通过 QUIC 协议与 SMB 安全地共享文件

最后更新: 02/12/2025
作者: 艾萨克
  • SMB over QUIC 通过 UDP 443 创建一个加密的 TLS 1.3 隧道来访问共享资源,而无需暴露传统的 SMB 端口。
  • 需要服务器 Windows 兼容的、正确颁发的证书,以及防火墙、DNS 和身份验证的精心配置。
  • 它允许您通过客户端证书、详细审计和网络上的 SMB 流量分段来加强访问控制。
  • 它与 Windows Server 2025 的新功能以及混合部署场景集成,无需依赖任何外部资源即可实现安全的远程访问。 VPN 传统。

通过 QUIC 协议共享 SMB 文件:安全共享文件

无需设置传统 VPN 即可通过互联网安全地共享文件 这不再是遥不可及的未来构想:基于 QUIC 的 SMB 已成为一项成熟且配置得当后非常可靠的解决方案。该方案将久经考验的 SMB 协议与专为互联网等严苛网络环境设计的现代传输机制 QUIC 相结合,从而提供近乎无缝的用户体验。

接下来你会看到 本文将介绍 SMB 在 QUIC 上的工作原理、启动和运行所需的条件、管理方式以及它如何融入您的安全策略。我们还将探讨一些常见问题(例如它是否可以取代 OneDrive 或它是否适用于工作组),以及 Windows Server 2025 为该协议带来的改进。

什么是基于 QUIC 的 SMB?它对远程访问有何重要意义?

实际上,SMB over QUIC 是将“SMB VPN”集成到文件协议本身中。它不通过 TCP(端口 445)传输 SMB,而是使用 UDP 443(HTTPS 使用的端口)将通信封装在 QUIC 中,从而在客户端和文件服务器之间创建使用 TLS 1.3 的加密隧道。

QUIC 是 IETF 制定的一项标准,与 TCP 相比,它具有几个明显的优势。所有数据包始终加密,握手过程使用 TLS 1.3 进行身份验证,支持可靠和不可靠的并行流,可以在首次往返时间 (0-RTT) 内发送应用层数据,并改进了拥塞控制和丢包恢复,即使客户端 IP 或端口发生变化(这在网络环境中很常见)也能正常运行。 手机网络 或者从 Wi-Fi 升级到 4G)。

从用户的角度来看,SMB 的行为与以往一样。通过 UNC 路径访问共享资源、使用文件资源管理器、使用 NET USE 或 New-SmbMapping 等脚本。多通道、签名、压缩、持续可用性或目录租赁等高级功能在 QUIC 隧道内继续运行,用户不会注意到。

关键在于所有 SMB 流量(包括身份验证和授权) 它通过 TLS 1.3 隧道传输,绝不会以明文形式暴露给中间网络。这使得基于 QUIC 的 SMB 协议成为远程办公人员极具吸引力的选择。 移动 以及希望减少对传统 VPN 依赖的组织。

基于QUIC的SMB架构

使用 SMB over QUIC 的前提条件

在点击 Windows 管理中心中的“配置”按钮之前服务器端和客户端都必须满足一些要求。如果其中任何一项不达标,用户体验都会非常糟糕。

兼容的SMB服务器

您需要一台运行在兼容版本的 Windows 系统上的 SMB 服务器。通常情况下,Windows Server 2022 数据中心:Azure 版本(尤其是在 Azure Stack HCI 或 Azure 本地环境中)或更高版本(例如 Windows Server 2025)会更加集成 QUIC 上的 SMB,并具有新的功能。

兼容的 Windows 客户端

对客户而言,如今的关键要素是 Windows 11 (商务版)它集成了支持 QUIC 的 SMB 客户端。从 Windows 11 24H2 改进之处包括:在事件查看器中对通过 QUIC 协议的 SMB 连接进行高级审核。

与 Active Directory 或工作组集成

微软建议在 Active Directory 域中使用 SMB 而不是 QUIC。SMB 服务器和客户端必须加入同一域或受信任域。服务器必须能够与至少一个域控制器通信以进行身份​​验证,但该域控制器不一定需要可从 Internet 访问。

但是,拥有域名并非强制性的。您也可以在工作组环境中使用本地帐户和 NTLM 帐户在 QUIC 上设置 SMB,甚至可以在加入 Microsoft Entra(以前称为 Azure AD)的 IaaS 服务器上设置,但有一些注意事项:后者不能使用 Entra 凭据进行远程安全操作,因为 Entra ID 不管理用户或组 SID,因此实际上您仍然需要使用本地帐户或经典域帐户来访问共享资源。

