Verhindern des SMB-Datenverkehrs über laterale Verbindungen und Ein- oder Verlassen des Netzwerks

Ansätze der Umkreisfirewall

Perimeterhardware- und Gerätefirewalls, die sich am Netzwerkrand befinden, sollten die nicht angeforderte Kommunikation (aus dem Internet) und ausgehenden Datenverkehr (zum Internet) zu den folgenden Ports blockieren.
 

Es ist unwahrscheinlich, dass SMB-Kommunikationen, die aus dem Internet stammen oder für das Internet bestimmt sind, skonstruiert sind. Der primäre Fall kann für einen cloudbasierten Server oder einen Dienst wie Azure-Dateien sein. Sie sollten in Ihrer Perimeterfirewall IP-adressbasierte Einschränkungen erstellen, damit nur diese speziellen Endpunkte zulässig sind. Organisationen können Port 445-Zugriff auf bestimmte Azure-Rechenzentrums- und O365-IP-Bereiche ermöglichen, um Hybridszenarien zu ermöglichen, in denen lokale Clients (hinter einer Unternehmensfirewall) den SMB-Port verwenden, um mit dem Azure-Dateispeicher zu sprechen. Sie sollten auch nur SMB 3 zulassen.x-Datenverkehr und benötigen SMB AES-128-Verschlüsselung. Weitere Informationen findenSie imAbschnitt "Verweise".

Hinweis Die Verwendung von Net NETTO FÜR den SMB-Transport endete in Windows Vista, Windows Server 2008 und in allen späteren Microsoft-Betriebssystemen, als Microsoft SMB 2.02 eingeführt hat. Möglicherweise verfügen Sie jedoch über andere Software und Geräte als Windows in Ihrer Umgebung. Sie sollten SMB1 deaktivieren und entfernen, sofern dies noch nicht geschehen ist, da NetKRÜNS weiterhin verwendet wird. Spätere Versionen von Windows Server und Windows SMB1 nicht mehr standardmäßig installieren und entfernen SMB1, sofern zulässig, automatisch.

Windows Defender der Firewall

Alle unterstützten Versionen von Windows und Windows Server enthalten die Windows Defender Firewall (zuvor Windows Firewall genannt). Diese Firewall bietet zusätzlichen Schutz für Geräte, insbesondere, wenn Geräte außerhalb eines Netzwerks oder innerhalb eines Netzwerks ausgeführt werden.

Die Windows Defender Firewall verfügt über unterschiedliche Profile für bestimmte Arten von Netzwerken: Domäne, Privat und Gast/Öffentlich. Das Gast-/öffentliche Netzwerk erhält in der Regel standardmäßig wesentlich restriktivere Einstellungen als die vertrauenswürdigeren Domänen- oder privaten Netzwerke. Möglicherweise gibt es für diese Netzwerke unterschiedliche SMB-Einschränkungen basierend auf Ihrer Bedrohungsbewertung und den betrieblichen Anforderungen.

Eingehende Verbindungen mit einem Computer

Für Windows-Clients und -Server, die keine SMB-Freigaben hosten, können Sie den sämtlichen eingehenden SMB-Datenverkehr blockieren, indem Sie das Windows Defender Firewall verwenden, um Remoteverbindungen von schädlichen oder gefährdeten Geräten zu verhindern. In der Windows Defender Firewall umfasst dies die folgenden eingehenden Regeln.

Sie sollten auch eine neue Sperrregel erstellen, um alle anderen eingehenden Firewallregeln außer Kraft zu setzen. Verwenden Sie die folgenden vorgeschlagenen Einstellungen für alle Windows oder Server, die keine SMB-Freigaben hosten:

• Name:Alle eingehenden SMB 445 blockieren

• Beschreibung:Blockiert den eingehenden SMB-TCP 445-Datenverkehr. Nicht auf Domänencontroller oder Computer angewendet werden, auf denen SMB-Freigaben hosten.

