Configurare il controllo di accesso client SMB su QUIC in Windows Server 2022 Azure Edition and Windows Server Insider (anteprima)
Importante
Le build di Windows Insider e Windows Server Insider sono disponibili in ANTEPRIMA. Queste informazioni sono relative alla versione non definitiva del prodotto, che potrebbe subire modifiche significative prima della release definitiva. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Il controllo di accesso client SMB su QUIC consente di selezionare i client che possono accedere ai server SMB su QUIC. Il controllo di accesso client crea elenchi elementi consentiti e bloccati per la connessione dei dispositivi al file server. Il controllo di accesso client offre alle organizzazioni maggiore protezione senza modificare l'autenticazione usata quando si stabilisce la connessione SMB e non altera l'esperienza dell'utente finale.
L'articolo illustra come usare PowerShell per configurare il controllo di accesso client per SMB su QUIC in Windows 11 e Windows Server 2022 Datacenter: Azure Edition. Per procedere con le istruzioni, occorre aver installato l'aggiornamento di marzo KB5035853 o KB5035857, eseguire una build recente di Windows 11 Insider o di Windows Server Insider.
Per maggiori informazioni sulla configurazione di SMB su QUIC, consultare la sezione SMB su QUIC.
Funzionamento del controllo di accesso client
Il controllo di accesso client verifica che i client che si connettono a un server usino un certificato client noto o dispongano di un certificato rilasciato da un certificato radice condiviso. L'amministratore rilascia questo certificato al client e aggiunge l'hash a un elenco elementi consentiti gestito dal server. Quando il client tenta di connettersi al server, il server confronta il certificato client all'elenco elementi consentiti. Se il certificato è valido, il certificato del server crea un tunnel crittografato con TLS 1.3 sulla porta UDP 443 e concede al client l'accesso alla condivisione. Il controllo di accesso client supporta anche i certificati con nomi alternativi per i soggetti.
È anche possibile configurare SMB su QUIC per bloccare l'accesso revocando i certificati o negando in modo esplicito l'accesso di determinati dispositivi.
Nota
È consigliabile usare SMB su QUIC con domini di Active Directory, anche se non è obbligatorio. È anche possibile usare SMB su QUIC in un server aggiunto al gruppo di lavoro con credenziali utente locali e NTLM.
Prerequisiti
Per poter configurare il controllo di accesso client, è necessario un server SMB con i prerequisiti seguenti.
- Un server SMB che esegue Windows Server 2022 Datacenter: Azure Edition con l'aggiornamento 12 marzo 2024, KB5035857 o la build 25977 di Windows Server Insider o successive. Per sbloccare la funzionalità di anteprima, è necessario installare Windows Server 2022 KB5035857 240302_030531, funzionalità di anteprima.
- SMB su QUIC abilitato e configurato nel server. Per informazioni su come configurare SMB su QUIC, consultare la sezione SMB su QUIC.
- Se si usano certificati client rilasciati da un'autorità di certificazione (CA) diversa, è necessario assicurarsi che la CA sia considerata attendibile dal server.
- Privilegi amministrativi per il server SMB che si sta configurando.
Importante
Dopo aver installato KB5035857, è necessario abilitare questa funzionalità in Criteri di gruppo:
- Fare clic su Start, digitare gpedit e selezionare Modifica criteri di gruppo.
- Passare a Configurazione computer\Modelli amministrativi\KB5035857 240302_030531 Feature Preview\Windows Server 2022.
- Aprire il criterio KB5035857 240302_030531 Feature Preview e selezionare Abilitato.
È anche necessario un client SMB con i prerequisiti seguenti.
- Un client SMB in esecuzione in uno dei sistemi operativi seguenti:
- Windows Server 2022 Datacenter: Azure Edition con l'aggiornamento del 12 marzo 2024, KB5035857. Per sbloccare la funzionalità di anteprima, è necessario installare Windows Server 2022 KB5035857 240302_030531, funzionalità di anteprima.
- Windows 11 con l' aggiornamento 12 marzo 2024, KB5035853. Per sbloccare la funzionalità di anteprima, è necessario installare Windows 11 (versione originale) KB5035854 240302_030535, funzionalità di anteprima.
- Windows Server Insiders build 25977 o versioni successive.
- Windows 11 Insider Preview Build 25977 (canale Canary) o versioni successive.
