Verhindern von SMB-Datenverkehr bei Querverbindungen und bei ein- und ausgehendem Datenverkehr im Netzwerk

Gilt für: Windows Server version 1909Windows Server version 1903Windows Server 2019

Zusammenfassung


Server Message Block (SMB) ist ein Netzwerkdateifreigabe- und Data Fabric-Protokoll. SMB wird von Milliarden von Geräten in einer Vielzahl von Betriebssystemen verwendet, einschließlich Windows, MacOS, iOS, Linux und Android. Clients verwenden SMB, um auf Daten auf Servern zuzugreifen. Dies ermöglicht die gemeinsame Nutzung von Dateien, eine zentrale Datenverwaltung und einen verringerten Speicherkapazitätsbedarf für mobile Geräte. Server verwenden SMB auch als Teil des softwaredefinierten Rechenzentrums für Workloads wie Clustering und Replikation.

Da SMB ein Remotedateisystem ist, muss es vor Angriffen geschützt werden, bei denen ein Windows-Computer dazu verleitet werden kann, einen böswilligen Server zu kontaktieren, der in einem vertrauenswürdigen Netzwerk ausgeführt wird, oder einen Remoteserver, der sich außerhalb des Netzwerkumkreises befindet. Best Practices und Konfigurationen der Firewall können die Sicherheit verbessern, um zu verhindern, dass böswilliger Datenverkehr den Computer oder sein Netzwerk verlässt.

Auswirkungen von Änderungen

Die Sperrung der Verbindung zu SMB kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht mehr funktionieren. Eine Liste der Windows- und Windows Server-Anwendungen und -Dienste, die möglicherweise nicht mehr funktionieren, finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows
 

Weitere Informationen


Vorgehensweisen bei der Umkreisfirewall

Unkreishardware- und Appliance-Firewalls, die sich am Rand des Netzwerks befinden, sollten unaufgeforderte Kommunikation (aus dem Internet) und ausgehenden Datenverkehr (zum Internet) zu den folgenden Ports blockieren.
 

Anwendungsprotokoll

Protokoll

Port

SMB

TCP

445

NetBIOS-Namensauflösung

UDP

137

NetBIOS-Datagrammdienst

UDP

138

NetBIOS-Sitzungsdienst

TCP

139


Es ist unwahrscheinlich, dass SMB-Kommunikation, die aus dem Internet stammt oder für das Internet bestimmt ist, legitim ist. In erster Linie könnte dies einen cloudbasierten Server oder Dienst wie Azure Files betreffen, und Sie sollten IP-adressbasierte Einschränkungen in Ihrer Unkreisfirewall erstellen, um nur diese spezifischen Endpunkte zuzulassen. Unternehmen können den Zugriff über Port 445 auf bestimmte IP-Bereiche für Azure-Rechenzentren und O365 erlauben, um hybride Szenarien zu ermöglichen, bei denen lokale Clients (hinter einer Unternehmensfirewall) den SMB-Port für die Kommunikation mit Azure-Datenspeichern verwenden. Sie sollten auch nur SMB 3.x-Datenverkehr zulassen und die SMB AES-128-Verschlüsselung verlangen. Weitere Informationen finden Sie unten im Abschnitt „Referenzen“.

Hinweis Die Verwendung von NetBIOS für den SMB-Transport endete in Windows Vista, Windows Server 2008 und in allen neueren Microsoft-Betriebssystemen mit der Einführung von SMB 2.02 durch Microsoft. Möglicherweise verwenden Sie jedoch andere Software und Geräte als Windows in Ihrer Umgebung. Sie sollten SMB1 deaktivieren und entfernen, falls dies noch nicht geschehen ist, da es weiterhin NetBIOS verwendet. Bei neueren Versionen von Windows Server und Windows wird SMB1 nicht mehr standardmäßig installiert und automatisch entfernt, soweit dies zulässig ist.

Vorgehensweisen bei der Windows Defender-Firewall

Alle unterstützten Versionen von Windows und Windows Server enthalten die Windows Defender-Firewall (ehemals Windows-Firewall). Diese Firewall bietet zusätzlichen Schutz für Geräte, insbesondere wenn Geräte sich außerhalb eines Netzwerks befinden oder innerhalb eines Netzwerks verwendet werden.

Die Windows Defender-Firewall verfügt über unterschiedliche Profile für bestimmte Netzwerktypen: Domäne, Privat und Gast/Öffentlich. Das Netzwerk vom Typ Gast/Öffentlich erhält in der Regel standardmäßig wesentlich restriktivere Einstellungen als die vertrauenswürdigeren Domänen- oder Privatnetzwerke. Möglicherweise haben Sie für diese Netzwerke unterschiedliche SMB-Einschränkungen, die sich aus Ihrer Risikobewertung im Vergleich zu den betrieblichen Anforderungen ergeben.

