Applies ToWindows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

الملخص

كتلة رسائل الخادم (SMB) هي بروتوكول مشاركة ملفات الشبكة ونسيج البيانات. يتم استخدام SMB بواسطة ملايين الأجهزة في مجموعة مختلفة من أنظمة التشغيل، بما في ذلك Windows و MacOS و iOS و Linux و Android. يستخدم العملاء SMB للوصول إلى البيانات على الخوادم. يسمح هذا بمشاركة الملفات وإدارة البيانات المركزية واحتياجات سعة التخزين الأقل للأجهزة المحمولة. تستخدم الخوادم أيضا SMB كجزء من مركز البيانات المحدد برمجيا لأحمال العمل مثل نظام المجموعات والتكرار.

بما أن SMB هو نظام ملفات بعيد، فهو يتطلب الحماية من الهجمات التي قد يتم فيها خداع كمبيوتر يعمل بنظام التشغيل Windows للاتصال بخادم ضار يعمل داخل شبكة موثوق بها أو خادم بعيد خارج محيط الشبكة. يمكن أن تحسن أفضل ممارسات وتكوينات جدار الحماية الأمان وتمنع حركة المرور الضارة من مغادرة الكمبيوتر أو الشبكة الخاصة به.

تأثير التغييرات

قد يمنع حظر الاتصال ب SMB العديد من التطبيقات أو الخدمات من العمل. للحصول على قائمة تضم تطبيقات Windows و Windows Server وخدماته التي قد تتوقف عن العمل في هذه الحالة، راجع نظرة عامة حول الخدمة ومتطلبات منفذ الشبكة لنظام التشغيل Windows

مزيد من المعلومات

نهج جدار الحماية المحيط

يجب أن تمنع جدران حماية الأجهزة والأجهزة المحيطة والموضعة على حافة الشبكة الاتصالات غير المرغوب فيها (من الإنترنت) و حركة المرور الصادرة (إلى الإنترنت) إلى المنافذ التالية.  

بروتوكول التطبيق

البروتوكول

المنفذ

SMB

TCP

445

دقة اسم NetBIOS

UDP

137

خدمة مخطط بيانات NetBIOS

UDP

138

خدمة جلسة عمل NetBIOS

TCP

139

من غير المحتمل أن يكون أي اتصال SMB ينشأ من الإنترنت أو متجها إلى الإنترنت شرعيا. قد تكون الحالة الأساسية للخادم أو الخدمة المستندة إلى السحابة مثل ملفات Azure. يجب إنشاء قيود مستندة إلى عنوان IP في جدار الحماية المحيط للسماح بنقاط النهاية المحددة هذه فقط. يمكن للمؤسسات السماح بالوصول إلى المنفذ 445 إلى نطاقات IP في Azure Datacenter و O365 لتمكين السيناريوهات المختلطة التي يستخدم فيها العملاء المحليون (خلف جدار حماية المؤسسة) منفذ SMB للتحدث إلى تخزين ملفات Azure. يجب أن تسمح أيضا ب 3 من SMB فقط.x و يتطلب تشفير SMB AES-128. راجع القسم"مراجع"للحصول على مزيد من المعلومات.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. انتهى استخدام NetBIOS لنقل SMB في Windows Vista و Windows Server 2008 وفي جميع أنظمة تشغيل Microsoft اللاحقة عندما قدمت Microsoft SMB 2.02. ومع ذلك، قد يكون لديك برامج وأجهزة أخرى غير Windows في بيئتك. يجب تعطيل SMB1 وإزالته إذا لم تكن قد فعلت ذلك بالفعل لأنه ما زال يستخدم NetBIOS. لم تعد الإصدارات الأحدث من Windows Server و Windows تقوم بتثبيت SMB1 بشكل افتراضي وستزيله تلقائيا إذا كان مسموحا به.

نهج جدار حماية Windows Defender

تتضمن جميع الإصدارات المدعومة من Windows و Windows Server جدار حماية Windows Defender (المسمى سابقا بجدار حماية Windows). يوفر جدار الحماية هذا حماية إضافية للأجهزة، خاصة عند انتقال الأجهزة خارج الشبكة أو عند تشغيلها ضمن واحدة.

جدار حماية Windows Defender له ملفات تعريف مميزة لأنواع معينة من الشبكات: المجال، والخاص، والضيف/العام. عادة ما تحصل الشبكة "ضيف/عام" على إعدادات أكثر تقييدا بشكل افتراضي من الشبكات "المجال" أو "الشبكات الخاصة" الموثوق بها. قد تجد نفسك تواجه قيودا مختلفة على SMB لهذه الشبكات استنادا إلى تقييم التهديدات لديك مقابل الاحتياجات التشغيلية.

الاتصالات الواردة بالكمبيوتر

بالنسبة لعملاء Windows وخوادمه التي لا تستضيف أسهم SMB، يمكنك حظر كل عمليات مرور SMB الواردة باستخدام جدار حماية Windows Defender لمنع الاتصالات عن بعد من الأجهزة الضارة أو المتطفلة. في جدار حماية Windows Defender، يتضمن ذلك القواعد الواردة التالية.

