Αποτροπή της κυκλοφορίας SMB από πλευρικές συνδέσεις και είσοδος ή αποχώρηση από το δίκτυο

Περιμετρική τείχους προστασίας που πλησιάζει

Τα τείχη προστασίας περιμετρικού υλικού και συσκευής που είναι τοποθετημένοι στο άκρο του δικτύου θα πρέπει να εμποδίσουν την αυτόκλητη επικοινωνία (από το Internet) και την εξερχόμενη κυκλοφορία (προς το Internet) στις παρακάτω θύρες.
 

Είναι απίθανο ότι οποιαδήποτε επικοινωνία SMB προέρχεται από το Internet ή προορίζονται για το Internet είναι νόμιμη. Η κύρια υπόθεση μπορεί να αφορά ένα διακομιστή ή μια υπηρεσία που βασίζεται στο cloud, όπως τα Αρχεία Azure. Θα πρέπει να δημιουργήσετε περιορισμούς βάσει διευθύνσεων IP στο τείχος προστασίας περιμέτρου για να επιτρέψετε μόνο αυτά τα συγκεκριμένα τελικά σημεία. Οι οργανισμοί μπορούν να επιτρέψουν τη θύρα 445 πρόσβασης σε συγκεκριμένες περιοχές δεδομένων του Azure και O365 IP για να ενεργοποιήσουν υβριδικά σενάρια στα οποία τα προγράμματα-πελάτες εσωτερικής εγκατάστασης (πίσω από ένα εταιρικό τείχος προστασίας) χρησιμοποιούν τη θύρα SMB για να μιλήσουν με τον χώρο αποθήκευσης αρχείων Azure. Θα πρέπει επίσης να επιτρέψετε μόνο SMB 3.x κυκλοφορία και απαιτούν κρυπτογράφηση SMB AES-128. Ανατρέξτε στηνενότητα "Αναφορές"για περισσότερες πληροφορίες.

Σημείωση Η χρήση του NetBIOS για μεταφορά SMB έληξε στα Windows Vista, τον Windows Server 2008 και σε όλα τα νεότερα λειτουργικά συστήματα της Microsoft, όταν η Microsoft παρουσίασε τα SMB 2.02. Ωστόσο, ενδέχεται να έχετε λογισμικό και συσκευές εκτός από τα Windows στο περιβάλλον σας. Θα πρέπει να απενεργοποιήσετε και να καταργήσετε τα SMB1 εάν δεν το έχετε ήδη κάνει, επειδή εξακολουθεί να χρησιμοποιεί netBIOS. Οι νεότερες εκδόσεις του Windows Server και των Windows δεν εγκαθιστούν πλέον SMB1 από προεπιλογή και θα τα καταργούν αυτόματα, εάν επιτρέπονται.

Το τείχος προστασίας του Windows Defender πλησιάζει

Όλες οι υποστηριζόμενες εκδόσεις των Windows και του Windows Server περιλαμβάνουν το Τείχος προστασίας του Windows Defender (παλαιότερα ονομαζόταν Τείχος προστασίας των Windows). Αυτό το τείχος προστασίας παρέχει πρόσθετη προστασία για συσκευές, ειδικά όταν οι συσκευές μετακινούνται εκτός δικτύου ή όταν εκτελούνται μέσα σε ένα δίκτυο.

Το Τείχος προστασίας του Windows Defender έχει διακριτά προφίλ για συγκεκριμένους τύπους δικτύων: Τομέας, Ιδιωτικό και Επισκέπτης/Δημόσιο. Το δίκτυο επισκέπτη/δημόσιου δικτύου λαμβάνει συνήθως πολύ πιο περιοριστικές ρυθμίσεις από προεπιλογή από τα πιο αξιόπιστα δίκτυα Domain ή Private Networks. Μπορεί να βρεθείτε να έχετε διαφορετικούς περιορισμούς SMB για αυτά τα δίκτυα, ανάλογα με την αξιολόγηση απειλών και τις λειτουργικές ανάγκες σας.

Εισερχόμενες συνδέσεις σε υπολογιστή

Για προγράμματα-πελάτες των Windows και διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB, μπορείτε να αποκλείσετε όλη την εισερχόμενη κυκλοφορία SMB χρησιμοποιώντας το Τείχος προστασίας του Windows Defender για να αποτρέψετε τις απομακρυσμένες συνδέσεις από κακόβουλες ή παραβιασμένους συσκευές. Στο Τείχος προστασίας του Windows Defender, αυτό περιλαμβάνει τους παρακάτω κανόνες εισερχομένων.

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να παρακάμψετε τυχόν άλλους κανόνες του τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για προγράμματα-πελάτες των Windows ή διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB:

• Όνομα:Αποκλεισμός όλων των εισερχόμενων SMB 445

• Περιγραφή:Αποκλείει όλη την εισερχόμενη κυκλοφορία SMB TCP 445. Δεν εφαρμόζεται σε ελεγκτές τομέα ή υπολογιστές που φιλοξενούν κοινόχρηστα στοιχεία SMB.