Eingehende Verbindungen zu einem Computer

Für Windows-Clients und -Server, die keine SMB-Freigaben hosten, können Sie den gesamten eingehenden SMB-Datenverkehr mithilfe der Windows Defender-Firewall blockieren, um Remoteverbindungen von schädlichen oder kompromittierten Geräten zu verhindern. In der Windows Defender-Firewall beinhaltet dies die folgenden eingehenden Regeln.

Name

Profil

Aktiviert

Datei- und Druckerfreigabe (SMB eingehend)

Alle

Nein

Anmeldedienst (NP eingehend)

Alle

Nein

Remote-Ereignisprotokollverwaltung (NP eingehend)

Alle

Nein

Remotedienstverwaltung (NP eingehend)

Alle

Nein


Sie sollten auch eine neue Sperrregel erstellen, um alle anderen eingehenden Firewallregeln zu überschreiben. Verwenden Sie die folgenden vorgeschlagenen Einstellungen für alle Windows-Clients oder -Server, die keine SMB-Freigaben hosten:

  • Name: Alle eingehenden SMB 445 blockieren
  • Beschreibung: Blockiert den gesamten eingehenden SMB TCP 445-Datenverkehr. Sollte nicht auf Domänencontroller oder Computer angewendet werden, die SMB-Freigaben hosten.
  • Aktion: Verbindung blockieren
  • Programme: Alle
  • Remotecomputer: Alle
  • Protokolltyp: TCP
  • Lokaler Port: 445
  • Remoteport: Alle
  • Profile: Alle
  • Bereich (lokale IP-Adresse): Alle
  • Bereich (Remote-IP-Adresse): Alle
  • Edgeausnahme: Edgeausnahme blockieren

Sie dürfen eingehenden SMB-Datenverkehr auf Domänencontrollern oder Dateiservern nicht global blockieren. Sie können jedoch den Zugriff auf sie auf vertrauenswürdige IP-Bereiche und Geräte beschränken, um ihre Angriffsfläche zu reduzieren. Sie sollten auch auf Domänen- oder private Firewallprofile beschränkt sein und keinen Gast-/öffentlichen Datenverkehr zulassen.

Hinweis Die Windows-Firewall blockiert seit Windows XP SP2 und Windows Server 2003 SP1 standardmäßig die gesamte eingehende SMB-Kommunikation. Windows-Geräte erlauben eingehende SMB-Kommunikation nur, wenn ein Administrator eine SMB-Freigabe erstellt oder die Firewall-Standardeinstellungen ändert. Sie sollten jedoch nicht darauf vertrauen, dass die standardmäßige Out-of-Box-Einstellung auf Geräten immer noch vorhanden ist. Überprüfen und verwalten Sie die Einstellungen und den gewünschten Status immer mithilfe von Gruppenrichtlinien oder anderen Verwaltungstools.

Weitere Informationen finden Sie unter Entwerfen einer Windows Defender-Firewall mit erweiterter Sicherheitsstrategie und Bereitstellungshandbuch zur Windows Defender-Firewall mit erweiterter Sicherheit.

Ausgehende Verbindungen von einem Computer

Windows-Clients und -Server benötigen ausgehende SMB-Verbindungen, um Gruppenrichtlinien von Domänencontrollern anzuwenden und um Benutzern und Anwendungen den Zugriff auf Daten auf Dateiservern zu ermöglichen. Daher muss beim Erstellen von Firewallregeln darauf geachtet werden, dass böswillige Quer- oder Internetverbindungen verhindert werden. Standardmäßig gibt es auf einem Windows-Client oder -Server, der eine Verbindung zu SMB-Freigaben herstellt, keine ausgehenden Sperren, weshalb Sie neue Sperrregeln erstellen müssen.

Sie sollten auch eine neue Sperrregel erstellen, um alle anderen eingehenden Firewallregeln zu überschreiben. Verwenden Sie die folgenden vorgeschlagenen Einstellungen für alle Windows-Clients oder -Server, die keine SMB-Freigaben hosten.