- Un certificato client:
- Emesso per l'autenticazione client (EKU 1.3.6.1.5.5.7.3.2).
- Rilasciato da un'autorità di certificazione considerata attendibile dal server SMB.
- Installato nell'archivio certificati del client.
- Privilegi amministrativi per il server SMB che si sta configurando.
Importante
Dopo aver installato KB5035854, è necessario abilitare questa funzionalità in Criteri di gruppo:
- Fare clic su Start, digitare gpedit e selezionare Modifica criteri di gruppo.
- Passare a Configurazione computer\Modelli amministrativi\KB5035854 240302_030535 Feature Preview\Windows 11 (versione originale).
- Aprire il criterio KB5035854 240302_030535 Feature Preview e selezionare Abilitato.
Configurare il client SMB
Raccogliere le informazioni sul certificato client SMB
Per raccogliere l'hash del certificato client usando PowerShell:
Aprire un prompt di PowerShell con privilegi elevati nel client SMB.
Elencare i certificati nell'archivio certificati del client eseguendo il comando seguente.
Get-ChildItem -Path Cert:\LocalMachine\MyEseguire il comando seguente per archiviare il certificato in una variabile. Sostituire
<subject name>con il nome del soggetto del certificato che si desidera usare.$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}Prendere nota dell'hash SHA256 del certificato client eseguendo il comando seguente. Questo identificatore è necessario per configurare il controllo di accesso client.
$clientCert.GetCertHashString("SHA256")
Nota
L'identificazione personale archiviata nell'oggetto $clientCert usa l'algoritmo SHA1. Questa operazione viene usata da comandi come New-SmbClientCertificateMapping. L'identificazione personale SHA256 è anche necessaria per configurare il controllo di accesso client. Queste identificazioni personali saranno derivate usando algoritmi diversi rispetto allo stesso certificato.
Eseguire il mapping del certificato client al client SMB
Per eseguire il mapping del certificato client al client SMB:
Aprire un prompt di PowerShell con privilegi elevati nel client SMB.
Eseguire il comando
New-SmbClientCertificateMappingper eseguire il mapping del certificato client. Sostituire<namespace>con il nome di dominio completo (FQDN) del server SMB e usare l'identificazione personale del certificato client SHA1 raccolta nella sezione precedente usando la variabile.New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
Al termine, il certificato client viene usato dal client SMB per eseguire l'autenticazione nel server SMB corrispondente al nome di dominio completo.
Configurare il controllo di accesso client
Concedere singoli client
Eseguire la procedura per concedere un accesso client specifico al server SMB usando il controllo di accesso client.
Accedere al server SMB.
Aprire un prompt di PowerShell con privilegi elevati nel server SMB.
Eseguire il comando
Grant-SmbClientAccessToServerper concedere l'accesso al certificato client. Sostituire<name>con il nome host del server SMB e<hash>usando l'identificatore del certificato client SHA256 raccolto nella sezione Raccogliere le informazioni sul certificato client SMB.Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
Si è concesso l'accesso al certificato client. È possibile verificare l'accesso al certificato client eseguendo il comando Get-SmbClientAccessToServer.
Concedere autorità di certificazione specifiche
Eseguire la procedura per concedere l'accesso ai client da un'autorità di certificazione specifica usando il controllo di accesso client.
Accedere al server SMB.
Aprire un prompt di PowerShell con privilegi elevati nel server SMB.
Eseguire il comando
Grant-SmbClientAccessToServerper concedere l'accesso al certificato client. Sostituire<name>con il nome host del server SMB e<subject name>con il nome distinto X.500 completo del certificato dell'autorità di certificazione. Ad esempio:CN=Contoso CA, DC=Contoso, DC=com.Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
Disabilitare SMB su QUIC
A partire dalla build 26090 di Windows 11 Insider, gli amministratori possono disabilitare SMB su QUIC per il client eseguendo il comando seguente:
Set-SmbClientConfiguration -EnableSMBQUIC $false
Analogamente, questa operazione può essere eseguita in Criteri di gruppo disabilitando il criterio Abilita SMB su QUIC nel percorso seguente:
- Configurazione computer\Modelli amministrativi\Rete\Workstation Lanman.
Eseguire la connessione al server SMB
Al termine, verificare se è possibile connettersi al server eseguendo uno dei comandi seguenti:
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
O
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
Se è possibile connettersi al server, si è configurato correttamente SMB su QUIC usando il controllo di accesso client.