Bezpečné zdieľanie súborov s SMB cez QUIC

Zdieľajte súbory bezpečne cez internet bez nutnosti nastavovania tradičnej VPN Už to nie je len futuristická myšlienka: s SMB cez QUIC ide o plne realizované a pri správnej konfigurácii aj vysoko robustné riešenie. Tento prístup kombinuje osvedčený protokol SMB s QUIC, moderným transportným mechanizmom navrhnutým pre náročné siete, ako je internet, a ponúka prakticky bezproblémový používateľský zážitok.

V nasledujúcich riadkoch uvidíte Ako funguje SMB na QUIC, čo potrebujete na jeho spustenie a prevádzku, ako sa spravuje a ako zapadá do vašej bezpečnostnej stratégiePozrieme sa aj na bežné otázky (napríklad či môže nahradiť OneDrive alebo či funguje v pracovných skupinách), ako aj na vylepšenia, ktoré Windows Server 2025 prináša do tohto protokolu.

Čo je SMB cez QUIC a prečo je dôležitý pre vzdialený prístup?

SMB cez QUIC je v praxi „SMB VPN“ integrovaná do samotného súborového protokolu.Namiesto prenosu SMB cez TCP (port 445) zapuzdruje komunikáciu v rámci QUIC pomocou UDP 443, rovnakého portu, aký používa HTTPS, čím vytvára šifrovaný tunel s TLS 1.3 medzi klientom a súborovým serverom.

QUIC je štandard IETF, ktorý ponúka oproti TCP niekoľko jasných výhod.Všetky pakety sú vždy šifrované, handshake je overený pomocou TLS 1.3, umožňuje spoľahlivé aj nespoľahlivé paralelné toky, dokáže odosielať aplikačné dáta počas prvého kola (0-RTT) a zlepšuje kontrolu preťaženia a zotavenie zo strát, pričom prežíva aj zmeny IP adresy alebo portu klienta (typické v...) mobilné siete alebo so zmenami z Wi-Fi na 4G).

Z pohľadu používateľa sa SMB naďalej správa ako vždy.Prístup k zdieľaným zdrojom prostredníctvom UNC ciest, použitie Prieskumníka súborov, skriptov s NET USE alebo New-SmbMapping atď. Pokročilé funkcie, ako je viackanálový prístup, podpisovanie, kompresia, nepretržitá dostupnosť alebo prenájom adresárov, naďalej fungujú v tuneli QUIC bez toho, aby si to používateľ všimol.

Kľúčové je, že všetka SMB prevádzka (vrátane autentifikácie a autorizácie) Prenáša sa v tuneli TLS 1.3 a nikdy nie je otvorene vystavený prechodnej sieti. Vďaka tomu je SMB cez QUIC veľmi atraktívnou možnosťou pre pracovníkov na diaľku. mobilné a organizácie, ktoré chcú znížiť svoju závislosť od tradičných VPN.

Predpoklady pre používanie SMB cez QUIC

Predtým, ako začnete, kliknite na tlačidlo „Konfigurovať“ v Centre správcov systému WindowsNa strane servera aj klienta musí byť splnené množstvo požiadaviek. Ak niektorá z nich zlyhá, používateľský zážitok bude frustrujúci.

Kompatibilný SMB server

Potrebujete SMB server bežiaci na kompatibilnej verzii systému Windows.Typicky Windows Server 2022 Datacenter: Azure Edition (najmä v prostrediach Azure Stack HCI alebo Azure Local) alebo novšie verzie, ako napríklad Windows Server 2025, kde je SMB na QUIC ešte viac integrovaný a má nové možnosti.

Kompatibilné klienty systému Windows

Na strane zákazníka je dnes kľúčovým prvkom windows 11 (vydania zamerané na podnikanie)ktorý zahŕňa SMB klienta s podporou pre QUIC. Počnúc Windows 11 24H2 Medzi vylepšenia patrí pokročilý audit SMB pripojení cez QUIC v Prehliadači udalostí.

