Zabránění provozu smb v pozdějších připojeních a vstupech nebo odchodu ze sítě

Přístupy hraniční brány firewall

Brány firewall hraničního hardwaru a zařízení, které jsou umístěny na okraji sítě, by měly blokovat nevyžádanou komunikaci (z internetu) a odchozí přenosy (na internet) k následujícím portům.
 

Je nepravděpodobné, že jakákoli komunikace SMB pocházející z internetu nebo směřující do internetu je legitimní. Primárním případem může být cloudový server nebo služba, jako je Azure Files. V bráně firewall hraniční sítě byste měli vytvářet omezení založená na IP adresách, aby byly povoleny jenom tyto konkrétní koncové body. Organizace can allow port 445 access to specific Azure Datacenter and O365 IP ranges to enable hybrid scenarios in which on-premises clients (behind an enterprise firewall) use the SMB port to talk to Azure file storage. Měli byste taky povolit jenom malé a střední firmy (SMB 3).x provozu a vyžadují šifrování SMB AES-128. Další informacenajdete včásti Reference.

Poznámka Použití rozhraní Net SMB pro přenos SMB skončilo ve Windows Vista, Windows Serveru 2008 a ve všech novějších operačních systémech Microsoftu, když Microsoft představil SMB 2.02. Ve vašem prostředí ale můžete mít jiný software a zařízení než Windows. Pokud jste to ještě neudělali, měli byste malé a střední firmy (SMB1) zakázat a odebrat, protože se stále používá Net SMB. Novější verze Windows Serveru a Windows už ve výchozím nastavení neinstalují SMB1, a pokud jsou povolené, automaticky je odeberou.

Přístupy brány firewall v programu Windows Defender

Mezi podporované verze Windows a Windows Serveru patří brána Windows Defender Firewall (dříve pojmenovaná brána Windows Firewall). Tato brána firewall poskytuje další ochranu pro zařízení, zejména pokud se zařízení pohybují mimo síť nebo když běží v rámci jedné z nich.

Brána Windows Defender Firewall má různé profily pro určité typy sítí: Doména, Privátní a Host/Veřejná. Hostující/veřejná síť má ve výchozím nastavení mnohem větší omezení než důvěryhodná doména nebo privátní sítě. Možná zjistíte, že pro tyto sítě mají různá omezení smb na základě vašeho vyhodnocování hrozeb a provozních potřeb.

Příchozí připojení k počítači

U klientů a serverů Windows, které ne hostují sdílené složky SMB, můžete blokovat veškerý příchozí přenos SMB pomocí brány Firewall v programu Windows Defender a zabránit tak vzdáleným připojením ze škodlivých nebo ohrožených zařízení. V bráně Windows Defender Firewall to zahrnuje následující příchozí pravidla.

Měli byste taky vytvořit nové pravidlo blokování, které přepíše ostatní pravidla příchozí brány firewall. Pro všechny klienty nebo servery Windows, které ne hostuje sdílené složky SMB, použijte následující navrhovaná nastavení:

• Název:Blokování všech příchozích malé a velké firmy (SMB 445)

• Popis:Blokuje všechny příchozí přenosy SMB tcp 445. Není možno použít na řadiči domény ani na počítače, které host používají sdílené malé a střední firmy.

• Akce:Blokování připojení

• Programy:Vše

• Vzdálené počítače:Jakékoli

• Typ protokolu:TCP

• Místní port:445

• Vzdálený port:Libovolný

• Profily:Vše

• Rozsah (místní IP adresa):Jakékoli

• Rozsah (vzdálená IP adresa):Libovolná

• Edge Traversal: Block edge traversal

Přenosy SMB nesmí globálně blokovat na řadiči domén nebo na souborové servery. Můžete k nim ale omezit přístup z důvěryhodných rozsahů IP adres a zařízení a snížit tak jejich útok. Měly by se také omezit na profily domén nebo privátní brány firewall a neměly by povolovat přenosy hosta/veřejného provozu.

Poznámka Brána Windows Firewall ve výchozím nastavení zablokovala všechny příchozí komunikace SMB od Windows XP SP2 a Windows Serveru 2003 SP1. Zařízení s Windows povolují příchozí komunikaci SMB jenom v případě, že správce vytvoří sdílení SMB nebo změní výchozí nastavení brány firewall. Výchozímu stavu byste neměli důvěřovat, aby vaše výchozí výchozí prostředí na zařízeních bylo bez ohledu na to, jestli je pořád v místě. Nastavení a jejich požadovaný stav vždycky ověřte a aktivně spravujte pomocí Zásady skupiny nebo jiných nástrojů pro správu.

Další informace najdete v článku Návrh brány firewall v programu Windows Defender s pokročilou strategií zabezpečení a bránou Firewall v programu Windows Defender s průvodcem nasazením pokročilého zabezpečení.

Odchozí připojení z počítače

Aby uživatelé a aplikace mohli přistupovat k datům na souborových serverech, musí klienti a servery Windows vyžadovat odchozí připojení SMB, aby uživatelé a aplikace mohli přistupovat k datům na souborových serverech, proto je potřeba při vytváření pravidel brány firewall zamezit poškození pozdějším nebo internetovým připojením. Ve výchozím nastavení nejsou u klientů nebo serverů Windows, kteří se připojují ke sdílené složce SMB, žádné odchozí bloky, takže budete muset vytvořit nová pravidla blokování.

