Sigurno dijeljenje datoteka putem SMB-a putem QUIC-a

Sigurno dijelite datoteke putem interneta bez postavljanja tradicionalnog VPN-a To više nije futuristička ideja: sa SMB-om preko QUIC-a, to je potpuno realizovano i, kada se pravilno konfiguriše, veoma robusno rešenje. Ovaj pristup kombinuje provereni SMB protokol sa QUIC-om, modernim transportnim mehanizmom dizajniranim za zahtevne mreže poput interneta, nudeći praktično besprekorno korisničko iskustvo.

U sljedećim redovima vidjet ćete Kako SMB funkcioniše na QUIC-u, šta vam je potrebno da biste ga pokrenuli i radili, kako se njime upravlja i kako se uklapa u vašu sigurnosnu strategijuTakođer ćemo pogledati uobičajena pitanja (kao što je da li može zamijeniti OneDrive ili da li radi u radnim grupama), kao i poboljšanja koja Windows Server 2025 donosi ovom protokolu.

Šta je SMB preko QUIC-a i zašto je važan za udaljeni pristup?

SMB preko QUIC-a je, u praksi, "SMB VPN" integriran u sam protokol za datoteke.Umjesto prenosa SMB-a preko TCP-a (port 445), on enkapsulira komunikaciju unutar QUIC-a koristeći UDP 443, isti port koji koristi HTTPS, stvarajući šifrirani tunel s TLS 1.3 između klijenta i datotečnog servera.

QUIC je IETF standard koji nudi nekoliko jasnih prednosti u odnosu na TCP.Svi paketi su uvijek šifrirani, rukovanje se autentificira pomoću TLS 1.3, omogućava pouzdane i nepouzdane paralelne tokove, može slati podatke aplikacije u prvom krugu (0-RTT) i poboljšava kontrolu zagušenja i oporavak od gubitaka, preživljavajući čak i promjene IP adrese ili porta klijenta (tipično za mobilne mreže ili s promjenama s Wi-Fi na 4G).

Sa stanovišta korisnika, SMB se i dalje ponaša kao i uvijek.Pristup dijeljenim resursima putem UNC putanja, korištenje File Explorera, skripti s NET USE ili New-SmbMapping itd. Napredne funkcije poput višekanalnog pristupa, potpisivanja, kompresije, kontinuirane dostupnosti ili iznajmljivanja direktorija nastavljaju s radom unutar QUIC tunela, a da korisnik to ne primijeti.

Ključno je da sav SMB promet (uključujući autentifikaciju i autorizaciju) Putuje unutar TLS 1.3 tunela i nikada nije otvoreno izložen posredničkoj mreži. Ovo čini SMB preko QUIC-a veoma atraktivnom opcijom za udaljene radnike. mobilni uređaji i organizacije koje žele smanjiti svoju ovisnost o tradicionalnim VPN-ovima.

Preduslovi za korištenje SMB-a preko QUIC-a

Prije nego što počnete, kliknite na dugme „Konfiguriši“ u Windows administratorskom centruPostoji niz zahtjeva koji moraju biti ispunjeni i na strani servera i na strani klijenta. Ako bilo koji od njih ne uspije, iskustvo će biti frustrirajuće.

Kompatibilni SMB server

Potreban vam je SMB server koji radi na kompatibilnoj verziji WindowsaTipično Windows Server 2022 Datacenter: Azure Edition (posebno u Azure Stack HCI ili Azure Local okruženjima) ili novije verzije kao što je Windows Server 2025, gdje je SMB na QUIC-u još više integriran i ima nove mogućnosti.

Kompatibilni Windows klijenti

Sa strane kupca, danas je ključni element Windows 11 (poslovno orijentisana izdanja)koji uključuje SMB klijent s podrškom za QUIC. Počevši od Windows 11 24H2 Poboljšanja uključuju naprednu reviziju SMB veza preko QUIC-a u Pregledniku događaja.