Integrácia s Active Directory alebo pracovnou skupinou

Spoločnosť Microsoft odporúča používať protokol SMB namiesto QUIC s doménami služby Active DirectoryServer a klient SMB musia byť pripojení k rovnakej doméne alebo dôveryhodným doménam. Server musí byť schopný komunikovať s aspoň jedným radičom domény kvôli overeniu, hoci tento radič domény nemusí byť nevyhnutne prístupný z internetu.

Mať doménu však nie je povinné.SMB na QUIC môžete nastaviť aj v prostrediach pracovných skupín pomocou lokálnych a NTLM účtov alebo dokonca na IaaS serveroch pripojených k Microsoft Entra (predtým Azure AD), s určitými výhradami: ten nemôže používať poverenia Entra na vzdialené bezpečnostné operácie, pretože Entra ID nespravuje SID používateľov ani skupín, takže v praxi budete musieť na prístup k zdieľanému prostriedku stále používať lokálne alebo klasické doménové účty.

Porty a firewall

Jedným z najdôležitejších bodov je konfigurácia sieteServer musí byť prístupný klientom na svojom verejnom rozhraní prostredníctvom pravidla firewallu, ktoré povoľuje prichádzajúcu prevádzku UDP/443. Je dôležité neotvárať port TCP/445 do internetu: klasický prístup SMB cez 445 musí byť blokovaný na perimetri.

Ak potrebujete zmeniť predvolený port (kvôli interným politikám alebo konfliktom s inými službami) je možné pre SMB nakonfigurovať alternatívne porty, ale bežnou a odporúčanou praxou pre QUIC je zachovať UDP 443, pretože to uľahčuje prechádzanie cez typické firewally a proxy.

Centrum správcov systému Windows a PKI

Pre uľahčenie správy sa odporúča používať Centrum administrácie systému Windows (WAC). Vo svojej najnovšej verzii obsahuje špecifických sprievodcov na povolenie a správu SMB cez QUIC. Ako však niektorí používatelia poznamenali, ak tlačidlo „Konfigurovať“ nereaguje, je to takmer vždy znak toho, že chýba niektorá predpokladová požiadavka (nenainštalovaná rola, nedostatočné povolenia, zastaraný WAC, problematický prehliadač atď.).

Okrem WAC potrebujete infraštruktúru verejných kľúčov (PKI). schopný vydávať vhodné serverové certifikáty, buď z certifikačnej autority služby Active Directory Certificate Services, alebo z dôveryhodnej verejnej certifikačnej autority, ako napríklad Digicert, Let's Encrypt atď. Bez správneho certifikátu QUIC nevytvorí tunel.

Certifikáty SMB a základná konfigurácia na QUIC

Srdcom SMB oproti QUIC je serverový certifikát.Bez neho neexistuje tunel TLS 1.3 ani overovanie koncových bodov, takže je to prvá vec, ktorú treba riadne zabezpečiť.

Funkcie certifikátu servera

Serverový certifikát, ktorý budete používať pre QUIC, musí spĺňať niekoľko technických požiadaviek.:

• Použitie kľúča: digitálny podpis.
• Účel (EKU): autentifikácia servera (OID 1.3.6.1.5.5.7.3.1).
• Algoritmus podpisuSHA256RSA alebo vyšší, s hashom SHA256 alebo vyšším.
• Clave pública: najlepšie ECDSA_P256 alebo vyšší; podporovaný je aj RSA s minimálne 2048 bitmi.
• Alternatívny názov subjektu (SAN): musí obsahovať položky DNS pre všetky FQDN, ktoré klienti použijú na prístup k serveru SMB.
• Predmet (CN)Môže to byť „takmer“ čokoľvek chcete, ale musí to existovať a dodržiavať osvedčené postupy vydávania.
• Súkromný kľúč je súčasťou baleniaurčite áno, uložené na serverovom počítači.

Ak pracujete s certifikačnou autoritou spoločnosti Microsoft EnterpriseNajjednoduchší spôsob je vytvoriť šablónu certifikátu špeciálne pre SMB cez QUIC. Správca súborového servera potom môže vyžiadať certifikát zadaním príslušných názvov DNS. Dokumentácia spoločnosti Microsoft o návrhu a implementácii PKI podrobne vysvetľuje proces šablóny.