Gast-/Öffentliche (nicht vertrauenswürdige) Netzwerke

  • Name: Ausgehenden Gast/öffentlichen SMB 445 blockieren
  • Beschreibung: Blockiert den gesamten ausgehenden SMB TCP 445-Datenverkehr in einem nicht vertrauenswürdigen Netzwerk
  • Aktion: Verbindung blockieren
  • Programme: Alle
  • Remotecomputer: Alle
  • Protokolltyp: TCP
  • Lokaler Port: Alle
  • Remoteport: 445
  • Profile: Gast/Öffentlich
  • Bereich (lokale IP-Adresse): Alle
  • Bereich (Remote-IP-Adresse): Alle
  • Edgeausnahme: Edgeausnahme blockieren

Hinweis Kleinunternehmen und Heimbenutzer oder mobile Benutzer, die in vertrauenswürdigen Unternehmensnetzwerken arbeiten und dann eine Verbindung mit ihren Heimnetzwerken herstellen, sollten Vorsicht walten lassen, bevor sie das öffentliche ausgehende Netzwerk blockieren. Dadurch kann nämlich der Zugriff auf ihre lokalen NAS-Geräte oder bestimmte Drucker verhindert werden.

Private/Domänennetzwerke (vertrauenswürdig)

  • Name: Ausgehende Domänen-/private SMB 445 zulassen
  • Beschreibung: Ermöglicht ausgehenden SMB TCP 445-Datenverkehr nur zu DCs und Dateiservern, wenn diese sich in einem vertrauenswürdigen Netzwerk befinden
  • Aktion: Verbindung zulassen, wenn sie sicher ist
  • Einstellungen für sichere Verbindungen anpassen: Wählen Sie eine der Optionen aus und legen Sie „Override block rules = ON“ fest, sodass die Sperrregeln außer Kraft gesetzt werden
  • Programme: Alle
  • Protokolltyp: TCP
  • Lokaler Port: Alle
  • Remoteport: 445
  • Profile: Privat/Domäne
  • Bereich (lokale IP-Adresse): Alle
  • Bereich (Remote-IP-Adresse): <Liste der Domänencontroller und Dateiserver-IP-Adressen>
  • Edgeausnahme: Edgeausnahme blockieren

Hinweis Sie können auch die Remotecomputer anstelle von Bereichs-Remote-IP-Adressen verwenden, wenn die gesicherte Verbindung eine Authentifizierung verwendet, die die Identität des Computers enthält. Weitere Informationen zum Thema „Verbindung zulassen, wenn sie sicher ist“ und die Optionen für Remotecomputer finden Sie in der Dokumentation der Windows Defender-Firewall.

  • Name: Ausgehenden Domänen-/privaten SMB 445 blockieren
  • Beschreibung: Blockiert ausgehenden SMB TCP 445-Datenverkehr. Überschreiben mithilfe der Regel „Ausgehende Domänen-/private SMB 445 zulassen“
  • Aktion: Verbindung blockieren
  • Programme: Alle
  • Remotecomputer: N/V
  • Protokolltyp: TCP
  • Lokaler Port: Alle
  • Remoteport: 445
  • Profile: Privat/Domäne
  • Bereich (lokale IP-Adresse): Alle
  • Bereich (Remote-IP-Adresse): N/V
  • Edgeausnahme: Edgeausnahme blockieren

Sie dürfen ausgehenden SMB-Datenverkehr von Computern zu Domänencontrollern oder Dateiservern nicht global blockieren. Sie können jedoch den Zugriff auf sie auf vertrauenswürdige IP-Bereiche und Geräte beschränken, um ihre Angriffsfläche zu reduzieren.

Weitere Informationen finden Sie unter Entwerfen einer Windows Defender-Firewall mit erweiterter Sicherheitsstrategie und Bereitstellungshandbuch zur Windows Defender-Firewall mit erweiterter Sicherheit.

Windows Arbeitsstations- und Serverdienst

Für Consumer- oder stark isolierte, verwaltete Computer, für die SMB überhaupt nicht erforderlich ist, können Sie die Server- oder Arbeitsstationsdienste deaktivieren. Dies ist manuell möglich, indem Sie das Snap-In „Dienste“ (Services.msc) und das PowerShell-Cmdlet Set-Service verwenden, oder indem Sie Gruppenrichtlinieneinstellungen verwenden. Wenn Sie diese Dienste beenden und deaktivieren, kann SMB keine ausgehenden Verbindungen mehr herstellen oder eingehende Verbindungen empfangen.

Sie dürfen den Serverdienst nicht auf Domänencontrollern oder Dateiservern deaktivieren, da sonst keine Clients mehr in der Lage sind, Gruppenrichtlinien anzuwenden oder eine Verbindung zu ihren Daten herzustellen. Sie dürfen den Arbeitsstationsdienst nicht auf Computern deaktivieren, die Mitglieder einer Active Directory-Domäne sind, da sie ansonsten keine Gruppenrichtlinien mehr anwenden.