Integracija s Active Directoryjem ili radnom grupom

Microsoft preporučuje korištenje SMB-a umjesto QUIC-a s domenama Active DirectoryjaSMB server i klijent moraju biti pridruženi istoj domeni ili pouzdanim domenama. Server mora biti u mogućnosti komunicirati s barem jednim kontrolerom domene radi autentifikacije, iako taj kontroler domene ne mora nužno biti dostupan s interneta.

Međutim, posjedovanje domene nije obavezno.Također možete postaviti SMB na QUIC u okruženjima radnih grupa koristeći lokalne i NTLM račune ili čak na IaaS serverima povezanim s Microsoft Entra (ranije Azure AD), uz neka upozorenja: potonji ne može koristiti Entra vjerodajnice za udaljene sigurnosne operacije jer Entra ID ne upravlja korisničkim ili grupnim SID-ovima, tako da ćete u praksi i dalje morati koristiti lokalne ili klasične domenske račune za pristup dijeljenom resursu.

Portovi i zaštitni zid

Jedna od najkritičnijih tačaka je konfiguracija mrežeServer mora biti dostupan klijentima na svom javnom interfejsu putem pravila zaštitnog zida (firewall) koje dozvoljava dolazni UDP/443 promet. Važno je ne otvarati TCP/445 port prema internetu: klasični SMB pristup putem 445 mora biti blokiran na perimetru.

Ako trebate promijeniti zadani port (zbog internih politika ili konflikata s drugim servisima), alternativni portovi mogu biti konfigurirani za SMB, ali uobičajena i preporučena praksa za QUIC je održavanje UDP 443, jer to olakšava zaobilaženje tipičnih zaštitnih zidova i proxyja.

Windows administratorski centar i PKI

Za olakšavanje administracije, preporučuje se korištenje Windows Admin Centera (WAC) U svojoj najnovijoj verziji, uključuje specifične čarobnjake za omogućavanje i upravljanje SMB-om preko QUIC-a. Međutim, kao što su neki korisnici primijetili, ako dugme "Konfiguriši" ne reaguje, to je gotovo uvijek znak da nedostaje preduslov (uloga nije instalirana, nedovoljne dozvole, zastarjeli WAC, problematičan preglednik itd.).

Pored WAC-a, potrebna vam je i infrastruktura javnih ključeva (PKI). sposoban za izdavanje odgovarajućih serverskih certifikata, bilo od strane CA servisa za certifikate Active Directory ili od pouzdanog javnog CA kao što su Digicert, Let's Encrypt itd. Bez ispravnog certifikata, QUIC neće uspostaviti tunel.

SMB certifikati i osnovna konfiguracija na QUIC-u

Srce SMB-a u odnosu na QUIC je serverski certifikat.Bez njega, nema TLS 1.3 tunela ili autentifikacije krajnjih tačaka, tako da je to prva stvar koju treba pravilno osigurati.

Karakteristike serverskog certifikata

Serverski certifikat koji ćete koristiti za QUIC mora ispunjavati brojne tehničke zahtjeve:

• Korištenje ključadigitalni potpis.
• Namjena (EKU): autentifikacija servera (OID 1.3.6.1.5.5.7.3.1).
• Algoritam potpisaSHA256RSA ili noviji, sa SHA256 hešem ili novijim.
• Clave públicaPoželjno ECDSA_P256 ili noviji; RSA sa minimalno 2048 bitova je takođe podržan.
• Alternativni naziv subjekta (SAN): mora uključivati ​​DNS unose za sve FQDN-ove koje će klijenti koristiti za pristup SMB serveru.
• Predmet (CN)Može biti "skoro" šta god želite, ali mora postojati i slijediti dobre prakse izdavanja.
• Privatni ključ uključenDefinitivno da, pohranjeno na serverskom računaru.