• Ενέργεια:Αποκλεισμός της σύνδεσης

• Προγράμματα:Όλα

• Απομακρυσμένοι υπολογιστές:Οποιοσδήποτε

• Τύπος πρωτοκόλλου:TCP

• Τοπική θύρα:445

• Απομακρυσμένη θύρα:Οποιαδήποτε

• Προφίλ:Όλα

• Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

• Εύρος (απομακρυσμένη διεύθυνση IP):Οποιαδήποτε

• Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Δεν πρέπει να αποκλείσετε καθολικά την κίνηση εισερχομένων SMB σε ελεγκτές τομέα ή διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης. Επίσης, θα πρέπει να περιορίζονται στα προφίλ τομέα ή ιδιωτικού τείχους προστασίας και να μην επιτρέπουν την κυκλοφορία επισκέπτη/δημόσιας κυκλοφορίας.

Σημείωση Το Τείχος προστασίας των Windows έχει αποκλείσει όλες τις εισερχόμενες επικοινωνίες SMB από προεπιλογή, από τα Windows XP SP2 και τον Windows Server 2003 SP1. Οι συσκευές Windows θα επιτρέπουν την εισερχόμενη επικοινωνία SMB μόνο εάν ένας διαχειριστής δημιουργήσει ένα κοινόχρηστο στοιχείο SMB ή αλλάξει τις προεπιλεγμένες ρυθμίσεις του τείχους προστασίας. Δεν θα πρέπει να θεωρείτε αξιόπιστη την προεπιλεγμένη εμπειρία "εκτός πλαισίου" για να εξακολουθείτε να είστε σε θέση σε συσκευές, ανεξάρτητα από το αν υπάρχει. Να επαληθεύετε και να διαχειρίζεστε ενεργά τις ρυθμίσεις και την κατάσταση που θέλετε, χρησιμοποιώντας την Πολιτική ομάδας ή άλλα εργαλεία διαχείρισης.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα "Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας" και "Τείχος προστασίας του Windows Defender" με τον Οδηγό ανάπτυξης ασφάλειας για προχωρημένους

Εξερχόμενες συνδέσεις από υπολογιστή

Τα προγράμματα-πελάτες και οι διακομιστές των Windows απαιτούν εξερχόμενες συνδέσεις SMB προκειμένου να εφαρμοστεί η πολιτική ομάδας από τους ελεγκτές τομέα και για την πρόσβαση των χρηστών και των εφαρμογών σε δεδομένα των διακομιστών αρχείων, επομένως πρέπει να απαιτείται προσοχή κατά τη δημιουργία κανόνων τείχους προστασίας για την αποτροπή κακόβουλων πλευρικών συνδέσεων ή συνδέσεων στο Internet. Από προεπιλογή, δεν υπάρχουν εξερχόμενα μπλοκ σε έναν υπολογιστή-πελάτη ή διακομιστή Windows που συνδέεται με κοινόχρηστα στοιχεία SMB, επομένως θα πρέπει να δημιουργήσετε νέους κανόνες αποκλεισμού.

Θα πρέπει επίσης να δημιουργήσετε έναν νέο κανόνα αποκλεισμού για να παρακάμψετε τυχόν άλλους κανόνες του τείχους προστασίας εισερχομένων. Χρησιμοποιήστε τις παρακάτω προτεινόμενες ρυθμίσεις για προγράμματα-πελάτες των Windows ή διακομιστές που δεν φιλοξενούν κοινόχρηστα στοιχεία SMB.

Δίκτυα επισκεπτών/δημόσιων (μη αξιόπιστων)

• Όνομα:Αποκλεισμός εξερχόμενου επισκέπτη/δημόσιου SMB 445

• Περιγραφή:Αποκλείει όλη την εξερχόμενη κυκλοφορία SMB TCP 445 όταν βρίσκεται σε ένα μη αξιόπιστο δίκτυο

• Ενέργεια:Αποκλεισμός της σύνδεσης

• Προγράμματα:Όλα

• Απομακρυσμένοι υπολογιστές:Οποιοσδήποτε

• Τύπος πρωτοκόλλου:TCP

• Τοπική θύρα:Οποιαδήποτε

• Απομακρυσμένη θύρα:445

• Προφίλ:Επισκέπτης/Δημόσιο

• Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

• Εύρος (απομακρυσμένη διεύθυνση IP):Οποιαδήποτε

• Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Σημείωση Οι χρήστες μικρών γραφείων και γραφείων οικίας ή οι χρήστες κινητών συσκευών που εργάζονται σε εταιρικά αξιόπιστα δίκτυα και, στη συνέχεια, συνδέονται στα οικιακά τους δίκτυα, θα πρέπει να είναι προσεκτικοί πριν να αποκλείσουν το δημόσιο εξερχόμενο δίκτυο. Αυτή η δυνατότητα μπορεί να αποτρέψει την πρόσβαση στις τοπικές συσκευές NAS ή σε συγκεκριμένους εκτυπωτές.

