Quelle: blogs.windows.com (Englisch)
Windows 11 fügt ab dem heutigen Canary Channel Insider Preview Build 25992 keine SMB1 Windows Defender Firewall-Regeln mehr hinzu, wenn neue SMB-Freigaben erstellt werden.
Vor dieser Änderung und seit Windows XP SP2 wurden beim Erstellen von SMB-Freigaben automatisch Firewall-Regeln innerhalb der Gruppe "Datei- und Druckerfreigabe" für die angegebenen Firewall-Profile eingerichtet.
Ab heute konfiguriert Windows 11 die aktualisierte Gruppe "Datei- und Druckerfreigabe (restriktiv)" und lässt die eingehenden NetBIOS-Ports 137-139 (die SMB1-Artefakte sind) aus.
"Diese Änderung erzwingt einen höheren Grad an Standardsicherheit im Netzwerk und bringt die SMB-Firewallregeln näher an das Verhalten der Windows Server "File Server"-Rolle heran", so Amanda Langowski und Brandon LeBlanc von Microsoft.
"Administratoren können bei Bedarf weiterhin die Gruppe "Datei- und Druckerfreigabe" konfigurieren und diese neue Firewall-Gruppe ändern."
"Wir planen zukünftige Updates für diese Regel, um auch eingehende ICMP-, LLMNR- und Spooler-Service-Ports zu entfernen und nur die für die SMB-Freigabe notwendigen Ports zuzulassen", fügte Ned Pyle, Principal Program Manager bei Microsoft, in einem separaten Blog-Post hinzu.
Der SMB-Client erlaubt jetzt auch Verbindungen mit einem SMB-Server über TCP, QUIC oder RDMA über benutzerdefinierte Netzwerk-Ports, die sich von den fest kodierten Standard-Ports unterscheiden