Ako radite s Microsoft Enterprise CANajlakši način je kreirati predložak certifikata posebno za SMB preko QUIC-a. Administrator datotečnog servera zatim može zatražiti certifikat navođenjem odgovarajućih DNS imena. Microsoftova dokumentacija o dizajnu i implementaciji PKI-a detaljno objašnjava proces izrade predloška.

Zahtjev za certifikatom od servera

U okruženju sa Active Directory CATipičan tok bi bio:

1. Pokrenite MMC na datotečnom serveru i dodajte dodatak Certifikati za račun računara.
2. Idite na Certifikati (lokalni računar) > Lično > Certifikati i odaberite "Zatraži novi certifikat".
3. Odaberite politiku upisa u Active Directory i kliknite Dalje dok ne dođete do popisa predložaka.
4. Označite predložak kreiran za SMB na QUIC-u.
5. U polje Naslov unesite uobičajeno ime koje je korisno korisnicima za identifikaciju servera i dodajte sva DNS imena koja će se koristiti za SAN mreže.
6. Potvrdite i dovršite registraciju kako bi certifikat bio instaliran u skladištu opreme.

Ako koristite javni CA treće straneProces se zasniva na generiranju CSR-a sa servera i praćenju vodiča određenog provajdera za izdavanje certifikata sa odgovarajućim EKU-ovima, SAN-ovima i algoritmima.

Omogućite SMB preko QUIC protokola na serveru

Kada dobijete certifikat, vrijeme je da aktivirate SMB na QUIC-u.Server to ne omogućava po defaultu, a klijenti to ne mogu jednostrano "prisiliti", iz očiglednih sigurnosnih razloga.

Konfiguracija se može izvršiti putem Windows administratorskog centra ili PowerShellU WAC-u ćete imati čarobnjaka koji će vas podsjetiti da odaberete certifikat i aktivirate QUIC. U PowerShellu, proces uključuje korištenje cmdleta za mapiranje certifikata SMB servera preko QUIC-a (New-SmbServerCertificateMapping i Set-SmbServerCertificateMapping, ovisno o scenariju).

Što se tiče prometa kupacaWindows će prvo normalno nastaviti pokušavati SMB preko TCP-a. Pokušat će QUIC samo ako pokušaj TCP-a ne uspije ili ako mu eksplicitno kažete da koristi QUIC. naredbe kao što su:

• NET USE /TRANSPORT:QUIC
• New-SmbMapping -TransportType QUIC

Povezivanje klijenata sa dijeljenim SMB resursima putem QUIC-a

Sa stanovišta korisnika, pristup SMB resursima putem QUIC-a je gotovo identičan tradicionalnom pristupu.Razlika je u tome što je sada ovaj promet zaštićen unutar QUIC/TLS 1.3 tunela i putuje preko interneta bez otkrivanja porta 445.

Pripremite klijenta i rješenje za ime

Ako klijent pripada domenuUobičajena procedura je pridružiti Windows uređaj odgovarajućoj domeni i osigurati da su imena servera korištena u UNC putanjama objavljena u DNS-u i da se podudaraju sa SAN-ovima certifikata datotečnog servera.

U scenarijima gdje DNS ne razrješava ta imenaMožete koristiti HOSTS datoteku klijenta za mapiranje FQDN-a servera na njegovu javnu IP adresu. Važno je da ime koje korisnik unese u UNC putanju bude jedno od onih koje su uključene u certifikat servera.

Povezivanje s vanjskih mreža

Tipičan scenario upotrebe je da se klijent nalazi izvan korporativne mreže.bez direktnog pristupa internim kontrolerima domena ili privatnim IP adresama datotečnog servera. Tu QUIC blista: tunel se uspostavlja preko interneta korištenjem UDP 443, bez potrebe za dodatnim VPN-om.

