SMB por QUIC

Aplica-se a: Windows Server 2022 Datacenter: Azure Edition, Windows 11

O SMB sobre QUIC introduz uma alternativa ao transporte de rede TCP, fornecendo conectividade segura e confiável para servidores de arquivos de borda em redes não confiáveis como a Internet. O QUIC é um protocolo padronizado por IETF com muitos benefícios quando comparado com o TCP:

• Todos os pacotes são sempre criptografados e o handshake é autenticado com TLS 1.3
• Fluxos paralelos de dados de aplicativo confiáveis e não confiáveis
• Troca de dados do aplicativo na primeira viagem de ida e volta (0-RTT)
• Controle de congestionamento e recuperação de perda aprimorados
• Sobrevivência diante de uma alteração no endereço IP ou na porta dos clientes

O SMB sobre QUIC oferece uma "VPN SMB" para telecomunicações, usuários de dispositivos móveis e organizações de alta segurança. O certificado do servidor cria um túnel criptografado TLS 1.3 pela porta UDP 443 adaptada à Internet, em vez da porta TCP herdada 445. Todo o tráfego SMB, incluindo a autenticação e autorização dentro do túnel, nunca é exposto à rede subjacente. O SMB se comporta normalmente dentro do túnel QUIC, o que significa que a experiência do usuário não muda. Recursos SMB como multicanal, assinatura, compactação, disponibilidade contínua e locação de diretório funcionam normalmente.

Um administrador de servidor de arquivos deve optar por habilitar o SMB por QUIC. O recurso não está ativado por padrão e um cliente não pode forçar um servidor de arquivos a habilitar o SMB por QUIC. Os clientes SMB do Windows ainda usam TCP por padrão e só tentarão usar o SMB por QUIC se a tentativa de TCP falhar primeiro ou, intencionalmente, exigir que o QUIC use NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC.

Pré-requisitos

Para usar o SMB por QUIC, você precisa do seguinte:

• Um servidor de arquivos executando o Windows Server 2022 Datacenter: Azure Edition (Sistemas Operacionais Microsoft Server)
• Um computador Windows 11 (Windows para empresas)
• Windows Admin Center (Página Inicial)
• Uma Infraestrutura de Chave Pública para emitir certificados, como o Servidor de Certificados do Active Directory ou acesso a um emissor de certificados de terceiros confiáveis como Verisign, Digicert, Let's Encrypt e outros.

Implantar o SMB por QUIC

Etapa 1: Instalar um certificado de servidor

1. Crie um certificado emitido por uma Autoridade de Certificação com as seguintes propriedades:

   • Uso de chave: assinatura digital
   • Finalidade: Autenticação de Servidor (EKU 1.3.6.1.5.5.7.3.1)
   • Algoritmo de assinatura: SHA256RSA (ou superior)
   • Hash de assinatura: SHA256 (ou superior)
   • Algoritmo de chave pública: ECDSA_P256 (ou superior. Você também pode usar o RSA com um comprimento mínimo de 2048)
   • Nome Alternativo da Entidade (SAN): (uma entrada de nome DNS para cada nome DNS totalmente qualificado usado para acessar o servidor SMB)
   • Entidade: (CN = qualquer coisa, mas precisa existir)
   • Chave privada incluída: sim

   

   Se estiver usando uma Autoridade de Certificação Corporativa da Microsoft, você poderá criar um modelo de certificado e permitir que o administrador do servidor de arquivos forneça os nomes DNS ao solicitá-lo. Para obter mais informações sobre como criar um modelo de certificado, leia Como criar e implementar uma PKI: Modelo de Certificado Parte III. Para conferir uma demonstração de como criar um certificado para SMB por QUIC usando uma Autoridade de Certificação Corporativa da Microsoft, assista a esse vídeo:

   Para solicitar um certificado de terceiros, consulte a documentação do seu fornecedor.

2. Se estiver usando uma Autoridade de Certificação Corporativa da Microsoft:

   1. Inicie o MMC.EXE no servidor de arquivos.
   2. Adicione o snap-in Certificados e selecione a conta do computador.
   3. Expanda Certificados (Computador Local), Pessoal e, a seguir, clique com o botão direito do mouse em Certificados e clique Solicitar Novo Certificado.
   4. Clique em Avançar.
   5. Selecione Política de Registro do Active Directory
   6. Clique em Avançar.
   7. Selecione o modelo de certificado para o SMB por QUIC que foi publicado no Active Directory.
   8. Clique em Mais informações são necessárias para se registrar para esse certificado. Clique aqui para definir as configurações.
   9. Para que os usuários possam usá-lo para localizar o servidor de arquivos, preencha o valor Entidade com um nome comum e o Nome Alternativo da Entidade com um ou mais nomes DNS.
   10. Clique em Ok e clique em Registrar.