الاسم

ملف التعريف

تم التمكين

مشاركة الملفات والطابعات (SMB-In)

الكل

لا

خدمة Netlogon (NP-In)

الكل

لا

إدارة سجل الأحداث عن بعد (NP-In)

الكل

لا

إدارة الخدمة عن بعد (NP-In)

الكل

لا

يجب أيضا إنشاء قاعدة حظر جديدة لتجاوز أي قواعد أخرى لجدار الحماية الوارد. استخدم الإعدادات المقترحة التالية لأي عملاء أو خوادم Windows لا تستضيف "أسهم SMB":

  • الاسم:حظر كل الواردات من SMB 445

  • الوصف:يمنع كل حركة مرور SMB TCP 445 الواردة. لا يجب تطبيقها على وحدات تحكم المجال أو أجهزة الكمبيوتر التي تستضيف أسهم SMB.

  • الإجراء:حظر الاتصال

  • البرامج:الكل

  • أجهزة الكمبيوتر البعيدة: أي

  • نوع البروتوكول: TCP

  • المنفذ المحلي: 445

  • المنفذ البعيد: أي

  • ملفات التعريف:الكل

  • النطاق (عنوان IP المحلي): أي

  • النطاق (عنوان IP البعيد): أي

  • Edge Traversal: Block edge traversal

يجب ألا تقوم بشكل عمومي بحظر نقل بيانات SMB الوارد إلى وحدات تحكم المجال أو خوادم الملفات. ومع ذلك، يمكنك تقييد الوصول إليها من نطاقات IP وأجهزة موثوق بها لخفض مساحة الهجوم الخاصة بها. ويجب أيضا أن تكون مقيدة بملفات تعريف جدار الحماية الخاص أو المجال ولا تسمح ب حركة مرور الضيف/العام.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. لقد حظر جدار حماية Windows كل اتصالات SMB الواردة بشكل افتراضي منذ Windows XP SP2 و Windows Server 2003 SP1. تسمح أجهزة Windows باتصال SMB الوارد فقط إذا أنشأ المسؤول مشاركة SMB أو عدل الإعدادات الافتراضية لجدار الحماية. يجب ألا تثق في تجربة الإعدادات الجديدة الافتراضية لكي تكون في مكانها على الأجهزة، بغض النظر عن ذلك. تحقق دائما من الإعدادات ودارتها بشكل نشط ورغبتها باستخدام "نهج المجموعة" أو أدوات الإدارة الأخرى.

لمزيد من المعلومات، راجع تصميم جدار حماية Windows Defender باستخدام استراتيجية أمان متقدمة وجدار حماية Windows Defender باستخدام دليل نشر الأمان المتقدم

الاتصالات الصادرة من كمبيوتر

يتطلب عملاء Windows وخوادمه اتصالات SMB الصادرة من أجل تطبيق نهج المجموعة من وحدات التحكم بالمجالات ولكي يتمكن المستخدمون والتطبيقات من الوصول إلى البيانات على خوادم الملفات، لذلك يجب اتخاذ بعض الإجراءات عند إنشاء قواعد جدار الحماية لمنع الاتصالات الضارة اللاحقة أو اتصالات الإنترنت. بشكل افتراضي، لا توجد أي كتل للداخل على عميل Windows أو خادم يتصل بمشتركي SMB، لذا يجب عليك إنشاء قواعد حظر جديدة.

يجب أيضا إنشاء قاعدة حظر جديدة لتجاوز أي قواعد أخرى لجدار الحماية الوارد. استخدم الإعدادات المقترحة التالية لأي عملاء أو خوادم Windows لا تستضيف "أسهم SMB".

شبكات الضيوف/العامة (غير المتطفلة)

  • الاسم:حظر الضيف الصادر/SMB العام 445

  • الوصف:حظر كل حركة مرور SMB TCP 445 الصادرة عند العمل على شبكة غير صحيحة

  • الإجراء:حظر الاتصال

  • البرامج:الكل

  • أجهزة الكمبيوتر البعيدة: أي

  • نوع البروتوكول: TCP

  • المنفذ المحلي:أي

  • المنفذ البعيد: 445

  • ملفات التعريف:ضيف/عام

  • النطاق (عنوان IP المحلي): أي

  • النطاق (عنوان IP البعيد): أي

  • Edge Traversal: Block edge traversal

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يجب على مستخدمي Office المنزلي والهواتف الصغيرة، أو مستخدمي الأجهزة المحمولة الذين يعملون في شبكات موثوق بها في الشركة ثم يتصلون بالشبكات المنزلية، توخي الحذر قبل حظر الشبكة العامة الصادرة. قد يؤدي القيام بذلك إلى منع الوصول إلى أجهزة NAS المحلية أو طابعات معينة.

