Αποτροπή κυκλοφορίας SMB από πλευρικές συνδέσεις και εισαγωγή ή έξοδο από το δίκτυο

Σύνοψη

Το μπλοκ μηνυμάτων διακομιστή (SMB) είναι ένα πρωτόκολλο για την κοινή χρήση αρχείων δικτύου και το πρωτόκολλο ιστού δεδομένων. Το SMB χρησιμοποιείται από δισεκατομμύρια συσκευές σε ένα διαφορετικό πλήθος λειτουργικών συστημάτων, όπως τα Windows, το MacOS, το iOS, το Linux και το Android. Οι υπολογιστές-πελάτες χρησιμοποιούν το SMB για πρόσβαση σε δεδομένα σε διακομιστές. Αυτό επιτρέπει την κοινή χρήση αρχείων, τη συγκεντρωτική διαχείριση δεδομένων και τις μειωμένες ανάγκες χωρητικότητας αποθήκευσης για κινητές συσκευές. Οι διακομιστές χρησιμοποιούν επίσης το SMB ως μέρος του κέντρου δεδομένων που ορίζεται από το λογισμικό για φόρτο εργασίας, όπως το σύμπλεγμα και η αναπαραγωγή.

Επειδή το SMB είναι ένα απομακρυσμένο σύστημα αρχείων, απαιτείται προστασία από επιθέσεις όπου ένας υπολογιστής με Windows μπορεί να εξαπατηθεί ώστε να επικοινωνήσει με έναν κακόβουλο διακομιστή που εκτελείται μέσα σε ένα αξιόπιστο δίκτυο ή σε έναν απομακρυσμένο διακομιστή εκτός της περιμέτρου του δικτύου. Οι βέλτιστες πρακτικές και ρυθμίσεις παραμέτρων του τείχους προστασίας μπορούν να ενισχύσουν την ασφάλεια εμποδίζοντας την έξοδο από τον υπολογιστή ή το δίκτυό του από κακόβουλη κυκλοφορία.

Αντίκτυπος των αλλαγών

Ο αποκλεισμός σύνδεσης με το SMB μπορεί να αποτρέψει τη λειτουργία διαφόρων εφαρμογών ή υπηρεσιών. Για μια λίστα με τις εφαρμογές και τις υπηρεσίες Windows και Windows Server που ενδέχεται να πάψουν να λειτουργούν, αναθεωρήστε την Επισκόπηση υπηρεσιών και τις απαιτήσεις θύρας δικτύου για τα Windows

Περισσότερες πληροφορίες

Προσεγγίσεις τείχους προστασίας περιμέτρου

Περιμετρικά τείχη προστασίας υλικού και συσκευών που είναι τοποθετημένα στο άκρο του δικτύου θα πρέπει να μπλοκάρουν την ανεπιθύμητη επικοινωνία (από το Internet) και την εξερχόμενη κυκλοφορία (στο Internet) στις παρακάτω θύρες.  

Πρωτόκολλο εφαρμογής

Πρωτόκολλο

Θύρα

SMB

TCP

445

Ανάλυση ονομάτων NetBIOS

UDP

137

Υπηρεσία NetBIOS datagram

UDP

138

Υπηρεσία περιόδου λειτουργίας NetBIOS

TCP

139

Είναι απίθανο να είναι νόμιμη οποιαδήποτε επικοινωνία SMB που προέρχεται από το Internet ή προορίζεται για το Internet. Η κύρια υπόθεση μπορεί να είναι για ένα διακομιστή ή υπηρεσία που βασίζεται στο cloud, όπως τα αρχεία Azure, και θα πρέπει να δημιουργήσετε περιορισμούς με βάση τη διεύθυνση IP στο περιμετρικό τείχος προστασίας σας, ώστε να επιτρέπονται μόνο αυτά τα συγκεκριμένα τελικά σημεία. Οι εταιρείες μπορούν να επιτρέψουν στη θύρα 445 πρόσβαση σε συγκεκριμένες περιοχές IP του Azure Datacenter και O365 για την ενεργοποίηση υβριδικών σεναρίων όπου οι υπολογιστές-πελάτες εσωτερικής εγκατάστασης (πίσω από ένα εταιρικό τείχος προστασίας) χρησιμοποιούν τη θύρα SMB για να συνομιλήσουν με το χώρο αποθήκευσης αρχείων Azure. Θα πρέπει επίσης να επιτρέψετε μόνο το SMB 3.κυκλοφορία x και απαιτείται κρυπτογράφηση AES-128 του SMB. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα "αναφορές" παρακάτω.