   

Observação

Não use endereços IP no SMB em nomes alternativos da entidade do servidor QUIC.

1. Os endereços IP exigirão o uso do NTLM, mesmo se o Kerberos estiver disponível em um controlador de domínio ou por meio do Proxy KDC.
2. VMs de IaaS do Azure que executam SMB no QUIC usam NAT para uma interface pública de volta a uma interface privada. O SMB via QUIC não dá suporte ao uso de endereço IP para o nome do servidor por meio de uma NAT; você deve usar um nome DNS totalmente qualificado que resolva no endereço IP da interface pública somente nesse caso.

Observação

Se estiver usando um arquivo de certificado emitido por uma autoridade de certificação de terceiros, você poderá usar o snap-in Certificados ou o Windows Admin Center para importá-lo.

Etapa 2: Configurar o SMB por QUIC

1. Implantar um servidor Windows Server 2022 Datacenter: Azure Edition.
2. Instale a versão mais recente do Windows Admin Center em um computador de gerenciamento ou no servidor de arquivos. Você precisa da versão mais recente da extensão Arquivos e Compartilhamento de Arquivos. Ela será instalada automaticamente pelo Windows Admin Center se o recurso Atualizar extensões automaticamente estiver habilitado em Configurações > Extensões.
3. Ingresse seu servidor de arquivos do Windows Server 2022 Datacenter: Azure Edition no seu domínio do Active Directory e torne-o acessível aos clientes do Windows Insider na interface pública do Azure adicionando uma regra de permissão de firewall para entradas na porta UDP/443. Não permita a entrada na porta TCP/445 para o servidor de arquivos. O servidor de arquivos deve ter acesso a pelo menos um controlador de domínio para autenticação, mas nenhum controlador de domínio requer nenhum acesso à internet.

Observação

Recomendamos o uso do SMB por QUIC com domínios do Active Directory, mas isso não é necessário. Você também pode usar o SMB por QUIC em um servidor ingressado em um grupo de trabalho com credenciais de usuário local e NTLM.

1. Conecte-se ao servidor com o Windows Admin Center e clique no ícone Configurações no canto inferior esquerdo. Na seção Compartilhamentos de arquivos (servidor SMB), em Compartilhamento de arquivos na internet com SMB por QUIC, clique em Configurar.

2. Clique em um certificado na guia Selecionar um certificado de computador para esse servidor de arquivos, clique nos endereços do servidor aos quais os clientes podem se conectar ou clique em Selecionar tudo e, em seguida, clique em Habilitar.

   

3. Certifique-se de que o certificado e o relatório SMB por QUIC estão íntegros.

   

4. Clique na opção de menu Arquivos e Compartilhamento de Arquivos. Observe seus compartilhamentos de SMB existentes ou crie um novo.

Para conferir uma demonstração de configuração e uso do SMB por QUIC, assista a esse vídeo:

Etapa 3: Conectar-se aos compartilhamentos de SMB

1. Associe o seu dispositivo Windows 11 ao seu domínio. Certifique-se de que os nomes dos nomes alternativos da entidade de certificado do servidor de arquivos SMB por QUIC estejam publicados no DNS e sejam totalmente qualificados OU adicionados aos arquivos HOST para o seu Windows 11. Certifique-se de que os nomes alternativos da entidade de certificado do servidor estejam publicados no DNS OU adicionados aos arquivos HOSTS para o seu Windows 11.

2. Mova seu dispositivo Windows 11 para uma rede externa onde ele não tem mais acesso de rede aos controladores de domínio ou aos endereços IP internos do servidor de arquivos.

