Configurar o controle de acesso de cliente SMB sobre QUIC no Windows Server 2022 Azure Edition e no Windows Server 2025
O controle de acesso de cliente SMB sobre QUIC permite restringir quais clientes podem acessar SMB em servidores QUIC. O controle de acesso de cliente cria listas de permissões e bloqueios para que os dispositivos se conectem ao servidor de arquivos. O controle de acesso de cliente oferece às organizações mais proteção sem alterar a autenticação usada ao fazer a conexão SMB, nem altera a experiência do usuário final.
O artigo explica como usar o PowerShell para configurar o controle de acesso de cliente para SMB sobre QUIC no Windows 11 e no Windows Server 2022 Datacenter: Azure Edition. Para prosseguir com as instruções, você deve ter o KB5035853 de atualização de março ou KB5035857 instalado, estar executando um Windows 11, versão 24H2 ou Windows Server 2025 recente.
Para saber mais sobre como configurar SMB sobre QUIC, consulte SMB sobre QUIC.
Como funciona o controle de acesso do cliente
O controle de acesso do cliente verifica se os clientes que se conectam a um servidor estão usando um certificado de cliente conhecido ou têm um certificado emitido por um certificado raiz compartilhado. O administrador emite esse certificado para o cliente e adiciona o hash a uma lista de permissões mantida pelo servidor. Quando o cliente tenta se conectar ao servidor, o servidor compara o certificado do cliente com a lista de permissões. Se o certificado for válido, o certificado do servidor criará um túnel criptografado TLS 1.3 sobre a porta UDP 443 e concederá ao cliente acesso ao compartilhamento. O controle do acesso de cliente também oferece suporte a certificados com nomes alternativos de entidade.
Você também pode configurar o SMB sobre QUIC para bloquear o acesso revogando certificados ou negando explicitamente o acesso a determinados dispositivos.
Observação
Recomendamos o uso do SMB sobre QUIC com domínios do Active Directory, mas isso não é obrigatório. Você também pode usar o SMB por QUIC em um servidor ingressado em um grupo de trabalho com credenciais de usuário local e NTLM.
Pré-requisitos
Antes de configurar o controle de acesso do cliente, você precisa de um servidor SMB com os seguintes pré-requisitos.
- Um servidor SMB executando o Windows Server 2022 Datacenter: Azure Edition com a Atualização KB5035857 de 12 de março de 2024 ou o Windows Server 2025 ou posterior. Para desbloquear a versão preliminar do recurso, você também deve instalar a Versão preliminar do recurso do Windows Server 2022 KB5035857 240302_030531.
- SMB sobre QUIC habilitado e configurado no servidor. Para saber como configurar o SMB sobre QUIC, consulte SMB sobre QUIC.
- Se você estiver usando certificados de cliente emitidos por uma autoridade de certificação (CA) diferente, precisará garantir que a autoridade de certificação seja confiável para o servidor.
- Privilégios administrativos para o servidor SMB que você está configurando.
Importante
Depois que KB5035857 estiver instalado, você deverá habilitar esse recurso na Política de Grupo:
- Clique em Iniciar, digite gpedit e selecione Editar política de grupo.
- Navegue até Computer Configuration\Administrative Templates\KB5035857 240302_030531 Feature Preview\Windows Server 2022.
- Abra a política KB5035857 240302_030531 Feature Preview e selecione Habilitado.
Você também precisa de um cliente SMB com os pré-requisitos a seguir.
- Um cliente SMB em execução em um dos seguintes sistemas operacionais:
- Windows Server 2022 Datacenter: Azure Edition com a atualização KB5035857 de 12 de março de 2024. Para desbloquear a versão preliminar do recurso, você também deve instalar a Versão preliminar do recurso do Windows Server 2022 KB5035857 240302_030531.
- Windows 11 com a atualização KB5035853 de 12 de março de 2024. Para desbloquear a versão preliminar do recurso, você também deve instalar a Versão preliminar do recurso do Windows 11 (versão original) KB5035854 240302_030535.
- Windows Server 2025 ou posterior.
- Windows 11, versão 24H2 ou posterior.
- Um certificado de cliente que é:
- Emitido para autenticação de cliente (EKU 1.3.6.1.5.5.7.3.2).
