Applies ToWindows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

Σύνοψη

Server Message Block (SMB) is a network file sharing and data fabric protocol. Τα SMB χρησιμοποιούνται από δισεκ. συσκευές σε ένα ευρύ σύνολο λειτουργικών συστημάτων, όπως Windows, MacOS, iOS, Linux και Android. Τα προγράμματα-πελάτες χρησιμοποιούν SMB για πρόσβαση σε δεδομένα σε διακομιστές. Αυτό επιτρέπει την κοινή χρήση αρχείων, την κεντρική διαχείριση δεδομένων και τη μείωση των αναγκών χωρητικότητας αποθήκευσης για κινητές συσκευές. Οι διακομιστές χρησιμοποιούν επίσης SMB ως μέρος του Κέντρου δεδομένων που ορίζεται από το λογισμικό για φόρτους εργασίας, όπως η δημιουργία συμπλέγματος και η αναπαραγωγή.

Επειδή το SMB είναι ένα απομακρυσμένο σύστημα αρχείων, απαιτεί προστασία από επιθέσεις στις οποίες ένας υπολογιστής με Windows ενδέχεται να έχει κόλπα ώστε να επικοινωνήσει με έναν κακόβουλο διακομιστή που εκτελείται μέσα σε ένα αξιόπιστο δίκτυο ή σε έναν απομακρυσμένο διακομιστή εκτός της περίμετρος δικτύου. Οι βέλτιστες πρακτικές και ρυθμίσεις παραμέτρων του τείχους προστασίας μπορούν να βελτιώσουν την ασφάλεια και να αποτρέψουν την έξοδο από τον υπολογιστή ή το δίκτυό του με κακόβουλη κυκλοφορία.

Αποτέλεσμα των αλλαγών

Ο αποκλεισμός της συνδεσιμότητας σε SMB ενδέχεται να αποτρέψει τη λειτουργία διάφορων εφαρμογών ή υπηρεσιών. Για μια λίστα των εφαρμογών και υπηρεσιών των Windows και του Windows Server που ενδέχεται να σταματήσουν να λειτουργούν σε αυτή την περίπτωση, ανατρέξτε στο θέμα Επισκόπηση υπηρεσιών και απαιτήσεις θύρας δικτύου για τα Windows

Περισσότερες πληροφορίες

Περιμετρική τείχους προστασίας που πλησιάζει

Τα τείχη προστασίας περιμετρικού υλικού και συσκευής που είναι τοποθετημένοι στο άκρο του δικτύου θα πρέπει να εμποδίσουν την αυτόκλητη επικοινωνία (από το Internet) και την εξερχόμενη κυκλοφορία (προς το Internet) στις παρακάτω θύρες.  

Πρωτόκολλο εφαρμογής

Protocol

Θύρα

SMB

TCP

445

Επίλυση ονομάτων NetBIOS

UDP

137

Υπηρεσία Datagram του NetBIOS

UDP

138

Υπηρεσία περιόδου λειτουργίας NetBIOS

TCP

139

Είναι απίθανο ότι οποιαδήποτε επικοινωνία SMB προέρχεται από το Internet ή προορίζονται για το Internet είναι νόμιμη. Η κύρια υπόθεση μπορεί να αφορά ένα διακομιστή ή μια υπηρεσία που βασίζεται στο cloud, όπως τα Αρχεία Azure. Θα πρέπει να δημιουργήσετε περιορισμούς βάσει διευθύνσεων IP στο τείχος προστασίας περιμέτρου για να επιτρέψετε μόνο αυτά τα συγκεκριμένα τελικά σημεία. Οι οργανισμοί μπορούν να επιτρέψουν τη θύρα 445 πρόσβασης σε συγκεκριμένες περιοχές δεδομένων του Azure και O365 IP για να ενεργοποιήσουν υβριδικά σενάρια στα οποία τα προγράμματα-πελάτες εσωτερικής εγκατάστασης (πίσω από ένα εταιρικό τείχος προστασίας) χρησιμοποιούν τη θύρα SMB για να μιλήσουν με τον χώρο αποθήκευσης αρχείων Azure. Θα πρέπει επίσης να επιτρέψετε μόνο SMB 3.x κυκλοφορία και απαιτούν κρυπτογράφηση SMB AES-128. Ανατρέξτε στηνενότητα "Αναφορές"για περισσότερες πληροφορίες.