3. No Explorador de Arquivos do Windows, na Barra de Endereços, digite o caminho UNC para um compartilhamento no servidor de arquivos e confirme se você consegue acessar dados no compartilhamento. Como alternativa, você pode usar NET USE /TRANSPORT:QUIC or New-SmbMapping -TransportType QUIC com um caminho UNC. Exemplos:

   NET USE * \\fsedge1.contoso.com\sales(tenta automaticamente o TCP e em seguida o QUIC)

   NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC(tenta apenas o QUIC)

   New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC(tenta apenas o QUIC)

Configurar o Proxy do KDC (opcional, mas recomendado)

Por padrão, um dispositivo Windows 11 não terá acesso a um controlador de domínio do Active Directory quando se conectar a um servidor de arquivos SMB por QUIC. Isso significa que a autenticação usa NTLMv2, em que o servidor de arquivos é autenticado em nome do cliente. Nenhuma autenticação ou autorização NTLMv2 ocorre fora do túnel QUIC criptografado com TLS 1.3. No entanto, continuamos recomendando o uso do Kerberos como uma boa prática geral de segurança e não recomendamos a criação de novas dependências de NTLMv2 nas implantações. Para permitir isso, você pode configurar o proxy do KDC para encaminhar solicitações de tíquete em nome do usuário, tudo isso usando um canal de comunicação criptografado HTTPS de fácil uso na internet. O Proxy do KDC é totalmente compatível com SMB por QUIC e altamente recomendado.

Observação

Você não pode configurar o Windows Admin Center (WAC) no modo gateway usando a porta TCP 443 em um servidor de arquivos no qual você está configurando o Proxy do KDC. Ao configurar o WAC no servidor de arquivos, altere a porta para uma que não esteja em uso e não seja 443. Se já tiver configurado o WAC na porta 443, execute novamente o MSI de instalação do WAC e escolha uma porta diferente quando solicitado.

Método do Windows Admin Center

1. Certifique-se de que você esteja usando pelo menos o Windows Admin Center versão 2110.

2. Configure o SMB por QUIC normalmente. A partir do Windows Admin Center 2110, a opção de configurar o Proxy do KDC no SMB por QUIC é habilitada automaticamente e você não precisa executar etapas extras nos servidores de arquivos. A porta padrão do Proxy do KDC é a 443, que é atribuída automaticamente pelo Windows Admin Center.

   Observação

   Você não pode configurar um servidor SMB por QUIC ingressado em um Grupo de Trabalho usando o Windows Admin Center. Você precisa ingressar o servidor em um domínio do Active Directory ou usar as etapas da seção Método Manual.

3. Defina a seguinte configuração de política de grupo a ser aplicada ao dispositivo Windows 11:

   Computadores > Modelos administrativos > Sistema > Kerberos > Especifique servidores de Proxy do KDC para clientes Kerberos

   O formato dessa configuração de política de grupo é um nome de valor do nome de domínio do Active Directory totalmente qualificado e o valor será o nome externo que você especificou para o servidor QUIC. Por exemplo, quando o nome do domínio do Active Directory for corp.contoso.com, o nome do domínio DNS externo será contoso.com:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Esse mapeamento do campo do Kerberos significa que, se o usuário ned@corp.contoso.com tentou se conectar a um servidor de arquivos com o nome fs1edge.contoso.com, o Proxy do KDC saberá que deve encaminhar os tíquetes do Kerberos para um controlador de domínio no domínio interno corp.contoso.com interno. A comunicação com o cliente será por HTTPS na porta 443 e as credenciais do usuário não serão expostas diretamente na rede do servidor de arquivos do cliente.

4. Certifique-se de que os firewalls de borda permitam HTTPS na porta 443 de entrada no servidor de arquivos.

5. Aplique a política de grupo e reinicie o dispositivo Windows 11.

Método Manual

1. No servidor de arquivos, em um prompt do PowerShell com privilégios elevados, execute o seguinte:

   NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

   Get-SmbServerCertificateMapping

2. Copie o valor da impressão digital do certificado associado ao certificado do SMB por QUIC (pode ter várias linhas, mas todas terão a mesma impressão digital) e cole como o valor Certhash para o seguinte comando:

   $guid = [Guid]::NewGuid()

   Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

3. Adicione os nomes do SMB por QUIC do servidor de arquivos como SPNs no Active Directory para Kerberos. Por exemplo:

   NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

4. Configure o serviço de Proxy do KDC como automático e o inicie:

   Set-Service -Name kpssvc -StartupType Automatic

   Start-Service -Name kpssvc

5. Configure a seguinte política de grupo a ser aplicada ao dispositivo Windows 11:

   Computadores > Modelos administrativos > Sistema > Kerberos > Especifique servidores de Proxy do KDC para clientes Kerberos