端口和防火墙

其中最关键的一点是网络配置。服务器必须能够通过防火墙规则允许客户端通过其公共接口访问,该规则需允许传入的 UDP/443 流量。切记不要向互联网开放 TCP/445 端口:必须在网络边界阻止通过 445 端口进行的传统 SMB 访问。

如果需要更改默认端口 (由于内部政策或与其他服务的冲突),可以为 SMB 配置备用端口,但 QUIC 的通常推荐做法是保持 UDP 443,因为它有助于穿越典型的防火墙和代理。

Windows 管理中心和 PKI

为了便于管理,建议使用 Windows 管理中心 (WAC)。 最新版本中包含用于启用和管理基于 QUIC 的 SMB 的专用向导。但是,正如一些用户指出的那样,如果“配置”按钮没有响应,这几乎总是表明缺少先决条件(角色未安装、权限不足、WAC 版本过旧、浏览器存在问题等)。

除了WAC之外,您还需要公钥基础设施(PKI)。 能够颁发合适的服务器证书,证书可以来自 Active Directory 证书服务 CA,也可以来自受信任的公共 CA,例如 Digicert、Let's Encrypt 等。如果没有正确的证书,QUIC 将无法建立隧道。

  影响 Windows 11 的不同类型恶意软件的症状

公司中 QUIC 上的 SMB 配置

SMB证书和QUIC上的基本配置

SMB over QUIC 的核心是服务器证书。如果没有它,就没有 TLS 1.3 隧道或端点身份验证,因此它是首先需要正确保护的东西。

服务器证书功能

用于 QUIC 的服务器证书必须满足多项技术要求。:

  • 主要用途数字签名。
  • 目的(EKU):服务器身份验证(OID 1.3.6.1.5.5.7.3.1)。
  • 签名算法:SHA256RSA 或更高版本,且哈希值为 SHA256 或更高版本。
  • Clavepública最好使用 ECDSA_P256 或更高版本;也支持至少 2048 位的 RSA。
  • 使用者替代名称(SAN)必须包含客户端将用于访问 SMB 服务器的所有 FQDN 的 DNS 条目。
  • 主题(CN)它几乎可以是你想要的任何形式,但它必须存在并遵循良好的发行规范。
  • 私钥已包含:当然是,存储在服务器计算机上。

如果您使用 Microsoft 企业 CA,最简单的方法是专门为基于 QUIC 的 SMB 协议创建证书模板。文件服务器管理员随后可以通过指定相应的 DNS 名称来请求证书。微软关于 PKI 设计和实现的文档详细解释了模板创建过程。

向服务器请求证书

在具有 Active Directory CA 的环境中典型的流程如下:

  1. 在文件服务器上启动 MMC,并为计算机帐户添加证书管理单元。
  2. 导航至“证书(本地计算机)”>“个人”>“证书”,然后选择“申请新证书”。
  3. 选择 Active Directory 注册策略,然后单击“下一步”,直到出现模板列表。
  4. 在 QUIC 上标记为 SMB 创建的模板。
  5. 在“主题”中填写一个便于用户识别服务器的通用名称,并添加所有将用于 SAN 的 DNS 名称。
  6. 确认并完成注册,以便将证书安装到设备仓库中。

如果您使用第三方公共 CA该过程基于从服务器生成 CSR,并按照特定提供商的指南颁发具有适当 EKU、SAN 和算法的证书。

在服务器上启用基于 QUIC 的 SMB 协议

拿到证书后,就可以在 QUIC 上激活 SMB 了。服务器默认情况下不会启用此功能,出于显而易见的安全原因,客户端也不能单方面“强制”启用此功能。

可以通过 Windows 管理中心进行配置,或者 PowerShell的在 WAC 中,会有一个向导提示您选择证书并激活 QUIC。在 PowerShell 中,该过程涉及使用 SMB 服务器证书映射 cmdlet 通过 QUIC(根据具体情况使用 New-SmbServerCertificateMapping 和 Set-SmbServerCertificateMapping)。

关于客户流量Windows 会继续首先尝试通过 TCP 协议进行 SMB 通信。只有在 TCP 通信失败或您明确指示其使用 QUIC 协议时,才会尝试 QUIC 协议。 comandos 如:

  • NET USE /TRANSPORT:QUIC
  • New-SmbMapping -TransportType QUIC

通过 QUIC 将客户端连接到共享的 SMB 资源

从用户的角度来看,通过 QUIC 访问 SMB 资源与传统访问方式几乎完全相同。区别在于,现在这种流量受到 QUIC/TLS 1.3 隧道的保护,并通过互联网传输,而不会暴露端口 445。

准备客户和名称决议

如果客户端属于某个域正常程序是将 Windows 设备加入相应的域,并确保 UNC 路径中使用的服务器名称已发布到 DNS 中,并且与文件服务器证书的 SAN 匹配。

在 DNS 无法解析这些名称的情况下您可以使用客户端的 HOSTS 文件将服务器的 FQDN 映射到其公网 IP 地址。重要的是,用户在 UNC 路径中输入的名称必须是服务器证书中包含的名称之一。

从外部网络连接

典型的使用场景是客户端位于企业网络之外。无法直接访问内部域控制器或文件服务器的私有 IP 地址。而 QUIC 的优势就在于此:它使用 UDP 443 端口通过互联网建立隧道,无需额外的 VPN。

用户只需通过文件资源管理器即可轻松访问。可以通过写入共享资源的 UNC 路径(例如,\\fsedge1.contoso.com\sales)。或者,您也可以使用:

  • NET USE * \\fsedge1.contoso.com\ventas (尝试使用 TCP,如果 TCP 失败则自动使用 QUIC)。
  • NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC (QUIC 力)。
  • New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC (通过 PowerShell)

如果强制使用 QUIC 连接时连接失败这通常表明隧道正在尝试建立,但防火墙、证书或映射配置中的某些内容设置不正确。

身份验证:NTLMv2、Kerberos 和 KDC 代理

默认情况下,当客户端通过 QUIC 从 Internet 连接到 SMB 文件服务器时它无法直接访问内部域控制器。在这种情况下,身份验证将采用 NTLMv2,服务器代表用户进行身份验证,但始终在 TLS 1.3 隧道内进行(不会在 QUIC 之外暴露任何凭据)。

虽然隧道内使用 NTLMv2 是可以接受的,但微软建议尽可能保持 Kerberos 认证。因为它提供了更强大的安全模型,避免了对 NTLM 的长期依赖。

KDC代理通过互联网启用Kerberos身份验证。

为了在不将域控制器直接暴露于互联网的情况下继续使用 Kerberos,您可以配置 KDC 代理。此服务通过 HTTPS(TCP 端口 443)接收 Kerberos 票据请求,将其转发到内部 DC,并响应客户端,所有这些操作都不需要通过外部网络以明文形式交换凭据。

  在 Windows 11 中查看最近文件:完整指南、提示和解决方案

该设置包括在文件服务器上的几个步骤。:

  1. 使用 NETSH 注册代理的监听 URL,通常在 https://+:443/KdcProxy使用帐户“NT AUTHORITY\Network Service”。
  2. 配置某些 KPSSVC 服务(KDC 代理)注册表项,以调整 HTTPS 身份验证并启用必要的场景。
  3. 将相应的证书链接到端口 443 Add-NetIPHttpsCertBinding使用 QUIC 上的 SMB 证书指纹。
  4. 在服务器的 QUIC 上添加 SMB 名称作为 Active Directory 中的 SPN(例如,使用 NETDOM computername).
  5. 配置 kpssvc 服务以自动启动并启动它。

客户端采用组策略。 要为 Kerberos 客户端指定 KDC 代理服务器,需要将 AD 域(例如 corp.contoso.com)与代理的外部 URL(例如: https fsedge1.contoso.com:443:kdcproxy /).

因此,当来自 corp.contoso.com 的用户尝试访问 fsedge1.contoso.com 时客户将知道要联系该代理以获取 Kerberos 票据,而无需直接与内部数据中心联系。

证书的到期和续期

实践中最容易被忽视的一点是证书生命周期的管理。当 QUIC 上的 SMB 证书到期并颁发新证书时,即使由同一 CA 自动续期,数字指纹也会发生变化。

这意味着需要更新 QUIC 上的 SMB 配置。 要关联新证书,您可以通过 Windows 管理中心在现有设置中选择新证书来完成此操作,也可以通过 PowerShell 来完成。 Set-SMBServerCertificateMapping 力求留下崭新的足迹。

为避免因意外到期而导致服务中断微软建议使用 Azure Automanage for Windows Server 等工具,这些工具可以帮助监控和自动执行证书续订和其他维护任务。