Vyžiadanie certifikátu zo servera

V prostredí s certifikačnou autoritou služby Active DirectoryTypický tok by bol:

1. Spustite MMC na súborovom serveri a pridajte modul snap-in Certifikáty pre konto počítača.
2. Prejdite do časti Certifikáty (lokálny počítač) > Osobné > Certifikáty a vyberte možnosť „Vyžiadať nový certifikát“.
3. Vyberte politiku registrácie služby Active Directory a kliknite na tlačidlo Ďalej, kým sa nezobrazí zoznam šablón.
4. Označte šablónu vytvorenú pre SMB na QUIC.
5. Do predmetu zadajte bežný názov, ktorý bude používateľom užitočný na identifikáciu servera, a pridajte všetky názvy DNS, ktoré sa budú používať v sieťach SAN.
6. Potvrďte a dokončite registráciu, aby bol certifikát nainštalovaný v sklade zariadení.

Ak používate verejnú certifikačnú autoritu tretej stranyProces je založený na vygenerovaní CSR zo servera a dodržiavaní pokynov konkrétneho poskytovateľa na vydanie certifikátu s príslušnými EKU, SAN a algoritmami.

Povoliť SMB cez QUIC na serveri

Keď už máte certifikát, je čas aktivovať SMB na QUICServer to štandardne nepovoľuje a klienti to nemôžu jednostranne „vynútiť“ z pochopiteľných bezpečnostných dôvodov.

Konfiguráciu je možné vykonať prostredníctvom Centra administrácie systému Windows alebo PowerShellVo WAC sa zobrazí sprievodca, ktorý vás vyzve na výber certifikátu a aktiváciu QUIC. V PowerShell proces zahŕňa použitie cmdletov na mapovanie certifikátov servera SMB cez QUIC (New-SmbServerCertificateMapping a Set-SmbServerCertificateMapping v závislosti od scenára).

Ohľadom návštevnosti zákazníkovSystém Windows bude naďalej skúšať SMB cez TCP ako obvykle, najprv. QUIC sa pokúsi iba v prípade, že pokus o TCP zlyhá alebo ak mu výslovne poviete, aby použil QUIC. príkazy as:

• NET USE /TRANSPORT:QUIC
• New-SmbMapping -TransportType QUIC

Pripájanie klientov k zdieľaným SMB zdrojom cez QUIC

Z pohľadu používateľov je prístup k zdrojom SMB cez QUIC takmer identický s tradičným prístupom.Rozdiel je v tom, že teraz je táto prevádzka chránená v tuneli QUIC/TLS 1.3 a prechádza cez internet bez odhalenia portu 445.

Pripravte klienta a jeho rozlíšenie názvu

Ak klient patrí do doményNormálny postup je pripojiť zariadenie so systémom Windows k príslušnej doméne a zabezpečiť, aby názvy serverov použité v cestách UNC boli publikované v DNS a zodpovedali SAN certifikátu súborového servera.

V scenároch, kde DNS tieto názvy neprekladáSúbor HOSTS klienta môžete použiť na namapovanie FQDN servera na jeho verejnú IP adresu. Dôležité je, aby meno, ktoré používateľ zadá do cesty UNC, bolo jedným z názvov zahrnutých v certifikáte servera.

Pripájanie z externých sietí

Typickým scenárom použitia je, že klient sa nachádza mimo podnikovej siete.bez priameho prístupu k interným radičom domény alebo súkromným IP adresám súborového servera. A práve v tom vyniká QUIC: tunel je vytvorený cez internet pomocou UDP 443 bez potreby ďalšej VPN.

Pre používateľa je prístup možný jednoducho z Prieskumníka súborovzapísaním cesty UNC k zdieľanému prostriedku (napríklad \\fsedge1.contoso.com\sales). Prípadne môžete použiť:

• NET USE * \\fsedge1.contoso.com\ventas (pokúsi sa o TCP a potom automaticky o QUIC, ak TCP zlyhá).
• NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC (Sila QUIC).
• New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC (prostredníctvom PowerShellu).