• Aktion:Verbindung blockieren

• Programme:Alle

• Remotecomputer:Alle

• Protokolltyp:TCP

• Lokaler Port:445

• Remoteport:Any

• Profile:Alle

• Bereich (Lokale IP-Adresse):Alle

• Bereich (Remote-IP-Adresse):Alle

• Edge Traversal:Block edge traversal

Sie dürfen den eingehenden SMB-Datenverkehr nicht global an Domänencontroller oder Dateiserver blockieren. Sie können den Zugriff auf diese Geräte jedoch von vertrauenswürdigen IP-Bereichen und Geräten einschränken, um deren Angriffsfläche zu senken. Sie sollten auch auf Domänen- oder private Firewallprofile beschränkt sein und keinen Gast-/öffentlichen Datenverkehr zulassen.

Hinweis Die Windows Firewall hat standardmäßig alle eingehenden SMB-Kommunikationen blockiert, seit Windows XP SP2 und Windows Server 2003 SP1. Windows-Geräte ermöglichen eingehende SMB-Kommunikation nur, wenn ein Administrator eine SMB-Freigabe erstellt oder die Firewall-Standardeinstellungen ändert. Sie sollten nicht darauf vertrauen, dass die standardmäßige Standardmäßige Benutzererfahrung auf Geräten immer noch verfügbar ist. Überprüfen und verwalten Sie die Einstellungen und deren gewünschten Status immer mithilfe von Gruppenrichtlinien oder anderen Verwaltungstools.

Weitere Informationen finden Sie unter Entwerfen eines Windows Defender Firewall mit Advanced Security Strategy und Windows Defender Firewall Advanced Security Deployment Guide.

Ausgehende Verbindungen von einem Computer

Windows-Clients und -Server erfordern ausgehende SMB-Verbindungen, um Gruppenrichtlinien von Domänencontrollern anzuwenden und damit Benutzer und Anwendungen auf Daten auf Dateiservern zugreifen können. Daher ist beim Erstellen von Firewallregeln Vorsicht erforderlich, um böswillige Latern- oder Internetverbindungen zu verhindern. Standardmäßig gibt es keine ausgehenden Blöcke auf einem Windows-Client oder -Server, der eine Verbindung mit SMB-Freigaben herstellen kann, daher müssen Sie neue Sperrregeln erstellen.

Sie sollten auch eine neue Sperrregel erstellen, um alle anderen eingehenden Firewallregeln außer Kraft zu setzen. Verwenden Sie die folgenden vorgeschlagenen Einstellungen für alle Windows oder Server, die keine SMB-Freigaben hosten.

Gast-/öffentliche (nicht vertrauenswürdige) Netzwerke

• Name:Ausgehenden Gast/öffentliche SMB 445 blockieren

• Beschreibung:Blockiert den gesamten ausgehenden TCP 445-SMB-Datenverkehr in einem nicht vertrauenswürdigen Netzwerk.

• Aktion:Verbindung blockieren

• Programme:Alle

• Remotecomputer:Alle

• Protokolltyp:TCP

• Lokaler Port:Any

• Remoteport:445

• Profile:Gast/Öffentlich

• Bereich (Lokale IP-Adresse):Alle

• Bereich (Remote-IP-Adresse):Alle

• Edge Traversal:Block edge traversal

Hinweis Kleine Office- und Home Office-Benutzer oder mobile Benutzer, die in vertrauenswürdigen Unternehmensnetzwerken arbeiten und dann eine Verbindung mit ihren Heimnetzwerken herstellen, sollten Vorsicht walten lassen, bevor sie das öffentliche ausgehende Netzwerk blockieren. Dies kann den Zugriff auf ihre lokalen NAS-Geräte oder bestimmte Drucker verhindern.

Private/Domänen (vertrauenswürdige) Netzwerke

• Name:Ausgehende Domäne/Private SMB 445 zulassen

• Beschreibung:Ermöglicht ausgehenden SMB-TCP 445-Datenverkehr nur auf DCs und Dateiservern in einem vertrauenswürdigen Netzwerk.

• Aktion:Lassen Sie die Verbindung zu, wenn sie sicher ist.

• Anpassen von "Zulassen" Einstellungen:Wählen Sie eine der Optionen aus, legen Sie Blockregeln außer Kraft setzen = EIN fest.