Za korisnika, pristup se može jednostavno izvršiti iz File Exploreraupisivanjem UNC putanje do dijeljenog resursa (na primjer, \\fsedge1.contoso.com\sales). Alternativno, možete koristiti:

• NET USE * \\fsedge1.contoso.com\ventas (pokušava TCP, a zatim automatski QUIC ako TCP ne uspije).
• NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC (QUIC sila).
• New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC (putem PowerShella).

Ako veza ne uspije kada prisilno koristite QUICOvo je obično simptom da se tunel pokušava uspostaviti, ali nešto u konfiguraciji zaštitnog zida, certifikata ili mapiranja nije ispravno postavljeno.

Autentifikacija: NTLMv2, Kerberos i KDC proxy

Podrazumevano, kada se klijent poveže na SMB datotečni server preko QUIC-a sa internetaNema direktnu vidljivost internih kontrolera domena. U tom kontekstu, autentifikacija se vrši putem NTLMv2, gdje server vrši autentifikaciju u ime korisnika, ali uvijek unutar TLS 1.3 tunela (nijedan akreditiv se ne otkriva izvan QUIC-a).

Iako je NTLMv2 unutar tunela prihvatljiv, Microsoft preporučuje održavanje Kerberosa kad god je to moguće.jer nudi robusniji sigurnosni model i izbjegava dugoročnu ovisnost o NTLM-u.

KDC proxy za omogućavanje Kerberosa putem interneta

Da biste nastavili koristiti Kerberos bez direktnog izlaganja kontrolera domena internetuMožete konfigurirati KDC proxy. Ova usluga prima Kerberos zahtjeve za tikete putem HTTPS-a (TCP port 443), prosljeđuje ih internim kontrolerima domena i odgovara klijentu, sve bez razmjene akreditiva u običnom tekstu preko vanjske mreže.

Postavljanje uključuje nekoliko koraka na datotečnom serveru:

1. Registrujte URL za slušanje proxyja pomoću NETSH-a, obično u https://+:443/KdcProxy, s računom „NT AUTHORITY\Network Service“.
2. Konfigurišite određene ključeve registra KPSSVC servisa (KDC proxy) da biste prilagodili HTTPS autentifikaciju i omogućili potrebne scenarije.
3. Povežite odgovarajući certifikat na port 443 sa Add-NetIPHttpsCertBinding, koristeći otisak prsta SMB certifikata na QUIC-u.
4. Dodajte SMB imena preko QUIC-a servera kao SPN-ove u Active Directoryju (na primjer, sa NETDOM computername).
5. Konfigurišite kpssvc servis za automatsko pokretanje i pokrenite ga.

Na strani klijenta se koriste grupne politike. Da biste odredili KDC proxy servere za Kerberos klijente, povezivanjem AD domene (npr. corp.contoso.com) s vanjskim URL-om proxyja (nešto poput https fsedge1.contoso.com:443:kdcproxy /).

Stoga, kada korisnik sa corp.contoso.com pokuša pristupiti fsedge1.contoso.comKlijent će znati da treba kontaktirati tog proxyja kako bi dobio Kerberos tikete, bez potrebe da direktno razgovara sa internim kontrolerima domena.

Istek i obnavljanje certifikata

Jedna od najzanemarenijih tačaka u praksi je upravljanje životnim ciklusom certifikata.Kada SMB certifikat na QUIC-u istekne i izda se novi, digitalni otisak prsta se mijenja, čak i ako ga automatski obnavlja isti CA.

To znači da je potrebno ažurirati SMB konfiguraciju na QUIC-u. da biste povezali novi certifikat. To možete učiniti iz Windows administratorskog centra odabirom novog certifikata u postojećim postavkama ili putem PowerShella s Set-SMBServerCertificateMapping ciljati na svježi otisak.

Da biste izbjegli prekide usluge zbog neočekivanog istekaMicrosoft predlaže korištenje alata poput Azure Automanage za Windows Server, koji pomažu u praćenju i automatizaciji obnavljanja certifikata i drugih zadataka održavanja.