Σημείωση Η χρήση του NetBIOS για μεταφορά SMB έληξε στα Windows Vista, τον Windows Server 2008 και σε όλα τα νεότερα λειτουργικά συστήματα της Microsoft, όταν η Microsoft παρουσίασε τα SMB 2.02. Ωστόσο, ενδέχεται να έχετε λογισμικό και συσκευές εκτός από τα Windows στο περιβάλλον σας. Θα πρέπει να απενεργοποιήσετε και να καταργήσετε τα SMB1 εάν δεν το έχετε ήδη κάνει, επειδή εξακολουθεί να χρησιμοποιεί netBIOS. Οι νεότερες εκδόσεις του Windows Server και των Windows δεν εγκαθιστούν πλέον SMB1 από προεπιλογή και θα τα καταργούν αυτόματα, εάν επιτρέπονται.

Το τείχος προστασίας του Windows Defender πλησιάζει

Όλες οι υποστηριζόμενες εκδόσεις των Windows και του Windows Server περιλαμβάνουν το Τείχος προστασίας του Windows Defender (παλαιότερα ονομαζόταν Τείχος προστασίας των Windows). Αυτό το τείχος προστασίας παρέχει πρόσθετη προστασία για συσκευές, ειδικά όταν οι συσκευές μετακινούνται εκτός δικτύου ή όταν εκτελούνται μέσα σε ένα δίκτυο.

Το Τείχος προστασίας του Windows Defender έχει διακριτά προφίλ για συγκεκριμένους τύπους δικτύων: Τομέας, Ιδιωτικό και Επισκέπτης/Δημόσιο. Το δίκτυο επισκέπτη/δημόσιου δικτύου λαμβάνει συνήθως πολύ πιο περιοριστικές ρυθμίσεις από προεπιλογή από τα πιο αξιόπιστα δίκτυα Domain ή Private Networks. Μπορεί να βρεθείτε να έχετε διαφορετικούς περιορισμούς SMB για αυτά τα δίκτυα, ανάλογα με την αξιολόγηση απειλών και τις λειτουργικές ανάγκες σας.

Εισερχόμενες συνδέσεις σε υπολογιστή

Για προγράμματα-πελάτες των Windows και διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB, μπορείτε να αποκλείσετε όλη την εισερχόμενη κυκλοφορία SMB χρησιμοποιώντας το Τείχος προστασίας του Windows Defender για να αποτρέψετε τις απομακρυσμένες συνδέσεις από κακόβουλες ή παραβιασμένους συσκευές. Στο Τείχος προστασίας του Windows Defender, αυτό περιλαμβάνει τους παρακάτω κανόνες εισερχομένων.

Όνομα

Προφίλ

Ενεργοποιημένη

Κοινή χρήση αρχείων και εκτυπωτών (SMB-In)

Όλα

Όχι

Υπηρεσία Netlogon (NP-In)

Όλα

Όχι

Απομακρυσμένη διαχείριση αρχείου καταγραφής συμβάντων (NP-in)

Όλα

Όχι

Απομακρυσμένη διαχείριση υπηρεσίας (NP-In)

Όλα

Όχι

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να παρακάμψετε τυχόν άλλους κανόνες του τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για προγράμματα-πελάτες των Windows ή διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB:

  • Όνομα:Αποκλεισμός όλων των εισερχόμενων SMB 445

  • Περιγραφή:Αποκλείει όλη την εισερχόμενη κυκλοφορία SMB TCP 445. Δεν εφαρμόζεται σε ελεγκτές τομέα ή υπολογιστές που φιλοξενούν κοινόχρηστα στοιχεία SMB.

  • Ενέργεια:Αποκλεισμός της σύνδεσης

  • Προγράμματα:Όλα

  • Απομακρυσμένοι υπολογιστές:Οποιοσδήποτε

  • Τύπος πρωτοκόλλου:TCP

  • Τοπική θύρα:445

  • Απομακρυσμένη θύρα:Οποιαδήποτε

  • Προφίλ:Όλα

  • Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

  • Εύρος (απομακρυσμένη διεύθυνση IP):Οποιαδήποτε

  • Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Δεν πρέπει να αποκλείσετε καθολικά την κίνηση εισερχομένων SMB σε ελεγκτές τομέα ή διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης. Επίσης, θα πρέπει να περιορίζονται στα προφίλ τομέα ή ιδιωτικού τείχους προστασίας και να μην επιτρέπουν την κυκλοφορία επισκέπτη/δημόσιας κυκλοφορίας.

