منع حركة مرور SMB من الاتصالات اللاحقة والدخول إلى الشبكة أو مغادرتها

نهج جدار الحماية المحيط

يجب أن تمنع جدران حماية الأجهزة والأجهزة المحيطة والموضعة على حافة الشبكة الاتصالات غير المرغوب فيها (من الإنترنت) و حركة المرور الصادرة (إلى الإنترنت) إلى المنافذ التالية.
 

من غير المحتمل أن يكون أي اتصال SMB ينشأ من الإنترنت أو متجها إلى الإنترنت شرعيا. قد تكون الحالة الأساسية للخادم أو الخدمة المستندة إلى السحابة مثل ملفات Azure. يجب إنشاء قيود مستندة إلى عنوان IP في جدار الحماية المحيط للسماح بنقاط النهاية المحددة هذه فقط. يمكن للمؤسسات السماح بالوصول إلى المنفذ 445 إلى نطاقات IP في Azure Datacenter و O365 لتمكين السيناريوهات المختلطة التي يستخدم فيها العملاء المحليون (خلف جدار حماية المؤسسة) منفذ SMB للتحدث إلى تخزين ملفات Azure. يجب أن تسمح أيضا ب 3 من SMB فقط.x و يتطلب تشفير SMB AES-128. راجع القسم"مراجع"للحصول على مزيد من المعلومات.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. انتهى استخدام NetBIOS لنقل SMB في Windows Vista و Windows Server 2008 وفي جميع أنظمة تشغيل Microsoft اللاحقة عندما قدمت Microsoft SMB 2.02. ومع ذلك، قد يكون لديك برامج وأجهزة أخرى غير Windows في بيئتك. يجب تعطيل SMB1 وإزالته إذا لم تكن قد فعلت ذلك بالفعل لأنه ما زال يستخدم NetBIOS. لم تعد الإصدارات الأحدث من Windows Server و Windows تقوم بتثبيت SMB1 بشكل افتراضي وستزيله تلقائيا إذا كان مسموحا به.

نهج جدار حماية Windows Defender

تتضمن جميع الإصدارات المدعومة من Windows و Windows Server جدار حماية Windows Defender (المسمى سابقا بجدار حماية Windows). يوفر جدار الحماية هذا حماية إضافية للأجهزة، خاصة عند انتقال الأجهزة خارج الشبكة أو عند تشغيلها ضمن واحدة.

جدار حماية Windows Defender له ملفات تعريف مميزة لأنواع معينة من الشبكات: المجال، والخاص، والضيف/العام. عادة ما تحصل الشبكة "ضيف/عام" على إعدادات أكثر تقييدا بشكل افتراضي من الشبكات "المجال" أو "الشبكات الخاصة" الموثوق بها. قد تجد نفسك تواجه قيودا مختلفة على SMB لهذه الشبكات استنادا إلى تقييم التهديدات لديك مقابل الاحتياجات التشغيلية.

الاتصالات الواردة بالكمبيوتر

بالنسبة لعملاء Windows وخوادمه التي لا تستضيف أسهم SMB، يمكنك حظر كل عمليات مرور SMB الواردة باستخدام جدار حماية Windows Defender لمنع الاتصالات عن بعد من الأجهزة الضارة أو المتطفلة. في جدار حماية Windows Defender، يتضمن ذلك القواعد الواردة التالية.

يجب أيضا إنشاء قاعدة حظر جديدة لتجاوز أي قواعد أخرى لجدار الحماية الوارد. استخدم الإعدادات المقترحة التالية لأي عملاء أو خوادم Windows لا تستضيف "أسهم SMB":

• الاسم:حظر كل الواردات من SMB 445

• الوصف:يمنع كل حركة مرور SMB TCP 445 الواردة. لا يجب تطبيقها على وحدات تحكم المجال أو أجهزة الكمبيوتر التي تستضيف أسهم SMB.