使用证书进行客户访问控制

除了加密隧道和用户身份验证之外,SMB over QUIC 还可以基于客户端证书强制执行额外的访问控制。它增加了一层额外的安全保障,允许您明确定义哪些设备可以与服务器建立 QUIC 连接。

客户访问控制的工作原理

服务器维护着一个证书访问控制列表。 (允许列表和阻止列表),当客户端尝试连接时,服务器首先验证该客户端的证书链。服务器会检查:

  • 请确保证书链有效,并且是由您信任的证书颁发机构颁发的。
  • 证书或其颁发者是否已存在于(允许或拒绝)访问控制列表中。

客户端证书可以与SAN一起使用。与服务器端一样,访问决策是通过评估叶证书或链中任何颁发者是否存在允许或阻止条目来做出的。链中单个拒绝条目的优先级高于允许条目。

这样可以实现灵活的方案。您可以允许给定 CA 颁发的所有证书,但通过将某些特定设备的哈希值添加到阻止列表中来拒绝这些设备;或者反过来,您可以阻止整个 CA,但有一些非常严格的例外情况。

客户访问控制的要求

服务器需要安装 Windows Server 2022 数据中心版:Azure 版本,并安装 2024 年 3 月发布的 KB5035857 更新。 (对于某些预览功能,需要功能预览包 240302_030531)或更高版本,例如 Windows Server 2025。此外,显然,必须已启用 SMB over QUIC。

在客户端,中小企业您必须拥有受支持的操作系统和客户端证书,该证书具有客户端身份验证 EKU(OID 1.3.6.1.5.5.7.3.2),由服务器信任的 CA 颁发,并安装在计算机的证书存储中。

分配证书并授予访问权限

典型的流程是从客户获取其证书的指纹开始。:

  1. 使用 PowerShell 列出 Cert:\LocalMachine\My 中的证书。
  2. 按你感兴趣的主题筛选,并将其保存到一个变量中。
  3. 获取您的 SHA256 哈希值 $clientCert.GetCertHashString("SHA256").

然后创建 SMB 客户端证书映射。New-SmbClientCertificateMapping指定命名空间(服务器完全限定域名)及其对应的指纹。此后,客户端在连接到与该命名空间匹配的服务器时,将使用该证书。

服务器端需要进行客户端身份验证。Set-SmbServerCertificateMapping -RequireClientAuthentication $true由此,权限被授予给特定的客户。 Grant-SmbClientAccessToServer 或者他们会被阻止 Block-SmbClientAccessToServer使用证书叶节点或颁发者的主题的 SHA256 哈希值作为标识符。

QUIC 上 SMB 的审计和事件日志

在严峻的环境中,可见性与安全性同等重要。SMB over QUIC 在客户端和服务器端都集成了审计功能,以帮助诊断问题和跟踪访问。

运行 Windows 11 24H2 或更高版本的客户端事件查看器会将有关 QUIC 的 SMB 连接信息记录在“应用程序和服务日志\Microsoft\Windows\SMBClient\Connectivity”路径中,例如,事件 30832 反映了 QUIC 连接的详细信息。

在服务器上,您可以启用基于客户端证书的访问审计功能。Set-SmbServerConfiguration -AuditClientCertificateAccess $true相关事件记录在:

  • 服务器端的 SMBServer\Audit(事件 3007、3008 和 3009)。
  • SMBClient\Connectivity(事件 30831)从客户端的角度关联连接。

这些事件包括有关客户端证书的数据。 (根节点除外)例如主题、发件人、序列号、SHA1/SHA256 哈希值以及应用于每个请求的访问控制条目,以及便于客户端和服务器之间交叉引用信息的连接标识符。

中小企业网络安全:网络分段和防火墙

基于 QUIC 的 SMB 并非孤立存在;它是更广泛的网络安全策略的一部分。微软建议采用分段和隔离技术来补充这种加密隧道,以最大限度地减少横向移动和不必要的暴露。

  多 SSID 路由器:它是什么、有什么用以及如何配置它

通常情况下,TCP 端口 445 应该保持与互联网之间的双向通信都被阻止。这适用于入站和出站流量,但Azure文件或其他受控云服务等特定情况除外。当需要在公有云中使用SMB时,建议将其封装在VPN中,或直接通过QUIC使用SMB,以减少攻击面。

在内部网络中,对中小企业流量进行盘点是值得的。 (谁在和谁通信,正在使用哪些资源,哪些服务器正在公开真正必要的共享资源)。诸如 PowerShell 模块(例如 Get-FileShareInfo)和共享访问审核之类的工具可以帮助了解哪些资源正在使用,哪些资源未使用。

