Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

Blok zpráv na serveru (SMB) je protokol síťového sdílení souborů a textilních dat. Malé firmy se používají v desítkách zařízení v rozmanité sadě operačních systémů, mezi které patří Windows, MacOS, iOS, Linux a Android. Pro přístup k datům na serverech používají klienti protokol SMB. To umožňuje sdílení souborů, centralizovanou správu dat a nižší kapacitu úložiště pro mobilní zařízení. Servery taky používají malé a velké firmy jako součást data center definovaných softwarem pro úlohy, jako je clustering a replikace.

Vzhledem k tomu, že protokol SMB je vzdálený systém souborů, vyžaduje ochranu před útoky, při kterých by se počítač s Windows mohl dostat do kontaktu se škodlivým serverem spuštěný v důvěryhodné síti nebo se vzdáleným serverem mimo obvod sítě. Doporučené postupy a konfigurace brány firewall potenciálně zvýší zabezpečení a zabrání škodlivému přenosu v počítači nebo v jeho síti.

Vliv změn

Blokování připojení k SMB může zabránit fungování různých aplikací nebo služeb. Seznam aplikací a služeb systému Windows a Windows Server, které by v této situaci přestaly fungovat, najdete v přehledu služeb a požadavcích na síťový port pro Windows.

Více informací

Přístupy hraniční brány firewall

Brány firewall hraničního hardwaru a zařízení, které jsou umístěny na okraji sítě, by měly blokovat nevyžádanou komunikaci (z internetu) a odchozí přenosy (na internet) k následujícím portům.
 

Protokol aplikace

Protocol (Protokol)

Port

Malé a střední firmy

TCP

445

Překlad názvu Net VOS

UDP

137

Služba NetGRAM Datagram

UDP

138

Služba relace Net PROSTŘEDÍ (Net NESA)

TCP

139


Je nepravděpodobné, že jakákoli komunikace SMB pocházející z internetu nebo směřující do internetu je legitimní. Primárním případem může být cloudový server nebo služba, jako je Azure Files. V bráně firewall hraniční sítě byste měli vytvářet omezení založená na IP adresách, aby byly povoleny jenom tyto konkrétní koncové body. Organizace can allow port 445 access to specific Azure Datacenter and O365 IP ranges to enable hybrid scenarios in which on-premises clients (behind an enterprise firewall) use the SMB port to talk to Azure file storage. Měli byste taky povolit jenom malé a střední firmy (SMB 3).x provozu a vyžadují šifrování SMB AES-128. Další informacenajdete včásti Reference.

Poznámka Použití rozhraní Net SMB pro přenos SMB skončilo ve Windows Vista, Windows Serveru 2008 a ve všech novějších operačních systémech Microsoftu, když Microsoft představil SMB 2.02. Ve vašem prostředí ale můžete mít jiný software a zařízení než Windows. Pokud jste to ještě neudělali, měli byste malé a střední firmy (SMB1) zakázat a odebrat, protože se stále používá Net SMB. Novější verze Windows Serveru a Windows už ve výchozím nastavení neinstalují SMB1, a pokud jsou povolené, automaticky je odeberou.

Přístupy brány firewall v programu Windows Defender

Mezi podporované verze Windows a Windows Serveru patří brána Windows Defender Firewall (dříve pojmenovaná brána Windows Firewall). Tato brána firewall poskytuje další ochranu pro zařízení, zejména pokud se zařízení pohybují mimo síť nebo když běží v rámci jedné z nich.

Brána Windows Defender Firewall má různé profily pro určité typy sítí: Doména, Privátní a Host/Veřejná. Hostující/veřejná síť má ve výchozím nastavení mnohem větší omezení než důvěryhodná doména nebo privátní sítě. Možná zjistíte, že pro tyto sítě mají různá omezení smb na základě vašeho vyhodnocování hrozeb a provozních potřeb.

Příchozí připojení k počítači

U klientů a serverů Windows, které ne hostují sdílené složky SMB, můžete blokovat veškerý příchozí přenos SMB pomocí brány Firewall v programu Windows Defender a zabránit tak vzdáleným připojením ze škodlivých nebo ohrožených zařízení. V bráně Windows Defender Firewall to zahrnuje následující příchozí pravidla.