• Programme:Alle

• Protokolltyp:TCP

• Lokaler Port:Any

• Remoteport:445

• Profile:Privat/Domäne

• Bereich (Lokale IP-Adresse):Alle

• Bereich (Remote-IP-Adresse):<Liste der IP-Adressen des Domänencontrollers und des Dateiservers>

• Edge Traversal:Block edge traversal

Hinweis Sie können auch die Remotecomputer anstelle von Bereich Remote-IP-Adressen verwenden, wenn die sichere Verbindung eine Authentifizierung verwendet, die die Identität des Computers enthält. Weitere Informationen zu "Verbindung zulassen, wenn sicher ist" und zu den Optionen für Remotecomputer finden Sie in der Dokumentation zur Defender Firewall.

• Name:Ausgehende Domäne/Private SMB 445 blockieren

• Beschreibung:Blockiert ausgehenden SMB-TCP 445-Datenverkehr. Außerkraftsetzung mithilfe der Regel "Ausgehende Domäne/Privat SMB 445 zulassen"

• Aktion:Verbindung blockieren

• Programme:Alle

• Remotecomputer:N/A

• Protokolltyp:TCP

• Lokaler Port:Any

• Remoteport:445

• Profile:Privat/Domäne

• Bereich (Lokale IP-Adresse):Alle

• Bereich (Remote-IP-Adresse): N/V

• Edge Traversal:Block edge traversal

Ausgehender SMB-Datenverkehr von Computern an Domänencontroller oder Dateiserver darf nicht global blockiert werden. Sie können den Zugriff auf diese Geräte jedoch von vertrauenswürdigen IP-Bereichen und Geräten einschränken, um deren Angriffsfläche zu senken.

Weitere Informationen finden Sie unter Entwerfen eines Windows Defender Firewall mit Advanced Security Strategy und Windows Defender Firewall Advanced Security Deployment Guide.

Sicherheitsverbindungsregeln

Sie müssen eine Sicherheitsverbindungsregel verwenden, um die Ausnahmen der ausgehenden Firewallregel für die Einstellungen "Verbindung zulassen, wenn sie sicher ist" und "Verbindung die Verwendung der Null-Kapselung zulassen" zu implementieren. Wenn Sie diese Regel nicht für alle Windows- und Windows Server-basierten Computer festlegen, funktioniert die Authentifizierung nicht, und SMB wird ausgehend blockiert. 

Beispielsweise sind die folgenden Einstellungen erforderlich:

• Regeltyp:Isolation

• Anforderungen:Anfordern der Authentifizierung für eingehende und ausgehende Verbindungen

• Authentifizierungsmethode:Computer und Benutzer (Kerberos V5)

• Profil:Domäne, Privat, Öffentlich

• Name:Isolation ESP-Authentifizierung für SMB-Außerkraftsetzungen

Weitere Informationen zu Sicherheitsverbindungsregeln finden Sie in den folgenden Artikeln:

• Entwerfen eines Windows Defender Firewall mit Advanced Security Strategy

• Prüfliste: Konfigurieren von Regeln für eine isolierte Serverzone

Windows Arbeitsstation und Serverdienst

Für Verbraucher oder stark isolierte, verwaltete Computer, für die SMB gar nicht erforderlich ist, können Sie die Server- oder Workstation-Dienste deaktivieren. Dazu können Sie das Snap-In "Services" (Services.msc) und das PowerShell Set-Service-Cmdlet oder Gruppenrichtlinieneinstellungen verwenden. Wenn Sie diese Dienste beenden und deaktivieren, kann SMB keine ausgehenden Verbindungen mehr herstellen oder eingehende Verbindungen empfangen.

Sie dürfen den Serverdienst nicht auf Domänencontrollern oder Dateiservern deaktivieren, da keine Clients mehr Gruppenrichtlinien anwenden oder Verbindungen mit ihren Daten herstellen können. Sie dürfen den Workstation-Dienst nicht auf Computern deaktivieren, die Mitglieder einer Active Directory-Domäne sind, da diese keine Gruppenrichtlinie mehr anwenden.