Ak sa pripojenie nepodarí pri vynútení QUICToto je zvyčajne príznak toho, že sa tunel pokúša vytvoriť, ale niečo v konfigurácii firewallu, certifikátu alebo mapovania nie je správne nastavené.

Autentifikácia: NTLMv2, Kerberos a proxy KDC

Štandardne, keď sa klient pripája k súborovému serveru SMB cez QUIC z internetuNemá priamy prehľad o interných radičoch domény. V tomto kontexte sa overovanie vykonáva pomocou protokolu NTLMv2, kde server overuje totožnosť v mene používateľa, ale vždy v rámci tunela TLS 1.3 (mimo QUIC nie sú zverejňované žiadne poverenia).

Hoci je NTLMv2 v rámci tunela prijateľný, spoločnosť Microsoft odporúča zachovať Kerberos vždy, keď je to možné.pretože ponúka robustnejší bezpečnostný model a vyhýba sa dlhodobej závislosti od NTLM.

Proxy KDC na povolenie protokolu Kerberos cez internet

Ak chcete pokračovať v používaní protokolu Kerberos bez priameho vystavenia radičov domény internetuMôžete nakonfigurovať proxy KDC. Táto služba prijíma požiadavky na lístky Kerberos cez HTTPS (TCP port 443), preposiela ich interným DC a odpovedá klientovi, a to všetko bez výmeny prihlasovacích údajov v obyčajnom texte cez externú sieť.

Konfigurácia zahŕňa niekoľko krokov na súborovom serveri:

1. Zaregistrujte URL adresu na počúvanie pre proxy pomocou NETSH, zvyčajne v https://+:443/KdcProxys účtom „NT AUTHORITY\Network Service“.
2. Nakonfigurujte určité kľúče registra služby KPSSVC (proxy KDC) na úpravu overovania HTTPS a povolenie potrebných scenárov.
3. Prepojte príslušný certifikát s portom 443 pomocou Add-NetIPHttpsCertBindingpomocou odtlačku prsta certifikátu SMB na QUIC.
4. Pridajte názvy SMB cez QUIC servera ako SPN v službe Active Directory (napríklad pomocou NETDOM computername).
5. Nakonfigurujte službu kpssvc na automatické spustenie a spustite ju.

Na strane klienta sa používa skupinová politika. Ak chcete určiť proxy servery KDC pre klientov Kerberos, priraďte doménu AD (napr. corp.contoso.com) k externej URL adrese proxy servera (niečo ako https fsedge1.contoso.com:443:kdcproxy /).

Preto, keď sa používateľ z corp.contoso.com pokúsi získať prístup k fsedge1.contoso.comKlient bude vedieť, že má kontaktovať daný proxy server a získať Kerberos lístky bez toho, aby musel priamo komunikovať s internými DC.

Uplynutie platnosti a obnovenie certifikátov

Jedným z najviac prehliadaných bodov v praxi je riadenie životného cyklu certifikátu.Keď platnosť SMB certifikátu na QUIC vyprší a je vydaný nový, digitálny odtlačok prsta sa zmení, aj keď ho automaticky obnoví tá istá certifikačná autorita.

To znamená, že je potrebné aktualizovať konfiguráciu SMB na QUIC. priradiť nový certifikát. Môžete to urobiť z Centra správcov systému Windows výberom nového certifikátu v existujúcich nastaveniach alebo prostredníctvom prostredia PowerShell pomocou Set-SMBServerCertificateMapping zamerať sa na novú stopu.

Aby sa predišlo prerušeniam služby z dôvodu neočakávaného uplynutia platnostiSpoločnosť Microsoft odporúča používať nástroje ako Azure Automanage pre Windows Server, ktoré pomáhajú monitorovať a automatizovať obnovovanie certifikátov a ďalšie úlohy údržby.

