Предотвратяване на SMB трафик от странична връзки и влизане или излизане от мрежата

Подходи за защитна стена на периметъра

Защитните стени на хардуера и устройството, които са позиционирани в края на мрежата, трябва да блокират непоръчаната комуникация (от интернет) и изходящия трафик (към интернет) към следните портове.
 

Не е вероятно всяко съобщение за SMB, което произхожда от интернет или е предназначено за интернет, да е законно. Главният казус може да бъде за базиран на облак сървър или услуга, като например Azure files. Трябва да създадете IP адреси, базирани на ограничения във вашата защитна стена на периметъра, за да разрешите само тези конкретни крайни точки. Организациите могат да разрешат достъп на 445 до определени Azure Datacenter и O365 IP диапазони, за да разрешат хибридните сценарии, при които локалните клиенти (зад корпоративната защитна стена) използват SMB порта, за да говорят с хранилището на Azure File. Също така трябва да разрешите само SMB 3.x Traffic и изискват ШИФРОВАНЕ на SMB AES-128. За повече информация вижте раздела "препратки".

Забележка Използването на NetBIOS за SMB транспорт приключи в Windows Vista, Windows Server 2008 и във всички по-нови операционни системи на Microsoft, когато Microsoft въведе SMB 2,02. Може обаче да имате софтуер и устройства, различни от Windows във вашата среда. Трябва да забраните и премахнете SMB1, ако все още не сте направили това, тъй като той пак използва NetBIOS. По-новите версии на Windows Server и Windows вече не инсталират SMB1 по подразбиране и автоматично ще го отстранят, ако е разрешено.

Подходи към защитната стена на Windows Defender

Всички поддържани версии на Windows и Windows Server включват защитната стена на Windows Defender (наричана преди това защитната стена на Windows). Тази защитна стена предоставя допълнителна защита за устройства, особено когато устройствата се движат извън мрежата или когато те се намират в рамките на една.

Защитната стена на Windows Defender има различни профили за определени типове мрежи: домейн, лични и гост/публичен. Гостът/публичната мрежа обикновено получава много по-ограничителни настройки по подразбиране, отколкото по-надежден домейн или частни мрежи. Можете да откриете, че имате различни ограничения за SMB за тези мрежи, базирани на вашата оценка на заплахи спрямо оперативните нужди.

Входящи връзки към компютър

За клиенти и сървъри на Windows, които не хостват SMB акции, можете да блокирате всички входящи SMB трафик с помощта на защитната стена на Windows Defender, за да предотвратите отдалечени връзки от злонамерени или компрометирани устройства. В защитната стена на Windows Defender това включва следните входящи правила.

Трябва също да създадете ново правило за блокиране, за да заместите всякакви други входящи правила за защитната стена. Използвайте следните предложени настройки за всеки клиент или сървър на Windows, които не хостват SMB акции:

• Име: Блокирай всички входящи SMB 445

• Описание: блокира всички входящи SMB TCP 445 трафик. Да не се прилага към домейнови контролери или компютри, хостващи SMB акции.

• Действие: блокиране на връзката

• Програми: ALL

• Отдалечени компютри: всякакви

• Тип протокол: TCP

• Локален порт: 445

• Отдалечен порт: всеки

• Profiles: ALL

• Обхват (локален IP адрес): всеки

• Обхват (отдалечен IP адрес): всеки

• Обхождане на ръбовете: хоризонтално обхождане

Не трябва глобално да блокирате входящия SMB трафик към домейнови контролери или файлови сървъри. Можете обаче да ограничите достъпа до тях от надеждни IP диапазони и устройства, за да намалите тяхната настилка. Те също така трябва да бъдат ограничени до домейни или частни профили на защитна стена, а не да позволяват гост/публичен трафик.

Забележка Защитната стена на Windows блокира всички входящи SMB съобщения по подразбиране, тъй като Windows XP SP2 и Windows Server 2003 SP1. Устройства с Windows ще позволят входящи SMB съобщения само ако администраторът създава SMB дял или променя настройките по подразбиране на защитната стена. Не трябва да се доверявате по подразбиране на възможностите за работа извън кутията, за да можете да работите на устройства независимо. Винаги проверявайте и активно Управлявайте настройките и тяхното желано състояние, като използвате групови правила или други инструменти за управление.

За повече информация вижте проектиране на защитна стена на Windows Defender с разширена стратегия за защита и защитна стена на Windows Defender с Разширено ръководство за разполагане на защитата

Изходящи връзки от компютър

За клиенти и сървъри на Windows са необходими изходящи SMB връзки, за да се приложат групови правила от домейнови контролери и потребители и приложения за достъп до данни на файлови сървъри, така че трябва да бъдат взети под внимание при създаването на правила за защитна стена за предотвратяване на злонамерени странични или интернет връзки. По подразбиране няма изходящи блокове на клиент или сървър на Windows, които се свързват с SMB акции, така че ще трябва да създадете нови правила за блокиране.

