Oversigt
Server Message Block (SMB) er en netværksfildeling og data fabric protocol. SMB bruges af flere millioner enheder i et varieret sæt operativsystemer, herunder Windows, MacOS, iOS, Linux og Android. Klienter bruger SMB til at få adgang til data på servere. Dette giver mulighed for deling af filer, centraliseret datastyring og reducerede behov for lagerkapacitet til mobilenheder. Servere bruger også SMB som en del af det softwaredefinerede datacenter til arbejdsbelastninger som klynger og replikering.
Da SMB er et eksternt filsystem, kræver det beskyttelse mod angreb, hvor en Windows-computer kan blive narret til at kontakte en ondsindet server, der kører i et pålideligt netværk, eller til en fjernserver uden for netværksperimeteren. Firewallens bedste fremgangsmåder og konfigurationer kan forbedre sikkerheden og forhindre skadelig trafik i at forlade computeren eller dens netværk.
Effekt af ændringer
Blokering af forbindelse til SMB kan forhindre forskellige programmer eller tjenester i at fungere. Du kan finde en liste over Windows- og Windows Server-programmer og -tjenester, der kan stoppe med at fungere i denne situation, under Tjenesteoversigt og krav til netværksporten til Windows
Flere oplysninger
Perimeterfirewall nærmer sig
Perimeterhardware og hvidevarerfirewalls, der er placeret ved kanten af netværket, bør blokere uopfordret kommunikation (fra internettet) og udgående trafik (til internettet) til følgende porte.
Application protocol |
Protokol |
Port |
SMB |
TCP |
445 |
Net BIOS-navneoversæt |
UDP |
137 |
NetOGRAMS Datagram Service |
UDP |
138 |
Net SESSIONS-sessionstjeneste |
TCP |
139 |
flere oplysningeri afsnittet "Referencer".
Det er usandsynligt, at al SMB-kommunikation, der kommer fra internettet eller er beregnet til internettet, er legitim. Det primære tilfælde kan være for en skybaseret server eller tjeneste som Azure-filer. Du bør oprette IP-adressebaserede begrænsninger i din perimeterfirewall for kun at tillade disse bestemte slutpunkter. Organisationer kan tillade port 445-adgang til bestemte Azure Datacenter- og O365 IP-områder for at aktivere hybridscenarier, hvor lokale klienter (bag en virksomhedsfirewall) bruger SMB-porten til at tale med Azure-fillager. Du bør også kun tillade SMB 3.x-trafik og kræver SMB AES-128-kryptering. Du kan findeBemærk! Brugen af NetTUMS til SMB-transport ophørte i Windows Vista, Windows Server 2008 og i alle nyere Microsoft-operativsystemer, da Microsoft introducerede SMB 2.02. Du kan dog have software og andre enheder end Windows i dit miljø. Du skal deaktivere og fjerne SMB1, hvis du ikke allerede har gjort det, fordi den stadig bruger NetTUMS. Nyere versioner af Windows Server og Windows installerer som standard ikke længere SMB1 og fjerner det automatisk, hvis det tillades.
Windows Defender-firewall nærmer sig
Alle understøttede versioner af Windows og Windows Server omfatter Windows Defender Firewall (tidligere kaldet Windows Firewall). Denne firewall giver yderligere beskyttelse til enheder, især når enheder flyttes uden for et netværk, eller når de kører inden for et.
Windows Defender Firewall har forskellige profiler for visse typer netværk: Domæne, Privat og Gæst/Offentlig. Gæstens/det offentlige netværk får typisk meget mere restriktive indstillinger som standard end de mere troværdige domænenetværk eller private netværk. Det kan være, at du oplever, at du har forskellige SMB-begrænsninger for disse netværk baseret på din trusselsvurdering kontra driftsmæssige behov.
Indgående forbindelser til en computer
For Windows-klienter og servere, der ikke hoster SMB-shares, kan du blokere al indgående SMB-trafik ved hjælp af Windows Defender Firewall for at forhindre fjernforbindelser fra ondsindede eller kompromitterede enheder. I Windows Defender Firewall omfatter dette følgende indgående regler.
