēršanu. NetBIOS (137–139) veidojot SMB2 vai augstākas versijas koplietojamos resursus, atspoguļojot stingrāku politiku, kas saskaņota ar mūsdienu izvietojumiem.
Vidēs, kur SMB1 vairs netiek izmantots, tas ir ļoti ieteicams. aizveriet šīs mantotās ostasTikai ārkārtas saderības gadījumos tās būtu jāatver manuāli, vēlams, ierobežojot darbības jomu ar ļoti specifiskiem noteikumiem.
Atspējojiet SMB serveri, ja tas nav nepieciešams.
Daudziem Windows klientiem un dažiem tīkla serveriem tas faktiski nav nepieciešams. MVU servera pakalpojums aktīvi, jo tie nekad nekopīgo failus ar citiem datoriem. Pakalpojuma nevajadzīga iespējošana tikai paplašina uzbrukuma virsmu.
Pirms tā atspējošanas ieteicams pārbaudīt, vai no tā ir atkarīgas kādas lietojumprogrammas vai procesi. Pēc pārbaudes SMB servera pakalpojumu var atspējot atsevišķos datoros, piemēram, ar grupas politikas preferences kas šo konfigurāciju piemēro masveidā un kontrolēti.
Šis pasākums apvienojumā ar SMB pār QUIC attālinātai piekļuvei un labi noregulētiem ugunsmūra noteikumiem palīdz izveidot daudz robustāka failu koplietošanas arhitektūrakur tikai tie mezgli, kuriem ir jāatklāj SMB, to dara, un visdrošākajā iespējamajā veidā.
MVU, izmantojot QUIC, ļauj piedāvāt attāliem lietotājiem, filiālēm un mobilajām ierīcēm piekļuve šifrētiem failiem, izturīgs pret nestabiliem tīkliem un bez nepieciešamības pēc tradicionālajiem VPN, savukārt sertifikātu rīki, klienta piekļuves kontrole, KDC starpniekserveris, ugunsmūris un tīkla segmentācija nodrošina nepieciešamo atbalstu, lai šis “MVU VPN” darbotos droši un ar drošības garantijām reālās vidēs.