   O formato dessa configuração de política de grupo é um nome de valor do nome de domínio do Active Directory totalmente qualificado e o valor será o nome externo que você especificou para o servidor QUIC. Por exemplo, quando o nome do domínio do Active Directory for "corp.contoso.com", o nome do domínio DNS externo será "contoso.com":

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Esse mapeamento do campo do Kerberos significa que, se o usuário ned@corp.contoso.com tentou se conectar a um servidor de arquivos com o nome fs1edge.contoso.com", o Proxy do KDC saberá que deve encaminhar os tíquetes do Kerberos para um controlador de domínio no domínio interno corp.contoso.com. A comunicação com o cliente será por HTTPS na porta 443 e as credenciais do usuário não serão expostas diretamente na rede do servidor de arquivos do cliente.

6. Crie uma regra do Firewall do Windows Defender que habilita a porta de entrada TCP 443 para que o serviço Proxy do KDC receba solicitações de autenticação.

7. Certifique-se de que os firewalls de borda permitam HTTPS na porta 443 de entrada no servidor de arquivos.

8. Aplique a política de grupo e reinicie o dispositivo Windows 11.

Observação

Uma configuração automática do Proxy do KDC será oferecida posteriormente no SMB por QUIC e essas etapas do servidor não serão necessárias.

Expiração e renovação do certificado

Um certificado de SMB por QUIC expirado que você substituir por um novo certificado do emissor conterá uma nova impressão digital. Embora você possa renovar os certificados de SMB por QUIC automaticamente quando eles expirarem usando os Serviços de Certificados do Active Directory, um certificado renovado também obterá uma nova impressão digital. Isso significa, efetivamente, que o SMB por QUIC precisará ser reconfigurado quando o certificado expirar, já que uma nova impressão digital precisa ser mapeada. Você pode, simplesmente, selecionar seu novo certificado no Windows Admin Center para o SMB por QUIC existente ou usar o comando do PowerShell Set-SMBServerCertificateMapping para atualizar o mapeamento para o novo certificado. Você pode usar o Gerenciamento Automatizado do Azure para Windows Server para detectar a expiração iminente de um certificado e evitar uma interrupção. Para obter mais informações, confira Gerenciamento Automatizado do Azure para Windows Server.

Observações

• Para clientes que não estiverem usando a nuvem pública do Azure, o Windows Server 2022 Datacenter: Azure Edition está disponível no Azure Stack HCI a partir da versão 22H2.
• Recomendamos o uso do SMB por QUIC com domínios do Active Directory, mas isso não é necessário. Você também pode usar SMB por QUIC em um servidor ingressado em grupo de trabalho com credenciais de usuário local e NTLM, ou IaaS do Azure com o Microsoft Entra ingressado nos Servidores Windows. Não há suporte para o Microsoft Entra ingressado nos Servidores Windows para computadores não baseados em IaaS do Azure. Os servidores ingressados no Microsoft Entra não dão suporte a credenciais para operações remotas de segurança do Windows porque o Microsoft Entra ID não contém SIDs de usuário ou grupo. Os Servidores Windows ingressados no Microsoft Entra devem usar uma conta de usuário local ou com base em domínio para acessar o compartilhamento SMB por QUIC.
• Você não pode configurar um SMB por QUIC usando WAC quando o servidor SMB estiver em um grupo de trabalho (ou seja, não ingressado no domínio do AD). Nessa conjuntura, você precisa usar o cmdlet New-SMBServerCertificateMapping.
• Recomendamos que controladores de domínio somente leitura configurados apenas com senhas de usuários móveis sejam disponibilizados para o servidor de arquivos.
• Os usuários devem ter senhas fortes ou, idealmente, serem configurados usando uma estratégia sem senha com o MFA do Windows Hello para Empresas ou cartões inteligentes. Configure uma política de bloqueio de conta para usuários móveis por meio de uma política de senha refinada. Além disso, você deve implantar um software de proteção contra intrusões para detectar ataques de força bruta ou pulverização de senha.

Mais referências

Armazenamento no blog da Microsoft

Página inicial do Grupo de Trabalho do QUIC

Página inicial do GitHub do Microsoft MsQuic

Wikipédia do QUIC

Página inicial do Grupo de Trabalho do TLS 1.3

Como elevar o protocolo TLS ao próximo patamar com o TLS 1.3