Navn |
Profil |
Aktiveret |
Fil- og printerdeling (SMB-In) |
Alle |
Nej |
Netlogon Service (NP-In) |
Alle |
Nej |
Administration af fjernhændelseslogfil (NP-In) |
Alle |
Nej |
Administration af fjerntjeneste (NP-In) |
Alle |
Nej |
Du bør også oprette en ny blokeringsregel for at tilsidesætte eventuelle andre regler for indgående firewall. Brug følgende foreslåede indstillinger for windows-klienter eller servere, der ikke hoster SMB-shares:
-
Navn:Bloker alle indgående SMB 445
-
Beskrivelse:Blokerer al indgående SMB TCP 445-trafik. Skal ikke anvendes på domænecontrollere eller computere, der er vært for SMB-shares.
-
Handling:Bloker forbindelsen
-
Programmer:Alle
-
Fjerncomputere:Alle
-
Protokoltype:TCP
-
Lokal port:445
-
Fjernport:Alle
-
Profiler:Alle
-
Område (lokal IP-adresse): Alle
-
Omfang (ekstern IP-adresse): Alle
-
Edge Traversal:Blok edge traversal
Du må ikke blokere indgående SMB-trafik globalt for domænecontrollere eller filservere. Du kan dog begrænse adgangen til dem fra ip-intervaller og enheder, der er tillid til, for at sænke deres angrebsoverflade. De bør også være begrænset til domæne- eller private firewallprofiler og ikke tillade gæste/offentlig trafik.
Bemærk! Windows Firewall har som standard blokeret for al indgående SMB-kommunikation, siden Windows XP SP2 og Windows Server 2003 SP1. Windows-enheder tillader kun indgående SMB-kommunikation, hvis en administrator opretter en SMB-deling eller ændrer standardindstillingerne for firewallen. Du bør ikke have tillid til, at standardoplevelsen stadig er direkte på enheder, uanset hvad. Bekræft altid og aktiv administrer indstillingerne og deres ønskede tilstand ved hjælp Gruppepolitik eller andre administrationsværktøjer.
Du kan finde flere oplysninger i Designe en Windows Defender Firewall med Advanced Security Strategy og Windows Defender Firewall med Advanced Security Deployment Guide
Udgående forbindelser fra en computer
Windows-klienter og -servere kræver udgående SMB-forbindelser for at anvende gruppepolitik fra domænecontrollere og for, at brugere og programmer kan få adgang til data på filservere, så vær derfor forsigtig, når du opretter firewallregler for at forhindre ondsindede laterale forbindelser eller internetforbindelser. Som standard er der ingen udgående blokke på en Windows-klient eller -server, der opretter forbindelse til SMB-shares, så du er nødt til at oprette nye blokeringsregler.
Du bør også oprette en ny blokeringsregel for at tilsidesætte eventuelle andre regler for indgående firewall. Brug følgende foreslåede indstillinger for alle Windows-klienter eller -servere, der ikke hoster SMB-shares.
Gæste-/offentlige (upålidelige) netværk
-
Navn:Bloker udgående gæster/offentlige SMB 445
-
Beskrivelse:Blokerer al udgående SMB TCP 445-trafik på et netværk, der ikke er tillid til
-
Handling:Bloker forbindelsen
-
Programmer:Alle
-
Fjerncomputere:Alle
-
Protokoltype:TCP
-
Lokal port:Alle
-
Fjernport:445
-
Profiler:Gæst/Offentlig
-
Område (lokal IP-adresse): Alle
-
Omfang (ekstern IP-adresse): Alle
-
Edge Traversal:Blok edge traversal
Bemærk! Små Office- og Home Office-brugere eller mobilbrugere, der arbejder i virksomhedens netværk, der er tillid til, og som derefter opretter forbindelse til deres hjemmenetværk, skal være forsigtig, før de blokerer det offentlige udgående netværk. Dette kan forhindre adgang til deres lokale NAS-enheder eller visse printere.
