Поделиться через

Настройка управления доступом клиента SMB через QUIC в Windows Server 2022 Azure Edition и Windows Server 2025

  • Статья

Управление доступом клиента SMB через QUIC позволяет ограничить доступ клиентов к SMB через СЕРВЕРЫ QUIC. Управление доступом клиента создает списки разрешений и блокировок для устройств, которые будут подключаться к файловом серверу. Управление доступом клиентов обеспечивает организациям большую защиту, не изменяя проверку подлинности, используемую при подключении SMB, и не изменяет взаимодействие с конечным пользователем.

В этой статье объясняется, как использовать PowerShell для настройки управления доступом клиентов для SMB через QUIC в Windows 11 и Windows Server 2022 Datacenter: Azure Edition. Чтобы продолжить работу с инструкциями, необходимо установить KB5035853 обновления марта или KB5035857, запустить последнюю версию Windows 11, версию 24H2 или Windows Server 2025.

Дополнительные сведения о настройке SMB через QUIC см. в статье SMB over QUIC.

Как работает управление доступом клиента

Контроль доступа клиента проверяет, что клиенты, подключающиеся к серверу, используют известный сертификат клиента или имеют сертификат, выданный общим корневым сертификатом. Администратор выдает этот сертификат клиенту и добавляет хэш в список разрешений, поддерживаемый сервером. Когда клиент пытается подключиться к серверу, сервер сравнивает сертификат клиента с списком разрешений. Если сертификат действителен, сертификат сервера создает туннель TLS 1.3, зашифрованный через порт UDP 443, и предоставляет клиенту доступ к общей папке. Управление доступом клиентов также поддерживает сертификаты с альтернативными именами субъектов.

Вы также можете настроить SMB через QUIC для блокировки доступа, отменив сертификаты или явно запретив доступ к определенным устройствам.

Примечание.

Рекомендуется использовать SMB через QUIC с доменами Active Directory, однако это не обязательно. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM.

Необходимые компоненты

Прежде чем настроить управление доступом клиента, вам потребуется сервер SMB со следующими предварительными условиями.

  • Сервер SMB под управлением Windows Server 2022 Datacenter: Выпуск Azure с 12 марта 2024 г. — обновление KB5035857 или Windows Server 2025 или более поздней версии. Чтобы разблокировать предварительную версию компонента, необходимо также установить Windows Server 2022 KB5035857 240302_030531 Feature Preview.
  • SMB через QUIC включено и настроено на сервере. Сведения о настройке SMB через QUIC см. в статье SMB over QUIC.
  • Если вы используете сертификаты клиента, выданные другим центром сертификации (ЦС), необходимо убедиться, что ЦС является доверенным сервером.
  • Права администратора для настраиваемого сервера SMB.

Внимание

После установки KB5035857 необходимо включить эту функцию в групповой политике:

  1. Нажмите кнопку "Пуск", введите gpedit и выберите "Изменить групповую политику".
  2. Перейдите к разделу "Конфигурация компьютера\Административные шаблоны\KB5035857 240302_030531 Предварительная версия компонентов\Windows Server 2022".
  3. Откройте политику предварительного просмотра компонентов KB5035857 240302_030531 и выберите "Включено".

Вам также нужен клиент SMB со следующими предварительными условиями.

  • Клиент SMB, работающий в одной из следующих операционных систем:
  • Сертификат клиента, который:
    • Выдано для проверки подлинности клиента (EKU 1.3.6.1.5.5.7.3.2).
    • Выдан доверенным сервером SMB центром сертификации.
    • Устанавливается в хранилище сертификатов клиента.
  • Права администратора для настраиваемого сервера SMB.

Внимание

После установки KB5035854 необходимо включить эту функцию в групповой политике:

  1. Нажмите кнопку "Пуск", введите gpedit и выберите "Изменить групповую политику".
  2. Перейдите к разделу "Конфигурация компьютера\Административные шаблоны\KB5035854 240302_030535 Предварительная версия компонентов\Windows 11 (исходный выпуск)".
  3. Откройте политику предварительного просмотра компонентов KB5035854 240302_030535 и выберите "Включено".