• الإجراء:حظر الاتصال

• البرامج:الكل

• أجهزة الكمبيوتر البعيدة: أي

• نوع البروتوكول: TCP

• المنفذ المحلي: 445

• المنفذ البعيد: أي

• ملفات التعريف:الكل

• النطاق (عنوان IP المحلي): أي

• النطاق (عنوان IP البعيد): أي

• Edge Traversal: Block edge traversal

يجب ألا تقوم بشكل عمومي بحظر نقل بيانات SMB الوارد إلى وحدات تحكم المجال أو خوادم الملفات. ومع ذلك، يمكنك تقييد الوصول إليها من نطاقات IP وأجهزة موثوق بها لخفض مساحة الهجوم الخاصة بها. ويجب أيضا أن تكون مقيدة بملفات تعريف جدار الحماية الخاص أو المجال ولا تسمح ب حركة مرور الضيف/العام.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. لقد حظر جدار حماية Windows كل اتصالات SMB الواردة بشكل افتراضي منذ Windows XP SP2 و Windows Server 2003 SP1. تسمح أجهزة Windows باتصال SMB الوارد فقط إذا أنشأ المسؤول مشاركة SMB أو عدل الإعدادات الافتراضية لجدار الحماية. يجب ألا تثق في تجربة الإعدادات الجديدة الافتراضية لكي تكون في مكانها على الأجهزة، بغض النظر عن ذلك. تحقق دائما من الإعدادات ودارتها بشكل نشط ورغبتها باستخدام "نهج المجموعة" أو أدوات الإدارة الأخرى.

لمزيد من المعلومات، راجع تصميم جدار حماية Windows Defender باستخدام استراتيجية أمان متقدمة وجدار حماية Windows Defender باستخدام دليل نشر الأمان المتقدم

الاتصالات الصادرة من كمبيوتر

يتطلب عملاء Windows وخوادمه اتصالات SMB الصادرة من أجل تطبيق نهج المجموعة من وحدات التحكم بالمجالات ولكي يتمكن المستخدمون والتطبيقات من الوصول إلى البيانات على خوادم الملفات، لذلك يجب اتخاذ بعض الإجراءات عند إنشاء قواعد جدار الحماية لمنع الاتصالات الضارة اللاحقة أو اتصالات الإنترنت. بشكل افتراضي، لا توجد أي كتل للداخل على عميل Windows أو خادم يتصل بمشتركي SMB، لذا يجب عليك إنشاء قواعد حظر جديدة.

يجب أيضا إنشاء قاعدة حظر جديدة لتجاوز أي قواعد أخرى لجدار الحماية الوارد. استخدم الإعدادات المقترحة التالية لأي عملاء أو خوادم Windows لا تستضيف "أسهم SMB".

شبكات الضيوف/العامة (غير المتطفلة)

• الاسم:حظر الضيف الصادر/SMB العام 445

• الوصف:حظر كل حركة مرور SMB TCP 445 الصادرة عند العمل على شبكة غير صحيحة

• الإجراء:حظر الاتصال

• البرامج:الكل

• أجهزة الكمبيوتر البعيدة: أي

• نوع البروتوكول: TCP

• المنفذ المحلي:أي

• المنفذ البعيد: 445

• ملفات التعريف:ضيف/عام

• النطاق (عنوان IP المحلي): أي

• النطاق (عنوان IP البعيد): أي

• Edge Traversal: Block edge traversal

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يجب على مستخدمي Office المنزلي والهواتف الصغيرة، أو مستخدمي الأجهزة المحمولة الذين يعملون في شبكات موثوق بها في الشركة ثم يتصلون بالشبكات المنزلية، توخي الحذر قبل حظر الشبكة العامة الصادرة. قد يؤدي القيام بذلك إلى منع الوصول إلى أجهزة NAS المحلية أو طابعات معينة.

الشبكات الخاصة/المجال (الموثوق بها)

• الاسم:السماح للمجال الصادر/SMB الخاص 445

• الوصف:يسمح نقل بيانات SMB TCP 445 الصادر إلى أجهزة DCs وخادم الملفات فقط عندما تكون على شبكة موثوق بها

• الإجراء:السماح بالاتصال إذا كان آمنا

• تخصيص السماح إذا كانت الإعدادات الآمنة: اختر أحد الخيارات، قم بتعيين قواعد حظر التجاوز = ON