Kontrola pristupa korisnika pomoću certifikata

Pored šifriranog tuneliranja i autentifikacije korisnika, SMB preko QUIC-a može nametnuti dodatnu kontrolu pristupa na osnovu klijentskih certifikata.To je dodatni sloj sigurnosti koji vam omogućava da eksplicitno definirate koji uređaji mogu uspostaviti QUIC veze sa serverom.

Kako funkcioniše kontrola pristupa kupaca

Server održava listu certifikata za kontrolu pristupa (liste dozvoljenih i blokiranih adresa) i, kada klijent pokuša da se poveže, prvo validira lanac certifikata tog klijenta. Server provjerava:

• Provjerite je li lanac certifikata važeći i izdat od strane CA kojem vjerujete.
• Da li su certifikat ili njegov izdavatelj prisutni (dozvoljeni ili odbijeni) na listama kontrole pristupa.

Klijentski certifikati se mogu koristiti sa SAN-omKao i kod servera, odluka o pristupu se donosi procjenom da li postoje unosi dozvola ili blokiranja za list certifikata ili za bilo kojeg od izdavatelja u lancu. Jedan unos zabrane u lancu ima prednost nad unosima dozvola.

Ovo omogućava fleksibilne scenarijeMožete dozvoliti sve certifikate koje izdaje određeni CA, ali odbiti neke specifične uređaje dodavanjem njihovih heševa kao blokiranih ili obrnuto, blokirati cijeli CA osim za vrlo kontrolirane izuzetke.

Zahtjevi za kontrolu pristupa kupaca

Na serveru vam je potreban Windows Server 2022 Datacenter: Azure Edition sa ažuriranjem KB5035857 iz marta 2024. (i, za određene funkcije u pregledu, paket pregleda funkcija 240302_030531) ili novije verzije kao što je Windows Server 2025. Također, očigledno je da SMB preko QUIC-a već mora biti omogućen.

Na strani klijenta, mala i srednja preduzećaMorate imati podržani operativni sistem i klijentski certifikat s EKU-om za autentifikaciju klijenta (OID 1.3.6.1.5.5.7.3.2), izdat od strane CA kojem server vjeruje i instaliran u skladištu certifikata računara.

Dodijelite certifikate i odobrite pristup

Tipičan proces počinje s klijentom, dobijanjem otiska prsta njihovog certifikata.:

1. Navedite certifikate u Cert:\LocalMachine\My koristeći PowerShell.
2. Filtrirajte po temi koja vas zanima i sačuvajte je u varijabli.
3. Dobijte svoj SHA256 heš pomoću $clientCert.GetCertHashString("SHA256").

Zatim se kreira mapiranje SMB klijentskog certifikata con New-SmbClientCertificateMappingnavođenjem imenskog prostora (FQDN servera) i odgovarajućeg otiska prsta. Od tog trenutka nadalje, klijent će koristiti taj certifikat prilikom povezivanja sa serverom koji odgovara tom imenskom prostoru.

Na serveru je potrebna autentifikacija klijenta. con Set-SmbServerCertificateMapping -RequireClientAuthentication $trueOdatle se dozvole dodjeljuju određenim klijentima sa Grant-SmbClientAccessToServer ili budu blokirani sa Block-SmbClientAccessToServer, koristeći kao identifikator SHA256 hash lista certifikata ili Subject izdavatelja.

Zapisnici revizije i događaja za SMB na QUIC-u

U ozbiljnim okruženjima, vidljivost je jednako važna kao i sigurnost.SMB preko QUIC-a uključuje mogućnosti revizije i na strani klijenta i na strani servera kako bi se pomoglo u dijagnosticiranju problema i praćenju pristupa.

Na klijentima koji koriste Windows 11 24H2 ili novijiPreglednik događaja bilježi informacije o SMB povezivosti o QUIC-u u putanji Application and Services Logs\Microsoft\Windows\SMBClient\Connectivity, gdje, na primjer, događaj 30832 odražava detalje QUIC veza.