Настройка клиента SMB

Сбор сведений о сертификате клиента SMB

Чтобы собрать хэш сертификата клиента с помощью PowerShell:

  1. Откройте запрос PowerShell с повышенными привилегиями на клиенте SMB.

  2. Выведите список сертификатов в хранилище сертификатов клиента, выполнив следующую команду.

    Get-ChildItem -Path Cert:\LocalMachine\My

  3. Выполните следующую команду, чтобы сохранить сертификат в переменной. Замените <subject name> именем субъекта сертификата, который вы хотите использовать.

    $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}

  4. Запишите хэш сертификата клиента SHA256, выполнив следующую команду. Этот идентификатор требуется при настройке управления доступом клиента.

    $clientCert.GetCertHashString("SHA256")

Примечание.

Отпечаток, хранящийся в объекте $clientCert , использует алгоритм SHA1. Это используется такими командами, как New-SmbClientCertificateMapping. Вам также потребуется отпечаток SHA256 для настройки управления доступом клиента, эти отпечатки будут отличаться с использованием различных алгоритмов для одного и того же сертификата.

Сопоставление сертификата клиента с клиентом SMB

Чтобы сопоставить сертификат клиента с клиентом SMB, выполните следующие действия.

  1. Откройте запрос PowerShell с повышенными привилегиями на клиенте SMB.

  2. New-SmbClientCertificateMapping Выполните команду, чтобы сопоставить сертификат клиента. Замените <namespace> полное доменное имя сервера SMB и используйте отпечаток сертификата клиента SHA1, собранный в предыдущем разделе с помощью переменной.

    New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My

После завершения сертификат клиента используется клиентом SMB для проверки подлинности на сервере SMB, который соответствует полному доменному имени.

Настройка управления доступом клиента

Предоставление отдельных клиентов

Выполните действия, чтобы предоставить определенный клиентский доступ к серверу SMB с помощью управления доступом клиента.

  1. Войдите на сервер SMB.

  2. Откройте запрос PowerShell с повышенными привилегиями на сервере SMB.

  3. Grant-SmbClientAccessToServer Запустите сертификат клиента, чтобы предоставить доступ к сертификату клиента. Замените <name> именем узла сервера SMB и <hash> идентификатором сертификата клиента SHA256, собранным в разделе "Сбор сведений о сертификате клиента SMB".

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>

Теперь вы предоставили доступ к сертификату клиента. Чтобы проверить доступ к сертификату клиента, выполните Get-SmbClientAccessToServer команду.

Предоставление определенных центров сертификации

Выполните действия, чтобы предоставить клиентам определенный центр сертификации, также известный как издатель, с помощью управления доступом клиентов.

  1. Войдите на сервер SMB.

  2. Откройте запрос PowerShell с повышенными привилегиями на сервере SMB.

  3. Grant-SmbClientAccessToServer Запустите сертификат клиента, чтобы предоставить доступ к сертификату клиента. Замените <name> именем узла сервера SMB и <subject name> полным именем сертификата издателя X.500. Например, CN=Contoso CA, DC=Contoso, DC=com.

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"

Отключение SMB через QUIC

Начиная с Windows 11 версии 24H2 администраторы теперь могут отключить SMB через QUIC для клиента, выполнив следующую команду:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Аналогичным образом эта операция может выполняться в групповой политике, отключив политику Enable SMB over QUIC в следующем пути:

  • Конфигурация компьютера\Административные шаблоны\Сетевая\Рабочая станция Lanman

Подключение к серверу SMB

По завершении проверьте, можно ли подключиться к серверу, выполнив одну из следующих команд:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Or

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Если вы можете подключиться к серверу, вы успешно настроили SMB через QUIC с помощью управления доступом клиента.

Связанный контент