Σημείωση Η χρήση του NetBIOS για μεταφορά SMB έληξε στα Windows Vista, Windows Server 2008 και σε όλα τα νεότερα λειτουργικά συστήματα της Microsoft, όταν η Microsoft εισήγαγε το SMB 2,02. Ωστόσο, μπορεί να έχετε άλλο λογισμικό και συσκευές από τα Windows στο περιβάλλον σας. Θα πρέπει να απενεργοποιήσετε και να καταργήσετε το SMB1, εάν δεν το έχετε κάνει ήδη, επειδή εξακολουθεί να χρησιμοποιεί το NetBIOS. Οι νεότερες εκδόσεις του Windows Server και των Windows δεν εγκαθιστούν πλέον το SMB1 από προεπιλογή και θα το αφαιρέσουν αυτόματα εάν επιτρέπεται.

Προσεγγίσεις τείχους προστασίας του Windows Defender

Όλες οι υποστηριζόμενες εκδόσεις των Windows και του Windows Server περιλαμβάνουν το τείχος προστασίας του Windows Defender (προηγουμένως ονομάστηκε το τείχος προστασίας των Windows). Αυτό το τείχος προστασίας παρέχει πρόσθετη προστασία για συσκευές, ειδικά όταν οι συσκευές μετακινούνται εκτός δικτύου ή όταν εκτελούνται εντός ενός.

Το τείχος προστασίας του Windows Defender διαθέτει διακριτά προφίλ για συγκεκριμένους τύπους δικτύων: τομέας, ιδιωτικός και Guest/Public. Το Guest/Public Network συνήθως λαμβάνει πολύ πιο περιοριστικές ρυθμίσεις από προεπιλογή από τον πιο αξιόπιστο τομέα ή τα ιδιωτικά δίκτυα. Ενδέχεται να διαπιστώσετε ότι έχετε διαφορετικούς περιορισμούς SMB για αυτά τα δίκτυα με βάση την αξιολόγηση απειλών σας έναντι των λειτουργικών αναγκών.

Εισερχόμενες συνδέσεις σε έναν υπολογιστή

Για προγράμματα-πελάτες και διακομιστές των Windows που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB, μπορείτε να αποκλείσετε όλη την εισερχόμενη κυκλοφορία SMB χρησιμοποιώντας το τείχος προστασίας του Windows Defender για να αποτρέψετε απομακρυσμένες συνδέσεις από κακόβουλες ή εκτεθειμένους συσκευές. Στο τείχος προστασίας του Windows Defender, αυτό περιλαμβάνει τους ακόλουθους κανόνες εισερχομένων.

Όνομα

Προφίλ

Δυνατότητα

Κοινή χρήση αρχείων και εκτυπωτών (SMB-in)

Όλα τα

Όχι

Υπηρεσία Netlogon (NP-in)

Όλα τα

Όχι

Απομακρυσμένη διαχείριση αρχείου καταγραφής συμβάντων (NP-in)

Όλα τα

Όχι

Διαχείριση απομακρυσμένων υπηρεσιών (NP-in)

Όλα τα

Όχι

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να αντικαταστήσετε οποιουσδήποτε άλλους κανόνες τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για οποιαδήποτε προγράμματα-πελάτες ή διακομιστές των Windows που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB:

  • Όνομα: Αποκλεισμός όλων των εισερχόμενων SMB 445

  • Περιγραφή: αποκλείει όλη την εισερχόμενη κυκλοφορία TCP 445 του πρωτοκόλλου SMB. Δεν πρέπει να εφαρμόζεται σε ελεγκτές τομέα ή υπολογιστές που φιλοξενούν κοινόχρηστα στοιχεία SMB.

  • Ενέργεια: αποκλεισμός της σύνδεσης

  • Προγράμματα: όλα

  • Απομακρυσμένοι υπολογιστές: οποιαδήποτε

  • Τύπος πρωτοκόλλου: TCP

  • Τοπική θύρα: 445

  • Απομακρυσμένη θύρα: οποιαδήποτε

  • Προφίλ: όλα

  • Εμβέλεια (τοπική διεύθυνση IP): οποιαδήποτε

  • Εμβέλεια (απομακρυσμένη διεύθυνση IP): οποιαδήποτε

  • Εγκάρσια τραβέρσα: Αποκλεισμός εγκάρσιας άκρης

Δεν πρέπει να αποκλείει καθολικά την εισερχόμενη κυκλοφορία SMB σε ελεγκτές τομέα ή σε διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης. Θα πρέπει επίσης να περιορίζονται σε προφίλ τομέα ή ιδιωτικού τείχους προστασίας και να μην επιτρέπουν την κυκλοφορία επισκέπτη/δημόσιου.

