Richtlinien für die Sperrung bestimmter Firewall-Ports, um zu verhindern, dass SMB-Datenverkehr die Unternehmensumgebung verlässt

Gilt für: Windows 10Windows 10 Version 1511Windows 10 Version 1607

Zusammenfassung


Böswillige Benutzer können das Server Message Block (SMB)-Protokoll missbrauchen. 

Bewährte Methoden für die Firewall und eine korrekte Firewall-Konfiguration verbessern die Netzwerksicherheit, indem sie verhindern, dass potenziell schädlicher Datenverkehr die Unternehmensumgebung verlässt. 

Firewalls am Perimeter der Unternehmensumgebung müssen dazu unerwünschte Kommunikation (aus dem Internet) und ausgehenden Datenverkehr (in Richtung Internet) auf den folgenden, von SMB verwendeten Ports blockieren:

137
138
139
445

Weitere Informationen


Diese Ports können verwendet werden, um eine Verbindung mit einem potenziell schädlichen internetbasierten SMB-Server aufzubauen. Der SMB-Datenverkehr sollte auf private Netzwerke oder virtuelle private Netzwerke (VPNs) eingeschränkt werden. 

Empfehlung 

Sperren Sie diese Ports in der Firewall am Rand bzw. Perimeter der Unternehmensumgebung, um Systeme hinter der Firewall vor SMB-Missbrauch für bösartige Zwecke zu schützen. Unternehmen können den Zugriff über Port 445 auf bestimmte IP-Bereiche für Azure-Rechenzentren erlauben (siehe die folgende Referenz), um hybride Szenarien zu ermöglichen, bei denen lokale Clients (hinter einer Enterprise-Firewall) den SMB-Port für die Kommunikation mit Azure-Datenspeicher verwenden.

Ansätze 

Umkreisfirewalls verwenden normalerweise Sperrlisten und/oder Genehmigungslisten. 

Sperrlisten 
Sämtlicher Datenverkehr, der nicht durch eine (Sperrlisten-) Regel verboten ist, darf passieren. 

Beispiel 1
Allow all
Deny 137 name services
Deny 138 datagram services
Deny 139 session service
Deny 445 session service

Genehmigungsliste 
Sämtlicher Datenverkehr, der nicht durch eine Regel erlaubt ist, wird blockiert. 

Um sich vor Angriffen auf anderen Ports zu schützen, sollten Sie sämtliche unerwünschte Kommunikation aus dem Internet blockieren. Dazu empfehlen wir eine allgemeine Blockierregel mit Regeln für den erlaubten Datenverkehr (Genehmigungsliste). 

Hinweis: Die hier gezeigte Genehmigungsliste blockiert den NetBIOS- und SMB-Datenverkehr implizit, indem keine entsprechende Genehmigungsregel angegeben wird. 

Beispiel 2
Deny all
Allow 53 DNS
Allow 21 FTP
Allow 80 HTTP
Allow 443 HTTPS
Allow 143 IMAP
Allow 123 NTP
Allow 110 POP3
Allow 25 SMTP

Die Liste der erlaubten Ports ist nicht vollständig. Je nach Unternehmensanforderungen sind ggf. weitere Firewalleinträge erforderlich.

Auswirkungen der Problemumgehung

Verschiedene Windows-Dienste nutzen die betroffenen Ports. Die Sperrung dieser Ports kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht mehr funktionieren. Es können unter anderem die folgenden Anwendungen oder Dienste betroffen sein:
  • Anwendungen, die SMB verwenden (CIFS)
  • Anwendungen, die Mailslots oder Named Pipes verwenden (RPC über SMB)
  • Server (Datei- und Druckerfreigabe) 
  • Gruppenrichtlinie
  • Netzwerkanmeldung
  • Verteiltes Dateisystem (DFS)
  • Terminal Server-Lizenzierung 
  • Druckerspooler 
  • Computerbrowser 
  • RPC-Locator 
  • Faxdienst 
  • Indexdienst 
  • Leistungsdatenprotokolle und Warnungen 
  • Systems Management Server
  • Lizenzprotokollierungsdienst 

Rückgängigmachen der Problemumgehung

Heben Sie die Sperrung der Ports in der Firewall auf. Weitere Informationen zu Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Informationsquellen

Azure RemoteApps https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

IPs der Azure-Rechenzentren http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/de-de/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2