Název

Profil

Povoleno

Sdílení souborů a tiskáren (SMB-in)

Vše

Ne

Služba Sesíťová (NP-In)

Vše

Ne

Vzdálená správa protokolu událostí (NP-In)

Vše

Ne

Vzdálená správa služeb (NP-In)

Vše

Ne


Měli byste taky vytvořit nové pravidlo blokování, které přepíše ostatní pravidla příchozí brány firewall. Pro všechny klienty nebo servery Windows, které ne hostuje sdílené složky SMB, použijte následující navrhovaná nastavení:

  • Název:Blokování všech příchozích malé a velké firmy (SMB 445)

  • Popis:Blokuje všechny příchozí přenosy SMB tcp 445. Není možno použít na řadiči domény ani na počítače, které host používají sdílené malé a střední firmy.

  • Akce:Blokování připojení

  • Programy:Vše

  • Vzdálené počítače:Jakékoli

  • Typ protokolu:TCP

  • Místní port:445

  • Vzdálený port:Libovolný

  • Profily:Vše

  • Rozsah (místní IP adresa):Jakékoli

  • Rozsah (vzdálená IP adresa):Libovolná

  • Edge Traversal: Block edge traversal

Přenosy SMB nesmí globálně blokovat na řadiči domén nebo na souborové servery. Můžete k nim ale omezit přístup z důvěryhodných rozsahů IP adres a zařízení a snížit tak jejich útok. Měly by se také omezit na profily domén nebo privátní brány firewall a neměly by povolovat přenosy hosta/veřejného provozu.

Poznámka Brána Windows Firewall ve výchozím nastavení zablokovala všechny příchozí komunikace SMB od Windows XP SP2 a Windows Serveru 2003 SP1. Zařízení s Windows povolují příchozí komunikaci SMB jenom v případě, že správce vytvoří sdílení SMB nebo změní výchozí nastavení brány firewall. Výchozímu stavu byste neměli důvěřovat, aby vaše výchozí výchozí prostředí na zařízeních bylo bez ohledu na to, jestli je pořád v místě. Nastavení a jejich požadovaný stav vždycky ověřte a aktivně spravujte pomocí Zásady skupiny nebo jiných nástrojů pro správu.

Další informace najdete v článku Návrh brány firewall v programu Windows Defender s pokročilou strategií zabezpečení a bránou Firewall v programu Windows Defender s průvodcem nasazením pokročilého zabezpečení.

Odchozí připojení z počítače

Aby uživatelé a aplikace mohli přistupovat k datům na souborových serverech, musí klienti a servery Windows vyžadovat odchozí připojení SMB, aby uživatelé a aplikace mohli přistupovat k datům na souborových serverech, proto je potřeba při vytváření pravidel brány firewall zamezit poškození pozdějším nebo internetovým připojením. Ve výchozím nastavení nejsou u klientů nebo serverů Windows, kteří se připojují ke sdílené složce SMB, žádné odchozí bloky, takže budete muset vytvořit nová pravidla blokování.

Měli byste taky vytvořit nové pravidlo blokování, které přepíše ostatní pravidla příchozí brány firewall. Pro všechny klienty nebo servery Windows, které ne hostuje sdílené složky SMB, použijte následující navrhovaná nastavení.

Sítě hosta/veřejné (nedůvěryhodné) sítě

  • Název:Blokování odchozích hostů/veřejných SMB 445

  • Popis:Blokuje všechny odchozí přenosy SMB tcp 445 v nedůvěryhodné síti.

  • Akce:Blokování připojení

  • Programy:Vše

  • Vzdálené počítače:Jakékoli

  • Typ protokolu:TCP

  • Místní port:Libovolný

  • Vzdálený port:445

  • Profily:Host/veřejný

  • Rozsah (místní IP adresa):Jakékoli

  • Rozsah (vzdálená IP adresa):Libovolná

  • Edge Traversal: Block edge traversal

Poznámka Menší uživatelé Office a domácnosti nebo mobilní uživatelé, kteří pracují v podnikových důvěryhodných sítích a pak se připojují ke svým domácím sítím, by měli být opatrní, než zablokují veřejnou odchozí síť. Tím můžete zabránit přístupu k místním zařízením NAS nebo určitým tiskárnám.