Σημείωση Το τείχος προστασίας των Windows έχει αποκλείσει όλες τις εισερχόμενες επικοινωνίες SMB από προεπιλογή από το Windows XP SP2 και το Windows Server 2003 SP1. Οι συσκευές Windows θα επιτρέψουν την εισερχόμενη επικοινωνία SMB μόνο εάν ένας διαχειριστής δημιουργήσει ένα κοινόχρηστο στοιχείο SMB ή αλλάξει τις προεπιλεγμένες ρυθμίσεις του τείχους προστασίας. Δεν θα πρέπει να θεωρείτε αξιόπιστη την προεπιλεγμένη εμπειρία εκτός πλαισίου για να εξακολουθείτε να είστε επιτόπου σε συσκευές, ανεξάρτητα. Πάντα να επαληθεύετε και να διαχειρίζεστε ενεργά τις ρυθμίσεις και την κατάσταση που θέλετε, χρησιμοποιώντας την πολιτική ομάδας ή άλλα εργαλεία διαχείρισης.

Για περισσότερες πληροφορίες, εξετάστε τη σχεδίαση ενός τείχους προστασίας του Windows Defender με την προηγμένη στρατηγική ασφαλείας και το τείχος προστασίας του Windows Defender με τον προηγμένο οδηγό ανάπτυξης ασφαλείας

Εξερχόμενες συνδέσεις από έναν υπολογιστή

Τα προγράμματα-πελάτες και διακομιστές των Windows απαιτούν εξερχόμενες συνδέσεις SMB για να εφαρμόσουν την πολιτική ομάδας από ελεγκτές τομέα και για χρήστες και εφαρμογές για την πρόσβαση σε δεδομένα σε διακομιστές αρχείων, επομένως πρέπει να λαμβάνεται μέριμνα κατά τη δημιουργία κανόνων τείχους προστασίας για την αποτροπή κακόβουλων πλευρικών ή συνδέσεις στο Internet. Από προεπιλογή, δεν υπάρχουν τμήματα εξερχομένων σε ένα πρόγραμμα-πελάτη ή διακομιστή των Windows που συνδέονται με τα κοινόχρηστα στοιχεία SMB, επομένως θα πρέπει να δημιουργήσετε νέους κανόνες αποκλεισμού.

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να αντικαταστήσετε οποιουσδήποτε άλλους κανόνες τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για οποιαδήποτε προγράμματα-πελάτες ή διακομιστές των Windows που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB.

Σχόλια/δημόσια (μη αξιόπιστα) δίκτυα

  • Όνομα: Αποκλεισμός εξερχόμενου επισκέπτη/δημόσιου SMB 445

  • Περιγραφή: αποκλείει όλες τις εξερχόμενες κυκλοφορία TCP 445 του TCP όταν βρίσκεστε σε ένα μη αξιόπιστο δίκτυο

  • Ενέργεια: αποκλεισμός της σύνδεσης

  • Προγράμματα: όλα

  • Απομακρυσμένοι υπολογιστές: οποιαδήποτε

  • Τύπος πρωτοκόλλου: TCP

  • Τοπική θύρα: οποιαδήποτε

  • Απομακρυσμένη θύρα: 445

  • Προφίλ: Guest/Public

  • Εμβέλεια (τοπική διεύθυνση IP): οποιαδήποτε

  • Εμβέλεια (απομακρυσμένη διεύθυνση IP): οποιαδήποτε

  • Εγκάρσια τραβέρσα: Αποκλεισμός εγκάρσιας άκρης

Σημείωση Οι μικροί χρήστες του Office και του Office για οικιακή χρήση ή οι χρήστες κινητών συσκευών που εργάζονται σε εταιρικά αξιόπιστα δίκτυα και, στη συνέχεια, συνδέονται με τα οικιακά τους δίκτυα, πρέπει να είναι προσεκτικοί πριν να αποκλείσουν το δημόσιο δίκτυο εξερχομένων. Με αυτόν τον τρόπο ενδέχεται να μην επιτρέπεται η πρόσβαση στις τοπικές συσκευές NAS ή σε συγκεκριμένους εκτυπωτές.