Σημείωση Το Τείχος προστασίας των Windows έχει αποκλείσει όλες τις εισερχόμενες επικοινωνίες SMB από προεπιλογή, από τα Windows XP SP2 και τον Windows Server 2003 SP1. Οι συσκευές Windows θα επιτρέπουν την εισερχόμενη επικοινωνία SMB μόνο εάν ένας διαχειριστής δημιουργήσει ένα κοινόχρηστο στοιχείο SMB ή αλλάξει τις προεπιλεγμένες ρυθμίσεις του τείχους προστασίας. Δεν θα πρέπει να θεωρείτε αξιόπιστη την προεπιλεγμένη εμπειρία "εκτός πλαισίου" για να εξακολουθείτε να είστε σε θέση σε συσκευές, ανεξάρτητα από το αν υπάρχει. Να επαληθεύετε και να διαχειρίζεστε ενεργά τις ρυθμίσεις και την κατάσταση που θέλετε, χρησιμοποιώντας την Πολιτική ομάδας ή άλλα εργαλεία διαχείρισης.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα "Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας" και "Τείχος προστασίας του Windows Defender" με τον Οδηγό ανάπτυξης ασφάλειας για προχωρημένους

Εξερχόμενες συνδέσεις από υπολογιστή

Τα προγράμματα-πελάτες και οι διακομιστές των Windows απαιτούν εξερχόμενες συνδέσεις SMB προκειμένου να εφαρμοστεί η πολιτική ομάδας από τους ελεγκτές τομέα και για την πρόσβαση των χρηστών και των εφαρμογών σε δεδομένα των διακομιστών αρχείων, επομένως πρέπει να απαιτείται προσοχή κατά τη δημιουργία κανόνων τείχους προστασίας για την αποτροπή κακόβουλων πλευρικών συνδέσεων ή συνδέσεων στο Internet. Από προεπιλογή, δεν υπάρχουν εξερχόμενα μπλοκ σε έναν υπολογιστή-πελάτη ή διακομιστή Windows που συνδέεται με κοινόχρηστα στοιχεία SMB, επομένως θα πρέπει να δημιουργήσετε νέους κανόνες αποκλεισμού.

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να παρακάμψετε τυχόν άλλους κανόνες του τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για προγράμματα-πελάτες των Windows ή διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB.

Δίκτυα επισκεπτών/δημόσιων (μη αξιόπιστων)

  • Όνομα:Αποκλεισμός εξερχόμενου επισκέπτη/δημόσιου SMB 445

  • Περιγραφή:Αποκλείει όλη την εξερχόμενη κυκλοφορία SMB TCP 445 όταν βρίσκεται σε ένα μη αξιόπιστο δίκτυο

  • Ενέργεια:Αποκλεισμός της σύνδεσης

  • Προγράμματα:Όλα

  • Απομακρυσμένοι υπολογιστές:Οποιοσδήποτε

  • Τύπος πρωτοκόλλου:TCP

  • Τοπική θύρα:Οποιαδήποτε

  • Απομακρυσμένη θύρα:445

  • Προφίλ:Επισκέπτης/Δημόσιο

  • Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

  • Εύρος (απομακρυσμένη διεύθυνση IP):Οποιαδήποτε

  • Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Σημείωση Οι χρήστες μικρών γραφείων και γραφείων οικίας ή οι χρήστες κινητών συσκευών που εργάζονται σε εταιρικά αξιόπιστα δίκτυα και, στη συνέχεια, συνδέονται στα οικιακά τους δίκτυα, θα πρέπει να είναι προσεκτικοί πριν να αποκλείσουν το δημόσιο εξερχόμενο δίκτυο. Αυτή η δυνατότητα μπορεί να αποτρέψει την πρόσβαση στις τοπικές συσκευές NAS ή σε συγκεκριμένους εκτυπωτές.

Ιδιωτικά/Domain (αξιόπιστα) δίκτυα

  • Όνομα:Να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικό SMB 445

  • Περιγραφή:Επιτρέπει την κυκλοφορία εξερχομένων SMB TCP 445 μόνο σε DCs και διακομιστές αρχείων όταν βρίσκεται σε ένα αξιόπιστο δίκτυο

  • Ενέργεια:Επιτρέψτε τη σύνδεση, εάν είναι ασφαλής

  • Customize Allow if Secure Settings: pick one of the options, set Override block rules = ON

  • Προγράμματα:Όλα

  • Τύπος πρωτοκόλλου:TCP

  • Τοπική θύρα:Οποιαδήποτε

  • Απομακρυσμένη θύρα:445

  • Προφίλ:Ιδιωτικό/Τομέας

  • Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

  • Εύρος (Απομακρυσμένη διεύθυνση IP): <λίστα των διευθύνσεων IP του ελεγκτή τομέα και του διακομιστή αρχείων>

  • Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Σημείωση Μπορείτε επίσης να χρησιμοποιήσετε τους απομακρυσμένους υπολογιστές αντί για την εμβέλεια απομακρυσμένων διευθύνσεων IP, εάν η ασφαλής σύνδεση χρησιμοποιεί έλεγχο ταυτότητας που περιλαμβάνει την ταυτότητα του υπολογιστή. Ανατρέξτε στην τεκμηρίωση του Τείχους προστασίας του Defender για περισσότερες πληροφορίες σχετικά με τις επιλογές "Να επιτρέπεται η σύνδεση εάν είναι ασφαλής" και τις επιλογές "Απομακρυσμένος υπολογιστής".