Трябва също да създадете ново правило за блокиране, за да заместите всякакви други входящи правила за защитната стена. Използвайте следните предложени настройки за всеки клиент или сървър на Windows, които не хостват SMB акции.

Гост/публичен (ненадежден) мрежи

• Име: Блокирай изходящо гост/публичен SMB 445

• Описание: блокира всички изходящи SMB TCP трафик на 445, когато сте в ненадежден мрежа

• Действие: блокиране на връзката

• Програми: ALL

• Отдалечени компютри: всякакви

• Тип протокол: TCP

• Локален порт: всеки

• Отдалечен порт: 445

• Профили: гост/публичен

• Обхват (локален IP адрес): всеки

• Обхват (отдалечен IP адрес): всеки

• Обхождане на ръбовете: хоризонтално обхождане

Забележка Малките потребители на Office и Home Office или мобилните потребители, които работят в корпоративни надеждни мрежи, и след това се свързват с домашните си мрежи, трябва да използват предпазливост, преди да блокират публичната изходяща мрежа. Това може да попречи на достъпа до техните местни устройства NAS или определени принтери.

Лични/домейни (надеждни) мрежи

• Name: разрешаване на изходящи домейни/частни SMB 445

• Описание: позволява ИЗХОДЯЩИЯ SMB TCP 445 трафик към домейнови и файлови сървъри само когато сте в надеждна мрежа

• Действие: разрешаване на връзката, ако е защитена

• Персонализиране на разрешаване ако са защитени настройки: Изберете една от опциите, задаване на правила за блокиране на правилата = вкл.

• Програми: ALL

• Тип протокол: TCP

• Локален порт: всеки

• Отдалечен порт: 445

• Профили: частни/домейни

• Обхват (локален IP адрес): всеки

• Обхват (отдалечен IP адрес): <списък с ДОМЕЙНОВ контролер и IP адреси за файловия сървър>

• Обхождане на ръбовете: хоризонтално обхождане

Забележка Можете също да използвате отдалечени компютри вместо обхватни отдалечени IP адреси, ако защитената връзка използва удостоверяване, което носи самоличността на компютъра. Прегледайте документацията за защитната стена на Defender за повече информация относно "Разрешаване на връзката, ако е защитена", и опциите на отдалечения компютър.

• Name: Блокирай изходящия домейн/частния SMB 445

• Описание: блокира ИЗХОДЯЩИЯ SMB TCP 445 трафик. Заместване с помощта на правилото "Разрешаване на изходящ домейн/личен SMB 445"

• Действие: блокиране на връзката

• Програми: ALL

• Отдалечени компютри: N/A

• Тип протокол: TCP

• Локален порт: всеки

• Отдалечен порт: 445

• Профили: частни/домейни

• Обхват (локален IP адрес): всеки

• Обхват (отдалечен IP адрес): N/A

• Обхождане на ръбовете: хоризонтално обхождане

Не трябва глобално да блокирате изходящия SMB трафик от компютри към домейнови контролери или файлови сървъри. Можете обаче да ограничите достъпа до тях от надеждни IP диапазони и устройства, за да намалите тяхната настилка.

За повече информация вижте проектиране на защитна стена на Windows Defender с разширена стратегия за защита и защитна стена на Windows Defender с Разширено ръководство за разполагане на защитата

Правила за защита на връзката

Трябва да използвате правило за защита на връзката, за да изпълните изключенията за правилото за изходяща защитна стена за "Разрешаване на връзката, ако е защитено", и "Позволяване на връзката за използване на нулеви капсулирания" настройки. Ако не зададете това правило на всички Windows-базирани компютри и базирани на Windows Server, удостоверяването ще е неуспешно и SMB ще бъде блокиран изходящ. 

Например се изискват следните настройки:

• Тип правило: изолация

• Изисквания: искане за удостоверяване на входящи и изходящи връзки

• Метод за удостоверяване: компютър и потребител (Kerberos v5)

• Профил: домейн, личен, публичен

• Име: изолация ESP УДОСТОВЕРЯВАНЕ за SMB отменя

За повече информация относно правилата за връзки със защитата вижте следните статии:

• Създаване на защитна стена на Windows Defender с разширена стратегия за защита

• Контролен списък: Конфигуриране на правила за изолирана зона на сървъра

Windows Workstation и сървърна услуга

За потребители или високо изолирани управлявани компютри, които не изискват SMB изобщо, можете да забраните услугата Server или Workstation. Можете да направите това ръчно с помощта на конзолната добавка "Services" (Services. msc) и клавишната команда за набор от услуги на PowerShell или чрез използване на предпочитанията за групови правила. Когато спирате и забранявате тези услуги, SMB вече не може да прави изходящи връзки или да приема входящи връзки.

Не трябва да забранявате услугата Server на домейнови контролери или файлови сървъри или нито един клиент няма да може да прилага групови правила или да се свързва с данните си повече. Не трябва да забранявате услугата Workstation на компютри, които са членове на домейн на Active Directory или повече няма да прилагат групови правила.