- Emitido por uma autoridade de certificação confiável pelo servidor SMB.
- Instalado no armazenamento de certificados do cliente.
- Privilégios administrativos para o servidor SMB que você está configurando.
Importante
Depois que KB5035854 estiver instalado, você deverá habilitar esse recurso na Política de Grupo:
- Clique em Iniciar, digite gpedit e selecione Editar política de grupo.
- Navegue até Computer Configuration\Administrative Templates\KB5035854 240302_030535 Feature Preview\Windows 11 (original release).
- Abra a política KB5035854 240302_030535 Feature Preview e selecione Habilitado.
Configurar o cliente SMB
Reunir as informações do certificado do cliente SMB
Para reunir o hash do certificado do cliente usando o PowerShell:
Abra um prompt elevado do PowerShell no cliente SMB.
Liste os certificados no repositório de certificados do cliente executando o comando a seguir.
Get-ChildItem -Path Cert:\LocalMachine\My
Execute o seguinte comando para armazenar o certificado em uma variável. Substitua
<subject name>
pelo nome do assunto do certificado que você deseja usar.$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
Anote o hash SHA256 do certificado do cliente executando o comando a seguir. Você precisa desse identificador ao configurar o controle de acesso do cliente.
$clientCert.GetCertHashString("SHA256")
Observação
A impressão digital armazenada no objeto $clientCert
usa o algoritmo SHA1. Ele é usado por comandos como New-SmbClientCertificateMapping
. Você também precisará da impressão digital SHA256 para configurar o controle de acesso do cliente. Essas impressões digitais serão derivadas diferentes usando algoritmos diferentes em relação ao mesmo certificado.
Mapeie o certificado do cliente para o cliente SMB
Para mapear o certificado do cliente para o cliente SMB:
Abra um prompt elevado do PowerShell no cliente SMB.
Execute o comando
New-SmbClientCertificateMapping
para mapear o certificado do cliente. Substitua<namespace>
pelo FQDN (nome de domínio totalmente qualificado) do servidor SMB e use a impressão digital do certificado do cliente SHA1 coletada na seção anterior usando a variável.New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
Após a conclusão, o cliente certificado é usado pelo cliente SMB para autenticar no servidor SMB correspondente ao FQDN.
Configure o controle de acesso do cliente
Conceda clientes individuais
Siga as etapas para conceder a um cliente específico acesso ao servidor SMB usando o controle de acesso de cliente.
Conecte-se ao servidor SMB.
Abra um prompt elevado do PowerShell no servidor SMB.
Execute o
Grant-SmbClientAccessToServer
para conceder acesso ao certificado do cliente. Substitua<name>
pelo nome de host do servidor SMB e<hash>
usando o identificador de certificado de cliente SHA256 que você reuniu na seção Reunir as informações do certificado do cliente SMB.Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
Você concedeu acesso ao certificado do cliente. Você pode verificar o acesso ao certificado do cliente executando o comando Get-SmbClientAccessToServer
.
Conceda autoridades de certificação específicas
Siga as etapas para conceder clientes de uma autoridade de certificação específica, também conhecida como emissor, usando o controle de acesso do cliente.
Conecte-se ao servidor SMB.
Abra um prompt elevado do PowerShell no servidor SMB.
Execute o
Grant-SmbClientAccessToServer
para conceder acesso ao certificado do cliente. Substitua<name>
pelo nome de host do servidor SMB e<subject name>
pelo nome diferenciado X.500 completo do certificado do emissor. Por exemplo,CN=Contoso CA, DC=Contoso, DC=com
.Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
Desabilitar SMB sobre QUIC
A partir do Windows 11, versão 24H2, os administradores agora podem desabilitar o SMB sobre QUIC para o cliente executando o seguinte comando:
Set-SmbClientConfiguration -EnableSMBQUIC $false
De forma similar, é possível executar essa operação na Política de Grupo, desabilitando a política Habilitar SMB sobre QUIC no seguinte caminho:
- Computer Configuration\Administrative Templates\Network\Lanman Workstation
Conexão com o SMB Server
Quando terminar, teste se você pode se conectar ao servidor executando um dos seguintes comandos:
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
Ou
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
Se você conseguir se conectar ao servidor, significa que configurou com êxito o SMB sobre QUIC usando o controle de acesso do cliente.