Teď jste offline a čekáte, až se znova připojí internet.

Pokyny k blokování brány firewall pro určité porty zabránit komunikaci SMB v podnikovém prostředí opustit

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3185535
Souhrn
Uživatelé se zlými úmysly může protokol blok zprávy serveru (SMB) zlými úmysly.

Doporučené postupy a konfigurace brány firewall může zvýšit zabezpečení sítě tím, že pomáhá zabránit potenciálně škodlivý provoz přes rozlehlou síť.

Brány firewall hraniční sítě organizace by měla blokovat nevyžádanou komunikaci (z Internetu) a outgoingtraffic (na Internetu) následující související SMB porty:

137
138
139
445
Další informace
Tyto porty slouží k navázání spojení se serverem SMB založené na Internetu potenciálně škodlivý. Provoz SMB by mělo být omezeno na privátní sítě nebo virtuální privátní sítě (VPN).

Návrh

Blokování portů branou firewall rozlehlé sítě, hraně nebo obvodové pomáhá chránit systémy, které jsou za touto bránou před pokusy o využití že SMB pro škodlivý purposes.Organizations umožní přístup port 445 na specifické oblasti Azure Datacenter IP (viz následující odkaz) povolit hybridní scénáře, kde místní klienti (za bránou enterprise) SMB port použít ke komunikaci sÚložiště Azure souborů.

Přístupy

Brány firewall hraniční sítě se obvykle používá "Block výpis" nebo "Schválený seznam" pravidel metodiky nebo obojí.

Seznam blokování
Povolit provoz Pokud deny (blok uvedeny) pravidlo zabraňuje jejímu.

Příklad 1
Povolit vše
Odepřít 137 název služby
Odepřít 138 datagram služby
Odepřít 139 relace služby
Odepřít 445 relace služby

Schválení výpisu
Pokud pravidlo povolení umožňuje zakázat přenosů.

A zabránit tak útokům využívajícím jiné porty, společnost Microsoft doporučuje blokovat veškerou nevyžádanou komunikaci z Internetu. Můžeme navrhnout paušální odepřít, s povolit výjimky z pravidel (schválený seznam).

Poznámka: Seznam schválených metodu v této části implicitně blokuje přenos přes rozhraní NetBIOS a SMB není zahrnutím pravidlo povolení.

Příklad 2
Zakázat vše
Povolení služby DNS 53
21 povolit FTP
Umožnit 80 HTTP
Povolit protokol HTTPS 443
Povolit 143 IMAP
Povolit 123 NTP
Povolit 110 POP3
Umožnit 25 protokolu SMTP

V seznamu povolit porty není vyčerpávající. V závislosti na podnikové potřeby další brány firewall, které mohou být potřebné položky.

Dopad tohoto zástupného řešení

Některé služby systému Windows pomocí příslušné porty. Zablokování připojení k portům může zabránit různých aplikací nebo služeb funguje. Některé aplikace nebo služby, které by mohly být ovlivněny, patří:
  • Aplikace, které používají SMB (CIFS)
  • Aplikace, které používají zásuvek nebo pojmenované kanály (vzdálené volání Procedur prostřednictvím protokolu SMB)
  • Server (sdílení souborů a tiskáren)
  • Zásady skupiny
  • Služba Přihlašování k síti
  • Distribuovaný systém souborů (DFS)
  • Správa licencí terminálového serveru
  • Zařazovací služba pro tisk
  • Prohledávání počítačů
  • Locator volání vzdálené procedury
  • Služba Fax
  • Služba Indexing service
  • Výstrahy a protokolování výkonu
  • Systems Management Server
  • Služba protokolování licence

Vrácení řešení zpět

Odblokovat porty v bráně firewall. Další informace o portech naleznete v tématu Přiřazení portů TCP a UDP.

Odkazy

Vzdálená aplikace Azure https://Azure.microsoft.com/en-us/documentation/articles/RemoteApp-Ports/

Azure datacenter adresy IP http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-us/article/Office-365-URLs-and-IP-Address-Ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3185535 - Poslední kontrola: 09/01/2016 13:04:00 - Revize: 2.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Aktualizace SP2 pro Windows Vista

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew kbmt KB3185535 KbMtcs
Váš názor