Riadenie prístupu zákazníkov pomocou certifikátov

Okrem šifrovaného tunelovania a overovania používateľov môže SMB cez QUIC vynútiť dodatočnú kontrolu prístupu na základe klientskych certifikátov.Ide o ďalšiu vrstvu zabezpečenia, ktorá vám umožňuje explicitne definovať, ktoré zariadenia môžu nadviazať QUIC pripojenia k serveru.

Ako funguje kontrola prístupu zákazníkov

Server udržiava zoznam certifikátov s riadením prístupu. (zoznamy povolených a blokovaných) a keď sa klient pokúša pripojiť, najprv overí reťazec certifikátov daného klienta. Server kontroluje:

• Uistite sa, že reťaz certifikátov je platná a vydaná certifikačnou autoritou, ktorej dôverujete.
• Či je certifikát alebo jeho vydavateľ prítomný (povolený alebo zamietnutý) v zoznamoch riadenia prístupu.

Klientske certifikáty je možné použiť so SANRovnako ako v prípade servera, rozhodnutie o prístupe sa prijíma vyhodnotením, či existujú záznamy o povolení alebo blokovaní pre koncový certifikát alebo pre niektorého z vydavateľov v reťazci. Jeden záznam o zamietnutí v reťazci má prednosť pred záznamami o povolení.

To umožňuje flexibilné scenáreMôžete povoliť všetky certifikáty vydané danou certifikačnou autoritou, ale niektoré konkrétne zariadenia zamietnuť pridaním ich hashov ako blokovaných, alebo naopak, zablokovať celú certifikačnú autoritu okrem veľmi kontrolovaných výnimiek.

Požiadavky na kontrolu prístupu zákazníkov

Na serveri potrebujete Windows Server 2022 Datacenter: Azure Edition s aktualizáciou KB5035857 z marca 2024. (a pre niektoré funkcie v ukážkovej verzii aj balík ukážky funkcií 240302_030531) alebo novšie verzie, ako napríklad Windows Server 2025. Samozrejme, SMB cez QUIC musí byť už povolený.

Na strane klienta, malé a stredné podnikyMusíte mať podporovaný operačný systém a klientsky certifikát s EKU na overenie klienta (OID 1.3.6.1.5.5.7.3.2), vydaný certifikačnou autoritou, ktorej server dôveruje, a nainštalovaný v úložisku certifikátov počítača.

Priradiť certifikáty a udeliť prístup

Typický proces začína u klienta, ktorý získa odtlačok jeho certifikátu.:

1. Vypísať certifikáty v Cert:\LocalMachine\My pomocou PowerShellu.
2. Filtrujte podľa témy, ktorá vás zaujíma, a uložte ju do premennej.
3. Získajte svoj SHA256 hash pomocou $clientCert.GetCertHashString("SHA256").

Potom sa vytvorí mapovanie certifikátov klienta SMB s New-SmbClientCertificateMappingzadaním menného priestoru (FQDN servera) a zodpovedajúceho odtlačku prsta. Od tohto okamihu bude klient používať tento certifikát pri pripájaní k serveru, ktorý zodpovedá danému mennému priestoru.

Na serveri je vyžadovaná autentifikácia klienta. s Set-SmbServerCertificateMapping -RequireClientAuthentication $trueOdtiaľ sa povolenia udeľujú konkrétnym klientom s Grant-SmbClientAccessToServer alebo sú zablokovaní Block-SmbClientAccessToServer, pričom ako identifikátor sa použije SHA256 hash listu certifikátu alebo Subject vydavateľa.

Záznamy auditu a udalostí pre SMB na QUIC

V náročných prostrediach je viditeľnosť rovnako dôležitá ako bezpečnosť.SMB cez QUIC zahŕňa auditovacie funkcie na strane klienta aj servera, ktoré pomáhajú diagnostikovať problémy a sledovať prístup.

Na klientoch so systémom Windows 11 24H2 alebo novšímPrehliadač udalostí zaznamenáva informácie o pripojení SMB k QUIC v ceste Denníky aplikácií a služieb\Microsoft\Windows\SMBClient\Connectivity, kde napríklad udalosť 30832 odráža podrobnosti o pripojeniach QUIC.