防火墙 Windows Defender的 高级安全措施是另一个关键组成部分。您可以创建入站和出站规则,全局阻止 SMB,并使用“如果安全则允许连接”操作来定义基于 IPsec 或 Kerberos 身份验证(空封装)的允许列表,仅允许授权的域控制器和文件服务器。

在最新版本的 Windows(Windows 11 24H2 和 Windows Server 2025)中内置防火墙规则在创建共享资源时不再自动打开 NetBIOS 端口 137-139,这增强了默认安全性。如果需要保留 SMB1(除非在极端遗留情况下,否则不建议这样做),则必须手动打开这些端口。

使用案例、常见问题以及与 OneDrive/SharePoint 的关系

最常见的争论之一是,QUIC 上的 SMB 是否可以取代 OneDrive 等解决方案。 SHAREPOINT简而言之,它们的用途并不相同,尽管两者之间存在一些重叠之处。

基于 QUIC 的 SMB 提供对共享服务器资源的直接远程访问。文件夹结构和权限相同 NTFS 以及您本地网络上已有的工作流程。它非常适合依赖 UNC 路径、文件锁、连续数据流或传统文件服务器功能的用户和应用程序。

另一方面,OneDrive 和 SharePoint 作为 SaaS 服务,具备同步、在线协作和生态系统等功能。 微软365它们更适合协作工作、在 Office 中同时编辑、文档类型版本控制,以及从任何地方访问而无需担心服务器基础架构。

关于没有域的工作组虽然可以使用基于 QUIC 的 SMB 协议,但这并非万能之策,也无法神奇地将一组 PC 变成“Dropbox P2P”分布式系统。没错,一台机器可以充当基于 QUIC 的 SMB 服务器,并向其他机器开放资源,前提是它拥有有效的证书并且可以通过 UDP 端口 443 访问,但是:

  • 存放文件的机器必须保持开机状态并可访问。 以便其他人可以连接。
  • 所有设备之间没有原生数据同步功能。SMB over QUIC 是远程访问,而不是多主模式下的自动复制。
  • 建立一个“去中心化系统”,其中所有机器同时充当服务器和客户端。 这需要另一层复制软件或集群;QUIC 本身并不能解决这个问题。

简单来说:不,你还没有找到无需基础设施就能在所有人之间同步所有内容的 OneDrive 的神奇替代方案。您现在拥有的是一种强大而安全的方式,无需 VPN 即可将您的文件服务器资源暴露给互联网,同时保持熟悉的权限逻辑和工具。

Windows Server 2025 中与 QUIC 上的 SMB 相关的新功能

Windows Server 2025 包含多项改进,可直接支持基于 QUIC 的 SMB 协议。 其理念是为企业内部和周边资源提供安全高效的远程访问。

一方面,它加强了对QUIC上中小企业的支持。 作为混合办公和远程办公环境的核心组件,它明确专注于无需 VPN 的端到端加密连接、在高延迟网络上的更佳性能,并且优先选择 TLS 和 Kerberos 证书而不是 NTLM 证书。

另一方面,它扩展了管理能力和高可用性。 得益于热补丁(无需重启即可应用关键补丁,尤其是在数据中心:Azure 版本中)等功能,以及与 Windows 管理中心、Hyper-V、容器和 Azure Arc 的更深入集成。

Azure Arc 及相关服务(监控、策略、自动化) 它们允许您将物理或虚拟服务器视为云资源,统一应用安全策略、更新和审计,这在这些服务器通过 QUIC 向互联网公开 SMB 资源时尤其有用。

尽管 Windows Server 2025 的最终版本仍处于技术评估阶段。通过 Windows Insider 提供的预览版已经清楚地表明,远程访问模型采用了 QUIC 等现代协议,并将传统文件服务器集成到混合云和多云场景中。

基于QUIC的SMB已成为通过互联网安全共享文件的战略工具。它将熟悉的 SMB 协议与现代化的加密且高弹性的传输协议(例如 QUIC)相结合,简化了远程访问,无需部署和维护复杂的 VPN。它允许通过客户端证书进行精细的访问控制,通过 KDC 代理与 Kerberos 集成,并符合 SMB 流量分段和加固实践。如果设计得当(例如,精心管理的证书、精细调优的防火墙、主动审计以及强大的密码策略或无密码身份验证),它提供了一种非常安全的方式,可以将文件服务器暴露给外部世界,同时保持对访问者、访问者位置以及访问者所依据的安全保障的控制。