• البرامج:الكل

• نوع البروتوكول: TCP

• المنفذ المحلي:أي

• المنفذ البعيد: 445

• ملفات التعريف:خاص/مجال

• النطاق (عنوان IP المحلي): أي

• النطاق (عنوان IP البعيد):<وحدة تحكم المجال وعناوين IP لخادم الملفات>

• Edge Traversal: Block edge traversal

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يمكنك أيضا استخدام أجهزة الكمبيوتر البعيدة بدلا من عناوين IP البعيدة لنطاق، إذا كان الاتصال الآمن يستخدم مصادقة تنقل هوية الكمبيوتر. راجع وثائق جدار حماية Defender للحصول على مزيد من المعلومات حول "السماح بالاتصال إذا كان آمنا" وخيارات الكمبيوتر البعيد.

• الاسم:حظر المجال الصادر/SMB الخاص 445

• الوصف:يمنع حركة مرور SMB TCP 445 الصادرة. التجاوز باستخدام القاعدة "السماح للمجال الصادر/SMB 445 الخاص"

• الإجراء:حظر الاتصال

• البرامج:الكل

• أجهزة الكمبيوتر البعيدة: غير م م

• نوع البروتوكول: TCP

• المنفذ المحلي:أي

• المنفذ البعيد: 445

• ملفات التعريف:خاص/مجال

• النطاق (عنوان IP المحلي): أي

• النطاق (عنوان IP البعيد): N/A

• Edge Traversal: Block edge traversal

يجب ألا تقوم بشكل عمومي بحظر نقل بيانات SMB الصادرة من أجهزة الكمبيوتر إلى وحدات تحكم المجال أو خوادم الملفات. ومع ذلك، يمكنك تقييد الوصول إليها من نطاقات IP وأجهزة موثوق بها لخفض مساحة الهجوم الخاصة بها.

لمزيد من المعلومات، راجع تصميم جدار حماية Windows Defender باستخدام استراتيجية أمان متقدمة وجدار حماية Windows Defender باستخدام دليل نشر الأمان المتقدم

قواعد اتصال الأمان

يجب استخدام قاعدة اتصال أمان لتنفيذ استثناءات قاعدة جدار الحماية الصادر ل "السماح بالاتصال إذا كان آمنا" و"السماح للاتصال باستخدام إعدادات التضمين Null". إذا لم تحدد هذه القاعدة على كل أجهزة الكمبيوتر المستندة إلى Windows وأجهزة الكمبيوتر المستندة إلى Windows Server، ستفشل المصادقة، وستحظر SMB الصادرة. 

على سبيل المثال، الإعدادات التالية مطلوبة:

• نوع القاعدة: عزل

• المتطلبات:طلب المصادقة للاتصالات الواردة وال الصادرة

• أسلوب المصادقة:الكمبيوتر والمستخدم (Kerberos V5)

• ملفالتعريف: المجال، خاص، عام

• الاسم: تجاوز مصادقة عزل ESP ل SMB

لمزيد من المعلومات حول قواعد اتصال الأمان، راجع المقالات التالية:

• تصميم جدار حماية Windows Defender باستخدام استراتيجية

• قائمة الاختيار: تكوين القواعد لمنطقة

محطة عمل Windows وخدمة الخادم

بالنسبة لأجهزة الكمبيوتر المدارة والمستهلكة والمعزولة إلى حد كبير التي لا تتطلب SMB على الإطلاق، يمكنك تعطيل خدمات الخادم أو محطة العمل. يمكنك إجراء ذلك يدويا باستخدام الأداة الإضافية "Services" (Services.msc) و PowerShell Set-Service cmdlet أو باستخدام تفضيلات نهج المجموعة. عند إيقاف هذه الخدمات وتعطيلها، لن يعود با الممكن ل SMB إجراء اتصالات واردة أو تلقي اتصالات واردة.

يجب ألا تقوم بتعطيل خدمة الخادم على وحدات تحكم المجال أو خوادم الملفات وإلا لن يتمكن أي عملاء من تطبيق نهج المجموعة أو الاتصال بالبيانات الخاصة بهم بعد الآن. يجب عدم تعطيل خدمة محطة العمل على أجهزة الكمبيوتر الأعضاء في مجال Active Directory وإلا لن تقوم بتطبيق نهج المجموعة بعد الآن.