Na serveri môžete povoliť auditovanie prístupu pomocou klientskych certifikátov. s Set-SmbServerConfiguration -AuditClientCertificateAccess $trueRelevantné udalosti sú zaznamenané v:

• SMBServer\Audit (udalosti 3007, 3008 a 3009) pre stranu servera.
• SMBClient\Connectivity (udalosť 30831) na koreláciu pripojení z pohľadu klienta.

Tieto udalosti zahŕňajú údaje o klientskych certifikátoch (okrem koreňového adresára), ako napríklad predmet, odosielateľ, sériové číslo, hash SHA1/SHA256 a aké položky riadenia prístupu boli použité na každú požiadavku, ako aj identifikátor pripojenia, ktorý uľahčuje krížové odkazovanie na informácie medzi klientom a serverom.

Zabezpečenie siete v oblasti malých a stredných podnikov: segmentácia a firewall

SMB cez QUIC neexistuje vo vákuu; je súčasťou širšej stratégie sieťovej bezpečnosti.Spoločnosť Microsoft odporúča doplniť tento šifrovaný tunel technikami segmentácie a izolácie, aby sa minimalizoval laterálny pohyb a zbytočné odhalenie.

Vo všeobecnosti by mal TCP port 445 zostať blokovaný smerom na internet a z neho.Toto platí pre prichádzajúcu aj odchádzajúcu prevádzku, s výnimkou špecifických prípadov, ako sú napríklad Azure Files alebo iné kontrolované cloudové služby. Ak je vo verejnom cloude potrebný SMB, odporúča sa ho zapuzdriť do VPN alebo použiť SMB priamo cez QUIC, aby sa znížila plocha pre útok.

V internej sieti sa oplatí inventarizovať prevádzku SMB. (kto s kým komunikuje, aké zdroje sa používajú, ktoré servery sprístupňujú skutočne potrebné zdieľané zdroje). Nástroje ako moduly PowerShellu (napríklad Get-FileShareInfo) a audit prístupu k zdieľaným zdrojom pomáhajú zistiť, čo sa používa a čo nie.

Firewall Windows Defender Pokročilé zabezpečenie je ďalšou kľúčovou súčasťouMôžete vytvoriť pravidlá pre vstup a výstup, ktoré globálne blokujú SMB, a použiť akciu „Povoliť pripojenie, ak je zabezpečené“ na definovanie zoznamov povolených položiek na základe overovania IPsec alebo Kerberos s nulovým zapuzdrením, čím sa povoľujú iba autorizované radiče domény a súborové servery.

V novších verziách systému Windows (Windows 11 24H2 a Windows Server 2025)Vstavané pravidlá brány firewall už pri vytváraní zdieľaných zdrojov automaticky neotvárajú porty NetBIOS 137 – 139, čo posilňuje predvolené zabezpečenie. Ak niekto potrebuje zachovať protokol SMB1 (neodporúča sa okrem extrémnych starších prípadov), bude musieť tieto porty otvoriť manuálne.

Prípady použitia, často kladené otázky a vzťah k OneDrive/SharePoint

Jednou z najčastejších debát je, či SMB na QUIC dokáže nahradiť riešenia ako OneDrive alebo SharePointStručná odpoveď je, že nie sú určené na rovnaký účel, aj keď existuje určité prekrývanie.

SMB cez QUIC ponúka priamy vzdialený prístup k zdieľaným serverovým zdrojoms rovnakou štruktúrou priečinkov, oprávneniami NTFS a pracovné postupy, ktoré už máte vo svojej lokálnej sieti. Je ideálny pre používateľov a aplikácie, ktoré sa spoliehajú na cesty UNC, zámky súborov, nepretržité toky údajov alebo klasické funkcie súborového servera.

OneDrive a SharePoint na druhej strane fungujú ako SaaS služby so synchronizáciou, online spoluprácou a ekosystémom. Microsoft 365Sú lepšie na spoluprácu, simultánne úpravy v balíku Office, správu verzií dokumentov a prístup odkiaľkoľvek bez obáv o serverovú infraštruktúru.