Privátní síť nebo doména (důvěryhodné)

  • Název:Povolení odchozí domény/privátního protokolu SMB 445

  • Popis:Umožňuje odchozí přenosy TCP 445 jenom na počítače DCs a souborové servery, když jsou v důvěryhodné síti.

  • Akce:Povolení připojení, pokud je bezpečné

  • Customize Allow if Secure Settings: pick one of the options, set Override block rules = ON

  • Programy:Vše

  • Typ protokolu:TCP

  • Místní port:Libovolný

  • Vzdálený port:445

  • Profily:Privátní/doménová

  • Rozsah (místní IP adresa):Jakékoli

  • Rozsah (Vzdálená IP adresa):<seznam IP adres řadičů domén a souborových serverů>

  • Edge Traversal: Block edge traversal

Poznámka Pokud zabezpečené připojení používá ověřování, které provádí identitu počítače, můžete místo vzdálené IP adresy použít vzdálené počítače. Další informace o tom, jestli je připojení bezpečné, a možnostech vzdáleného počítače, najdete v dokumentaci k bráně Firewall v programu Defender.

  • Název:Blokování odchozí domény/privátní smb 445

  • Popis:Blokuje odchozí přenosy SMB TCP 445. Přepsání pomocí pravidla Allow outbound Domain /Private SMB 445 (Povolit odchozí doménu/privátní SMB 445)

  • Akce:Blokování připojení

  • Programy:Vše

  • Vzdálené počítače:Není k dispozici.

  • Typ protokolu:TCP

  • Místní port:Libovolný

  • Vzdálený port:445

  • Profily:Privátní/doménová

  • Rozsah (místní IP adresa):Jakékoli

  • Rozsah (vzdálená IP adresa): Není k dispozici.

  • Edge Traversal: Block edge traversal

Přenosy SMB musíte globálně blokovat mezi počítači a řadiči domény nebo souborových serverů. Můžete k nim ale omezit přístup z důvěryhodných rozsahů IP adres a zařízení a snížit tak jejich útok.

Další informace najdete v článku Návrh brány firewall v programu Windows Defender s pokročilou strategií zabezpečení a bránou Firewall v programu Windows Defender s průvodcem nasazením pokročilého zabezpečení.

Pravidla připojení zabezpečení

K implementaci výjimek pravidel odchozí brány firewall pro nastavení Povolit připojení, pokud je bezpečné, musíte použít pravidlo připojení zabezpečení. Pokud toto pravidlo nenastavíte na všech počítačích se systémem Windows a na počítačích se systémem Windows Server, ověřování selže a malé a velké firmy se zablokují odchozí. 

Například je vyžadováno následující nastavení:

  • Typ pravidla:Izolace

  • Požadavky:Vyžádání ověřování u příchozích a odchozích připojení

  • Metoda ověřování:Počítač a uživatel (Kerberos V5)

  • Profil:Doména, soukromá, veřejná

  • Název:Ověřování ESP pro oddělení izolace pro má přednost před protokolem SMB.

Další informace o pravidlech připojení zabezpečení najdete v následujících článcích:

Windows Workstation a serverová služba

Pro spotřebitelské nebo vysoce izolované spravované počítače, které nevyžadují protokol SMB vůbec, můžete zakázat služby Server nebo Pracovní stanice. Můžete to udělat ručně pomocí modulu snap-in "Services" (Services.msc) a rutiny PowerShell Set-Service nebo pomocí Zásady skupiny Preferences. Když tyto služby zastavíte a zakážete, malé a střední firmy už nebudou moci přijímat odchozí připojení ani přijímat příchozí připojení.

Službu Serverové služby v řadičích domény ani na souborových serverech zakažte, jinak nebudou moct žádné klienty použít zásady skupiny ani se už připojovat k jejich datům. Službu Workstation není třeba zakažte na počítačích, které jsou členy domény služby Active Directory, jinak nebudou zásady skupiny platit.

Odkazy

Návrh brány firewall v programu Windows Defender pomocí strategie pokročilého zabezpečení
Brána Windows Defender Firewall s Průvodcem rozšířeným nasazením zabezpečení
Vzdálené aplikace
Azure IP adresy datacentra
Azure IP adresy Microsoft O365

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×