Na serveru možete omogućiti reviziju pristupa putem klijentskih certifikata con Set-SmbServerConfiguration -AuditClientCertificateAccess $trueRelevantni događaji su zabilježeni u:

• SMBServer\Audit (događaji 3007, 3008 i 3009) za serversku stranu.
• SMBClient\Connectivity (događaj 30831) za korelaciju veza sa stanovišta klijenta.

Ovi događaji uključuju podatke o klijentskim certifikatima (osim korijena) kao što su predmet, pošiljatelj, serijski broj, SHA1/SHA256 heševi i koji su unosi kontrole pristupa primijenjeni na svaki zahtjev, kao i identifikator veze koji olakšava unakrsno referenciranje informacija između klijenta i servera.

Mrežna sigurnost oko malih i srednjih preduzeća: segmentacija i zaštitni zid

SMB preko QUIC-a ne postoji u vakuumu; dio je šire strategije mrežne sigurnosti.Microsoft preporučuje dopunjavanje ovog šifriranog tunela tehnikama segmentacije i izolacije kako bi se minimiziralo lateralno kretanje i nepotrebna izloženost.

Kao opće pravilo, TCP port 445 treba ostati blokiran za pristup internetu i od njega.Ovo se odnosi i na dolazni i na odlazni promet, osim u specifičnim slučajevima kao što su Azure Files ili druge kontrolirane usluge u oblaku. Kada je SMB potreban u javnom oblaku, preporučuje se njegovo enkapsuliranje u VPN ili korištenje SMB-a direktno preko QUIC-a kako bi se smanjila površina za napad.

Na internoj mreži, isplati se inventarizovati SMB promet. (ko s kim razgovara, koji se resursi koriste, koji serveri otkrivaju zaista potrebne dijeljene resurse). Alati poput PowerShell modula (na primjer, Get-FileShareInfo) i revizija dijeljenog pristupa pomažu u saznanju šta se koristi, a šta ne.

Firewall Windows Defender Napredna sigurnost je još jedna ključna komponentaMožete kreirati dolazna i odlazna pravila koja globalno blokiraju SMB i koristiti akciju "Dozvoli vezu ako je sigurna" za definiranje dozvoljenih lista na osnovu IPsec ili Kerberos autentifikacije s null enkapsulacijom, dozvoljavajući samo ovlaštene kontrolere domena i datotečne servere.

U novijim verzijama Windowsa (Windows 11 24H2 i Windows Server 2025)Ugrađena pravila zaštitnog zida više ne otvaraju automatski NetBIOS portove 137-139 prilikom kreiranja dijeljenih resursa, što pojačava zadanu sigurnost. Ako neko treba održavati SMB1 (ne preporučuje se osim u ekstremnim slučajevima starijih verzija), morat će ručno otvoriti ove portove.

Primjeri upotrebe, često postavljana pitanja i odnos sa OneDrive/SharePoint

Jedna od najčešćih debata je da li SMB na QUIC-u može zamijeniti rješenja poput OneDrive-a ili... SharePointKratak odgovor je da nisu dizajnirani za istu svrhu, iako postoji određeno preklapanje.

SMB preko QUIC-a nudi direktan udaljeni pristup dijeljenim serverskim resursimasa istom strukturom foldera, dozvolama NTFS i tokove rada koje već imate na svojoj lokalnoj mreži. Idealan je za korisnike i aplikacije koje se oslanjaju na UNC putanje, zaključavanje datoteka, kontinuirane tokove podataka ili klasične funkcije datotečnog servera.

S druge strane, OneDrive i SharePoint funkcionišu kao SaaS usluge sa sinhronizacijom, online saradnjom i ekosistemom. Microsoft 365Bolji su za kolaborativni rad, istovremeno uređivanje u Officeu, kontrolu verzija dokumenata i pristup s bilo kojeg mjesta bez brige o serverskoj infrastrukturi.