Ohľadom pracovných skupín bez doménySMB cez QUIC sa dá použiť, ale nie je to všeliek a magicky nepremení skupinu počítačov na distribuovaný systém „Dropbox P2P“. Áno, počítač môže fungovať ako SMB server cez QUIC a sprístupniť zdroje ostatným, za predpokladu, že má platný certifikát a je prístupný cez UDP port 443, ale:

• Počítač, na ktorom sú uložené súbory, musí zostať zapnutý a prístupný. aby sa mohli pripojiť aj ostatní.
• Neexistuje žiadna natívna synchronizácia údajov medzi všetkými zariadeniamiSMB cez QUIC je vzdialený prístup, nie automatická replikácia v režime viacerých masterov.
• Nastavte „decentralizovaný systém“, kde všetky počítače sú súčasne serverom aj klientom Vyžadovalo by si to ďalšiu vrstvu replikačného softvéru alebo klastrovania; QUIC to sám o sebe nerieši.

Jednoducho povedané: nie, ešte ste neobjavili magickú alternatívu k OneDrive na synchronizáciu všetkého medzi všetkými bez infraštruktúry.Máte k dispozícii výkonný a bezpečný spôsob, ako sprístupniť zdroje súborového servera internetu bez VPN a zároveň zachovať známu logiku a nástroje oprávnení.

Nové funkcie v systéme Windows Server 2025 súvisiace s SMB na QUIC

Windows Server 2025 prichádza s niekoľkými vylepšeniami, ktoré priamo podporujú SMB cez QUIC. a s myšlienkou ponúknuť bezpečný a efektívny vzdialený prístup k lokálnym a perimetrickým zdrojom.

Na jednej strane to posilňuje podporu malých a stredných podnikov na platforme QUIC. ako ústredný komponent pre hybridné a telepracujúce prostredia s jasným zameraním na šifrované pripojenia typu end-to-end bez VPN, lepší výkon v sieťach s vysokou latenciou a preferenciu certifikátov TLS a Kerberos pred NTLM.

Na druhej strane rozširuje možnosti správy a vysokú dostupnosť. Vďaka funkciám, ako je hotpatching (aplikácia kritických záplat bez reštartu, najmä v Datacenter: Azure Edition) a hlbšej integrácii s Windows Admin Center, Hyper-V, kontajnermi a Azure Arc.

Azure Arc a súvisiace služby (monitorovanie, politika, automatizácia) Umožňujú vám zaobchádzať s fyzickými alebo virtuálnymi servermi ako s cloudovými zdrojmi, jednotne uplatňovať bezpečnostné politiky, aktualizácie a auditovať, čo je obzvlášť užitočné, keď tieto servery sprístupňujú zdroje SMB cez QUIC na internete.

Hoci finálna verzia systému Windows Server 2025 je stále vo fáze technického hodnoteniaUkážka dostupná prostredníctvom programu Windows Insider už jasne ukazuje, že model vzdialeného prístupu zahŕňa moderné protokoly ako QUIC a integráciu klasického súborového servera do hybridných a multicloudových scenárov.

SMB cez QUIC sa stal strategickým nástrojom pre bezpečné zdieľanie súborov cez internetKombinuje známy protokol SMB s moderným, šifrovaným a odolným prenosom, ako je QUIC, čím zjednodušuje vzdialený prístup bez nutnosti nasadenia a údržby zložitých sietí VPN. Umožňuje jemne vyladené riadenie prístupu prostredníctvom klientskych certifikátov, integruje sa s Kerberos cez proxy KDC a je v súlade s postupmi segmentácie a sprísňovania prevádzky SMB. Pri dobrom návrhu (s dôkladne spravovanými certifikátmi, jemne vyladeným firewallom, aktívnym auditom a robustnou politikou hesiel alebo overovaním bez hesla) ponúka veľmi bezpečný spôsob, ako sprístupniť súborové servery vonkajšiemu svetu, pričom si zachováva kontrolu nad tým, kto k nim pristupuje, odkiaľ a s akými zárukami.