  • Όνομα:Αποκλεισμός εξερχόμενου τομέα/ιδιωτικού SMB 445

  • Περιγραφή:Αποκλείει την κυκλοφορία εξερχομένων SMB TCP 445. Παράκαμψη με χρήση του κανόνα "Να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικό SMB 445"

  • Ενέργεια:Αποκλεισμός της σύνδεσης

  • Προγράμματα:Όλα

  • Απομακρυσμένοι υπολογιστές:Δ/Υ

  • Τύπος πρωτοκόλλου:TCP

  • Τοπική θύρα:Οποιαδήποτε

  • Απομακρυσμένη θύρα:445

  • Προφίλ:Ιδιωτικό/Τομέας

  • Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

  • Εύρος (απομακρυσμένη διεύθυνση IP):Δ/Ι

  • Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Δεν πρέπει να αποκλείσετε καθολικά την κυκλοφορία SMB εξερχομένων από υπολογιστές σε ελεγκτές τομέα ή διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα "Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας" και "Τείχος προστασίας του Windows Defender" με τον Οδηγό ανάπτυξης ασφάλειας για προχωρημένους

Κανόνες σύνδεσης ασφαλείας

Πρέπει να χρησιμοποιήσετε έναν κανόνα σύνδεσης ασφαλείας για να εφαρμόσετε τις εξαιρέσεις του κανόνα εξερχόμενου τείχους προστασίας για τις ρυθμίσεις "Να επιτρέπεται η σύνδεση εάν είναι ασφαλής" και "Να επιτρέπεται στη σύνδεση η χρήση της encapsulation null". Εάν δεν ορίσετε αυτόν τον κανόνα σε όλους τους υπολογιστές που βασίζονται σε Windows και σε Windows Server, ο έλεγχος ταυτότητας θα αποτύχει και τα SMB θα αποκλείονται τα εξερχόμενα. 

Για παράδειγμα, απαιτούνται οι παρακάτω ρυθμίσεις:

  • Τύπος κανόνα:Απομόνωση

  • Απαιτήσεις:Αίτηση ελέγχου ταυτότητας για εισερχόμενες και εξερχόμενες συνδέσεις

  • Μέθοδος ελέγχουταυτότητας: Υπολογιστής και χρήστης (Kerberos V5)

  • Προφίλ:Τομέας, Ιδιωτικό, Δημόσιο

  • Όνομα:Έλεγχος ταυτότητας απομόνωσης ESP για παρακάμψεις SMB

Για περισσότερες πληροφορίες σχετικά με τους κανόνες σύνδεσης ασφαλείας, ανατρέξτε στα ακόλουθα άρθρα:

Σταθμός εργασίας των Windows και υπηρεσία διακομιστή

Για καταναλωτικά ή ιδιαίτερα απομονωμένους, διαχειριζόμενους υπολογιστές που δεν απαιτούν καθόλου SMB, μπορείτε να απενεργοποιήσετε το διακομιστή ή τις υπηρεσίες σταθμού εργασίας. Μπορείτε να το κάνετε αυτό με μη αυτόματο τρόπο, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα "Υπηρεσίες" (Services.msc) και το cmdlet Set-Service του PowerShell ή χρησιμοποιώντας προτιμήσεις πολιτικής ομάδας. Όταν διακόπτετε και απενεργοποιείτε αυτές τις υπηρεσίες, τα SMB δεν μπορούν πλέον να κάνουν εξερχόμενες συνδέσεις ή να λαμβάνουν εισερχόμενες συνδέσεις.

Δεν πρέπει να απενεργοποιήσετε την υπηρεσία διακομιστή σε ελεγκτές τομέων ή σε διακομιστές αρχείων, αλλιώς κανένα πρόγραμμα-πελάτης δεν θα μπορεί πλέον να εφαρμόσει πολιτική ομάδας ή να συνδεθεί με τα δεδομένα του. Δεν πρέπει να απενεργοποιήσετε την υπηρεσία σταθμού εργασίας σε υπολογιστές που είναι μέλη ενός τομέα της υπηρεσίας καταλόγου Active Directory, καθώς δεν θα εφαρμόζουν πλέον πολιτική ομάδας.

Αναφορές

Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας Τείχος προστασίας του Windows Defender με Οδηγό ανάπτυξης ασφάλειας για προχωρημένους Απομακρυσμένες εφαρμογές Azure Διευθύνσεις IP του κέντρα δεδομένων Azure Διευθύνσεις IP του Microsoft O365

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.