الشبكات الخاصة/المجال (الموثوق بها)

  • الاسم:السماح للمجال الصادر/SMB الخاص 445

  • الوصف:يسمح نقل بيانات SMB TCP 445 الصادر إلى أجهزة DCs وخادم الملفات فقط عندما تكون على شبكة موثوق بها

  • الإجراء:السماح بالاتصال إذا كان آمنا

  • تخصيص السماح إذا كانت الإعدادات الآمنة: اختر أحد الخيارات، قم بتعيين قواعد حظر التجاوز = ON

  • البرامج:الكل

  • نوع البروتوكول: TCP

  • المنفذ المحلي:أي

  • المنفذ البعيد: 445

  • ملفات التعريف:خاص/مجال

  • النطاق (عنوان IP المحلي): أي

  • النطاق (عنوان IP البعيد):<وحدة تحكم المجال وعناوين IP لخادم الملفات>

  • Edge Traversal: Block edge traversal

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يمكنك أيضا استخدام أجهزة الكمبيوتر البعيدة بدلا من عناوين IP البعيدة لنطاق، إذا كان الاتصال الآمن يستخدم مصادقة تنقل هوية الكمبيوتر. راجع وثائق جدار حماية Defender للحصول على مزيد من المعلومات حول "السماح بالاتصال إذا كان آمنا" وخيارات الكمبيوتر البعيد.

  • الاسم:حظر المجال الصادر/SMB الخاص 445

  • الوصف:يمنع حركة مرور SMB TCP 445 الصادرة. التجاوز باستخدام القاعدة "السماح للمجال الصادر/SMB 445 الخاص"

  • الإجراء:حظر الاتصال

  • البرامج:الكل

  • أجهزة الكمبيوتر البعيدة: غير م م

  • نوع البروتوكول: TCP

  • المنفذ المحلي:أي

  • المنفذ البعيد: 445

  • ملفات التعريف:خاص/مجال

  • النطاق (عنوان IP المحلي): أي

  • النطاق (عنوان IP البعيد): N/A

  • Edge Traversal: Block edge traversal

يجب ألا تقوم بشكل عمومي بحظر نقل بيانات SMB الصادرة من أجهزة الكمبيوتر إلى وحدات تحكم المجال أو خوادم الملفات. ومع ذلك، يمكنك تقييد الوصول إليها من نطاقات IP وأجهزة موثوق بها لخفض مساحة الهجوم الخاصة بها.

لمزيد من المعلومات، راجع تصميم جدار حماية Windows Defender باستخدام استراتيجية أمان متقدمة وجدار حماية Windows Defender باستخدام دليل نشر الأمان المتقدم

قواعد اتصال الأمان

يجب استخدام قاعدة اتصال أمان لتنفيذ استثناءات قاعدة جدار الحماية الصادر ل "السماح بالاتصال إذا كان آمنا" و"السماح للاتصال باستخدام إعدادات التضمين Null". إذا لم تحدد هذه القاعدة على كل أجهزة الكمبيوتر المستندة إلى Windows وأجهزة الكمبيوتر المستندة إلى Windows Server، ستفشل المصادقة، وستحظر SMB الصادرة. 

على سبيل المثال، الإعدادات التالية مطلوبة:

  • نوع القاعدة: عزل

  • المتطلبات:طلب المصادقة للاتصالات الواردة وال الصادرة

  • أسلوب المصادقة:الكمبيوتر والمستخدم (Kerberos V5)

  • ملفالتعريف: المجال، خاص، عام

  • الاسم: تجاوز مصادقة عزل ESP ل SMB

لمزيد من المعلومات حول قواعد اتصال الأمان، راجع المقالات التالية:

محطة عمل Windows وخدمة الخادم

بالنسبة لأجهزة الكمبيوتر المدارة والمستهلكة والمعزولة إلى حد كبير التي لا تتطلب SMB على الإطلاق، يمكنك تعطيل خدمات الخادم أو محطة العمل. يمكنك إجراء ذلك يدويا باستخدام الأداة الإضافية "Services" (Services.msc) و PowerShell Set-Service cmdlet أو باستخدام تفضيلات نهج المجموعة. عند إيقاف هذه الخدمات وتعطيلها، لن يعود با الممكن ل SMB إجراء اتصالات واردة أو تلقي اتصالات واردة.

يجب ألا تقوم بتعطيل خدمة الخادم على وحدات تحكم المجال أو خوادم الملفات وإلا لن يتمكن أي عملاء من تطبيق نهج المجموعة أو الاتصال بالبيانات الخاصة بهم بعد الآن. يجب عدم تعطيل خدمة محطة العمل على أجهزة الكمبيوتر الأعضاء في مجال Active Directory وإلا لن تقوم بتطبيق نهج المجموعة بعد الآن.

المراجع

تصميم جدار حماية Windows Defender باستخدام استراتيجية أمان متقدمة جدار حماية Windows Defender مع دليل نشر الأمان المتقدم تطبيقات Azure البعيدة عناوين IP الخاصة ب Azure datacenter عناوين IP ل Microsoft O365

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.