Što se tiče radnih grupa bez domeneSMB preko QUIC-a se može koristiti, ali nije čarobni lijek i ne transformira magično grupu računara u distribuirani sistem "Dropbox P2P". Da, mašina može djelovati kao SMB server preko QUIC-a i izložiti resurse ostatku, pod uslovom da ima važeći certifikat i da je dostupna putem UDP porta 443, ali:

• Mašina na kojoj se nalaze datoteke mora ostati uključena i dostupna. kako bi se i drugi mogli povezati.
• Ne postoji izvorna sinhronizacija podataka između svih uređajaSMB preko QUIC-a je udaljeni pristup, a ne automatska replikacija u multi-master režimu.
• Postavite „decentralizovani sistem“ gdje su sve mašine istovremeno i server i klijent To bi zahtijevalo još jedan sloj softvera za replikaciju ili klasteriranje; QUIC to sam po sebi ne rješava.

Jednostavnije rečeno: ne, niste otkrili čarobnu alternativu OneDriveu za sinhronizaciju svega između svih bez infrastrukture.Ono što imate je moćan i siguran način da resurse vašeg datotečnog servera izložite internetu bez VPN-a, uz zadržavanje poznate logike i alata za dozvole.

Nove funkcije u Windows Serveru 2025 vezane za SMB na QUIC-u

Windows Server 2025 dolazi s nekoliko poboljšanja koja direktno podržavaju SMB preko QUIC protokola. i s idejom da se ponudi siguran i efikasan udaljeni pristup lokalnim i perimetralnim resursima.

S jedne strane, to jača podršku malih i srednjih preduzeća na QUIC-u. kao centralna komponenta za hibridna i teleworking okruženja, s jasnim fokusom na end-to-end šifrirane veze bez VPN-a, bolje performanse na mrežama s visokom latencijom i preferenciju za TLS i Kerberos certifikate u odnosu na NTLM.

S druge strane, proširuje mogućnosti upravljanja i visoku dostupnost. Zahvaljujući funkcijama poput hotpatchinga (primjena kritičnih zakrpa bez ponovnog pokretanja, posebno u Datacenter: Azure Edition) i dubljoj integraciji sa Windows Admin Centerom, Hyper-V-om, kontejnerima i Azure Arc-om.

Azure Arc i povezane usluge (Praćenje, Politika, Automatizacija) Omogućavaju vam da tretirate fizičke ili virtuelne servere kao cloud resurse, primjenjujući sigurnosne politike, ažuriranja i reviziju na jednak način, što je posebno korisno kada ti serveri izlažu SMB resurse putem QUIC-a internetu.

Iako je konačna verzija Windows Servera 2025 još uvijek u fazi tehničke evaluacijePregled dostupan putem Windows Insidera već jasno pokazuje da model udaljenog pristupa uključuje moderne protokole poput QUIC-a i integraciju klasičnog datotečnog servera u hibridne i multicloud scenarije.

SMB preko QUIC-a je postao strateški alat za sigurno dijeljenje datoteka putem interneta.Kombinuje poznati SMB protokol sa modernim, šifrovanim i otpornim transportom poput QUIC-a, pojednostavljujući udaljeni pristup bez potrebe za implementacijom i održavanjem složenih VPN-ova. Omogućava fino podešenu kontrolu pristupa putem klijentskih certifikata, integriše se sa Kerberosom putem KDC proxyja i usklađen je sa praksama segmentacije i ojačavanja SMB prometa. Kada je dobro dizajniran (sa pažljivo upravljanim certifikatima, fino podešenim zaštitnim zidom, aktivnom revizijom i robusnom politikom lozinki ili autentifikacijom bez lozinke), nudi vrlo siguran način izlaganja datotečnih servera vanjskom svijetu, uz održavanje kontrole nad tim ko im pristupa, odakle i sa kojim garancijama.