Private/domænenetværk (pålidelige)
-
Navn:Tillad udgående domæne/privat SMB 445
-
Beskrivelse:Tillader udgående SMB TCP 445-trafik til kun pc'er og filservere, når du er på et netværk, der er tillid til
-
Handling:Tillad forbindelsen, hvis den er sikker
-
Tilpas Tillad, hvis sikre indstillinger: vælg en af indstillingerne, angiv Tilsidesæt blokregler = TIL
-
Programmer:Alle
-
Protokoltype:TCP
-
Lokal port:Alle
-
Fjernport:445
-
Profiler:Privat/Domæne
-
Område (lokal IP-adresse): Alle
-
Omfang (ekstern IP-adresse): <liste over domænecontrollerens og filserverens IP-adresser>
-
Edge Traversal:Blok edge traversal
Bemærk! Du kan også bruge Fjerncomputere i stedet for omfang eksterne IP-adresser, hvis den sikrede forbindelse bruger godkendelse, der har computerens identitet. Gennemse dokumentationen til Defender Firewall for at få flere oplysninger om "Tillad forbindelsen, hvis den er sikker" og indstillingerne for Fjerncomputer.
-
Navn:Bloker udgående domæne/privat SMB 445
-
Beskrivelse:Blokerer udgående SMB TCP 445-trafik. Tilsidesæt ved hjælp af reglen "Tillad udgående domæne/privat SMB 445"
-
Handling:Bloker forbindelsen
-
Programmer:Alle
-
Fjerncomputere:I/T
-
Protokoltype:TCP
-
Lokal port:Alle
-
Fjernport:445
-
Profiler:Privat/Domæne
-
Område (lokal IP-adresse): Alle
-
Omfang (ekstern IP-adresse): I/T
-
Edge Traversal:Blok edge traversal
Du må ikke globalt blokere udgående SMB-trafik fra computere til domænecontrollere eller filservere. Du kan dog begrænse adgangen til dem fra ip-intervaller og enheder, der er tillid til, for at sænke deres angrebsoverflade.
Du kan finde flere oplysninger i Designe en Windows Defender Firewall med Advanced Security Strategy og Windows Defender Firewall med Advanced Security Deployment Guide
Regler for sikkerhedsforbindelse
Du skal bruge en regel for sikkerhedsforbindelse til at implementere undtagelserne til reglen for udgående firewall for indstillingerne "Tillad forbindelsen, hvis den er sikker" og "Tillad, at forbindelsen bruger null-capsulation". Hvis du ikke angiver denne regel på alle Windows-baserede og Windows Server-baserede computere, mislykkes godkendelse, og SMB blokeres udgående.
Følgende indstillinger er f.eks. påkrævet:
-
Regeltype:Isolation
-
Krav:Anmod om godkendelse for indgående og udgående forbindelser
-
Godkendelsesmetode:Computer og bruger (Kerberos V5)
-
Profil:Domæne, Privat, Offentlig
-
Navn:Godkendelse af Isolation ESP for SMB-tilsidesættelser
Du kan finde flere oplysninger om regler for sikkerhedsforbindelse i følgende artikler:
Tjenesten Windows Arbejdsstation og Server
For forbrugere eller meget isolerede, administrerede computere, der slet ikke kræver SMB, kan du deaktivere server- eller arbejdsstationstjenesterne. Du kan gøre dette manuelt ved hjælp af snap-in'en "Services" (Services.msc) og PowerShell Set-Service-cmdlet'en eller ved hjælp af Gruppepolitik-indstillinger. Når du stopper og deaktiverer disse tjenester, kan SMB ikke længere oprette udgående forbindelser eller modtage indgående forbindelser.
Du må ikke deaktivere servertjenesten på domænecontrollere eller filservere, ellers vil ingen klienter kunne anvende gruppepolitik eller oprette forbindelse til deres data længere. Du må ikke deaktivere arbejdsstationstjenesten på computere, der er medlemmer af et Active Directory-domæne, da de ellers ikke længere vil anvende gruppepolitik.
Referencer
Designe en Windows Defender Firewall med Advanced Security Strategy Windows Defender Firewall med Installationsvejledning til Avanceret sikkerhed Azure-fjernapps IP-adresser for Azure-datacenter Microsoft O365 IP-adresser