Měli byste taky vytvořit nové pravidlo blokování, které přepíše ostatní pravidla příchozí brány firewall. Pro všechny klienty nebo servery Windows, které ne hostuje sdílené složky SMB, použijte následující navrhovaná nastavení.

Sítě hosta/veřejné (nedůvěryhodné) sítě

• Název:Blokování odchozích hostů/veřejných SMB 445

• Popis:Blokuje všechny odchozí přenosy SMB tcp 445 v nedůvěryhodné síti.

• Akce:Blokování připojení

• Programy:Vše

• Vzdálené počítače:Jakékoli

• Typ protokolu:TCP

• Místní port:Libovolný

• Vzdálený port:445

• Profily:Host/veřejný

• Rozsah (místní IP adresa):Jakékoli

• Rozsah (vzdálená IP adresa):Libovolná

• Edge Traversal: Block edge traversal

Poznámka Menší uživatelé Office a domácnosti nebo mobilní uživatelé, kteří pracují v podnikových důvěryhodných sítích a pak se připojují ke svým domácím sítím, by měli být opatrní, než zablokují veřejnou odchozí síť. Tím můžete zabránit přístupu k místním zařízením NAS nebo určitým tiskárnám.

Privátní síť nebo doména (důvěryhodné)

• Název:Povolení odchozí domény/privátního protokolu SMB 445

• Popis:Umožňuje odchozí přenosy TCP 445 jenom na počítače DCs a souborové servery, když jsou v důvěryhodné síti.

• Akce:Povolení připojení, pokud je bezpečné

• Customize Allow if Secure Settings: pick one of the options, set Override block rules = ON

• Programy:Vše

• Typ protokolu:TCP

• Místní port:Libovolný

• Vzdálený port:445

• Profily:Privátní/doménová

• Rozsah (místní IP adresa):Jakékoli

• Rozsah (Vzdálená IP adresa):<seznam IP adres řadičů domén a souborových serverů>

• Edge Traversal: Block edge traversal

Poznámka Pokud zabezpečené připojení používá ověřování, které provádí identitu počítače, můžete místo vzdálené IP adresy použít vzdálené počítače. Další informace o tom, jestli je připojení bezpečné, a možnostech vzdáleného počítače, najdete v dokumentaci k bráně Firewall v programu Defender.

• Název:Blokování odchozí domény/privátní smb 445

• Popis:Blokuje odchozí přenosy SMB TCP 445. Přepsání pomocí pravidla Allow outbound Domain /Private SMB 445 (Povolit odchozí doménu/privátní SMB 445)

• Akce:Blokování připojení

• Programy:Vše

• Vzdálené počítače:Není k dispozici.

• Typ protokolu:TCP

• Místní port:Libovolný

• Vzdálený port:445

• Profily:Privátní/doménová

• Rozsah (místní IP adresa):Jakékoli

• Rozsah (vzdálená IP adresa): Není k dispozici.

• Edge Traversal: Block edge traversal

Přenosy SMB musíte globálně blokovat mezi počítači a řadiči domény nebo souborových serverů. Můžete k nim ale omezit přístup z důvěryhodných rozsahů IP adres a zařízení a snížit tak jejich útok.

Další informace najdete v článku Návrh brány firewall v programu Windows Defender s pokročilou strategií zabezpečení a bránou Firewall v programu Windows Defender s průvodcem nasazením pokročilého zabezpečení.

Pravidla připojení zabezpečení

K implementaci výjimek pravidel odchozí brány firewall pro nastavení Povolit připojení, pokud je bezpečné, musíte použít pravidlo připojení zabezpečení. Pokud toto pravidlo nenastavíte na všech počítačích se systémem Windows a na počítačích se systémem Windows Server, ověřování selže a malé a velké firmy se zablokují odchozí. 

Například je vyžadováno následující nastavení:

• Typ pravidla:Izolace

• Požadavky:Vyžádání ověřování u příchozích a odchozích připojení

• Metoda ověřování:Počítač a uživatel (Kerberos V5)

• Profil:Doména, soukromá, veřejná

• Název:Ověřování ESP pro oddělení izolace pro má přednost před protokolem SMB.

Další informace o pravidlech připojení zabezpečení najdete v následujících článcích:

• Návrh brány firewall v programu Windows Defender pomocí strategie pokročilého

• Kontrolní seznam: Konfigurace pravidel pro zónu izolovaného

Windows Workstation a serverová služba

Pro spotřebitelské nebo vysoce izolované spravované počítače, které nevyžadují protokol SMB vůbec, můžete zakázat služby Server nebo Pracovní stanice. Můžete to udělat ručně pomocí modulu snap-in "Services" (Services.msc) a rutiny PowerShell Set-Service nebo pomocí Zásady skupiny Preferences. Když tyto služby zastavíte a zakážete, malé a střední firmy už nebudou moci přijímat odchozí připojení ani přijímat příchozí připojení.

Službu Serverové služby v řadičích domény ani na souborových serverech zakažte, jinak nebudou moct žádné klienty použít zásady skupiny ani se už připojovat k jejich datům. Službu Workstation není třeba zakažte na počítačích, které jsou členy domény služby Active Directory, jinak nebudou zásady skupiny platit.