Ιδιωτικά δίκτυα/τομείς (αξιόπιστα)

  • Όνομα: να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικό SMB 445

  • Περιγραφή: επιτρέπει την εξερχόμενη κυκλοφορία TCP 445 TCP μόνο σε ελεγκτές τομέα και διακομιστές αρχείων όταν βρίσκεστε σε ένα αξιόπιστο δίκτυο

  • Ενέργεια: να επιτρέπεται η σύνδεση εάν είναι ασφαλής

  • Προσαρμογή των ρυθμίσεων "να επιτρέπονται εάν είναι ασφαλείς": Επιλέξτε μία από τις επιλογές, Ορίστε κανόνες αποκλεισμού παράκαμψης = on

  • Προγράμματα: όλα

  • Τύπος πρωτοκόλλου: TCP

  • Τοπική θύρα: οποιαδήποτε

  • Απομακρυσμένη θύρα: 445

  • Προφίλ: Private/domain

  • Εμβέλεια (τοπική διεύθυνση IP): οποιαδήποτε

  • Εμβέλεια (απομακρυσμένη διεύθυνση IP): <λίστα των διευθύνσεων IP του ελεγκτή τομέα και του διακομιστή αρχείων>

  • Εγκάρσια τραβέρσα: Αποκλεισμός εγκάρσιας άκρης

Σημείωση Μπορείτε επίσης να χρησιμοποιήσετε τους απομακρυσμένους υπολογιστές αντί για τις απομακρυσμένες διευθύνσεις IP του εύρους, εάν η ασφαλής σύνδεση χρησιμοποιεί έλεγχο ταυτότητας που φέρει την ταυτότητα του υπολογιστή. Εξετάστε την τεκμηρίωση του τείχους προστασίας του Defender για περισσότερες πληροφορίες σχετικά με το θέμα "να επιτρέπεται η σύνδεση εάν είναι ασφαλής" και οι επιλογές απομακρυσμένου υπολογιστή.

  • Όνομα: Αποκλεισμός εξερχόμενου τομέα/ιδιωτικού SMB 445

  • Περιγραφή: αποκλείει την εξερχόμενη κυκλοφορία TCP 445 SMB. Παράκαμψη με χρήση του κανόνα "να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικός SMB 445"

  • Ενέργεια: αποκλεισμός της σύνδεσης

  • Προγράμματα: όλα

  • Απομακρυσμένοι υπολογιστές: δ/υ

  • Τύπος πρωτοκόλλου: TCP

  • Τοπική θύρα: οποιαδήποτε

  • Απομακρυσμένη θύρα: 445

  • Προφίλ: Private/domain

  • Εμβέλεια (τοπική διεύθυνση IP): οποιαδήποτε

  • Εμβέλεια (απομακρυσμένη διεύθυνση IP): δ/υ

  • Εγκάρσια τραβέρσα: Αποκλεισμός εγκάρσιας άκρης

Δεν πρέπει να αποκλείει καθολικά την εξερχόμενη κυκλοφορία SMB από υπολογιστές σε ελεγκτές τομέα ή διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης.

Για περισσότερες πληροφορίες, εξετάστε τη σχεδίαση ενός τείχους προστασίας του Windows Defender με την προηγμένη στρατηγική ασφαλείας και το τείχος προστασίας του Windows Defender με τον προηγμένο οδηγό ανάπτυξης ασφαλείας

Υπηρεσία σταθμού εργασίας και διακομιστή των Windows

Για καταναλωτές ή ιδιαίτερα απομονωμένους, διαχειριζόμενους υπολογιστές που δεν απαιτούν SMB καθόλου, μπορείτε να απενεργοποιήσετε το διακομιστή ή τις υπηρεσίες σταθμού εργασίας. Αυτό μπορείτε να το κάνετε με μη αυτόματο τρόπο, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα "υπηρεσίες" (Services. msc) και το cmdlet του συνόλου υπηρεσιών PowerShell ή χρησιμοποιώντας τις προτιμήσεις πολιτικής ομάδας. Όταν διακόπτετε και απενεργοποιείτε αυτές τις υπηρεσίες, το SMB δεν μπορεί πλέον να πραγματοποιεί εξερχόμενες συνδέσεις ή να λαμβάνει εισερχόμενες συνδέσεις.

Δεν πρέπει να απενεργοποιήσετε την υπηρεσία διακομιστή σε ελεγκτές τομέα ή διακομιστές αρχείων ή κανένα πρόγραμμα-πελάτης δεν θα μπορεί να εφαρμόσει την πολιτική ομάδας ή να συνδεθεί με τα δεδομένα του πλέον. Δεν πρέπει να απενεργοποιήσετε την υπηρεσία σταθμού εργασίας σε υπολογιστές που είναι μέλη ενός τομέα της υπηρεσίας καταλόγου Active Directory ή δεν θα εφαρμόζουν πλέον την πολιτική ομάδας.

Αναφορές

Σχεδίαση τείχους προστασίας του Windows Defender με το τείχος προστασίας για προχωρημένους στρατηγική ασφαλείας του Windows Defender με προηγμένο οδηγό ανάπτυξης ασφαλείας Azure Remote apps Azure Datacenter IP διευθύνσειςδιευθύνσεωνIP του Microsoft O365

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×