Ιδιωτικά/Domain (αξιόπιστα) δίκτυα

• Όνομα:Να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικό SMB 445

• Περιγραφή:Επιτρέπει την κυκλοφορία εξερχομένων SMB TCP 445 μόνο σε DCs και διακομιστές αρχείων όταν βρίσκεται σε ένα αξιόπιστο δίκτυο

• Ενέργεια:Επιτρέψτε τη σύνδεση, εάν είναι ασφαλής

• Customize Allow if Secure Settings: pick one of the options, set Override block rules = ON

• Προγράμματα:Όλα

• Τύπος πρωτοκόλλου:TCP

• Τοπική θύρα:Οποιαδήποτε

• Απομακρυσμένη θύρα:445

• Προφίλ:Ιδιωτικό/Τομέας

• Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

• Εύρος (Απομακρυσμένη διεύθυνση IP): <λίστα των διευθύνσεων IP του ελεγκτή τομέα και του διακομιστή αρχείων>

• Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Σημείωση Μπορείτε επίσης να χρησιμοποιήσετε τους απομακρυσμένους υπολογιστές αντί για την εμβέλεια απομακρυσμένων διευθύνσεων IP, εάν η ασφαλής σύνδεση χρησιμοποιεί έλεγχο ταυτότητας που περιλαμβάνει την ταυτότητα του υπολογιστή. Ανατρέξτε στην τεκμηρίωση του Τείχους προστασίας του Defender για περισσότερες πληροφορίες σχετικά με τις επιλογές "Να επιτρέπεται η σύνδεση εάν είναι ασφαλής" και τις επιλογές "Απομακρυσμένος υπολογιστής".

• Όνομα:Αποκλεισμός εξερχόμενου τομέα/ιδιωτικού SMB 445

• Περιγραφή:Αποκλείει την κυκλοφορία εξερχομένων SMB TCP 445. Παράκαμψη με χρήση του κανόνα "Να επιτρέπεται ο εξερχόμενος τομέας/ιδιωτικό SMB 445"

• Ενέργεια:Αποκλεισμός της σύνδεσης

• Προγράμματα:Όλα

• Απομακρυσμένοι υπολογιστές:Δ/Υ

• Τύπος πρωτοκόλλου:TCP

• Τοπική θύρα:Οποιαδήποτε

• Απομακρυσμένη θύρα:445

• Προφίλ:Ιδιωτικό/Τομέας

• Εύρος (Τοπική διεύθυνση IP):Οποιοδήποτε

• Εύρος (απομακρυσμένη διεύθυνση IP):Δ/Ι

• Edge Traversal:Αποκλεισμός διαρρεικής ακμής

Δεν πρέπει να αποκλείσετε καθολικά την κυκλοφορία SMB εξερχομένων από υπολογιστές σε ελεγκτές τομέα ή διακομιστές αρχείων. Ωστόσο, μπορείτε να περιορίσετε την πρόσβαση σε αυτά από αξιόπιστες περιοχές διευθύνσεων IP και συσκευές για να μειώσετε την επιφάνεια επίθεσης.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα "Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας" και "Τείχος προστασίας του Windows Defender" με τον Οδηγό ανάπτυξης ασφάλειας για προχωρημένους

Κανόνες σύνδεσης ασφαλείας

Πρέπει να χρησιμοποιήσετε έναν κανόνα σύνδεσης ασφαλείας για να εφαρμόσετε τις εξαιρέσεις του κανόνα εξερχόμενου τείχους προστασίας για τις ρυθμίσεις "Να επιτρέπεται η σύνδεση εάν είναι ασφαλής" και "Να επιτρέπεται στη σύνδεση η χρήση της encapsulation null". Εάν δεν ορίσετε αυτόν τον κανόνα σε όλους τους υπολογιστές που βασίζονται σε Windows και σε Windows Server, ο έλεγχος ταυτότητας θα αποτύχει και τα SMB θα αποκλείονται τα εξερχόμενα. 

Για παράδειγμα, απαιτούνται οι παρακάτω ρυθμίσεις:

• Τύπος κανόνα:Απομόνωση

• Απαιτήσεις:Αίτηση ελέγχου ταυτότητας για εισερχόμενες και εξερχόμενες συνδέσεις

• Μέθοδος ελέγχουταυτότητας: Υπολογιστής και χρήστης (Kerberos V5)

• Προφίλ:Τομέας, Ιδιωτικό, Δημόσιο

• Όνομα:Έλεγχος ταυτότητας απομόνωσης ESP για παρακάμψεις SMB

Για περισσότερες πληροφορίες σχετικά με τους κανόνες σύνδεσης ασφαλείας, ανατρέξτε στα ακόλουθα άρθρα:

• Σχεδίαση τείχους προστασίας του Windows Defender με προηγμένη στρατηγική ασφαλείας

• Λίστα ελέγχου: Ρύθμιση παραμέτρων κανόνων για μια απομονωμένη ζώνη διακομιστήhttps://docs.microsoft.com/windows/security/threat-protection/windows-firewall/checklist-configuring-rules-for-an-isolated-server-zone

Σταθμός εργασίας των Windows και υπηρεσία διακομιστή

Για καταναλωτικά ή ιδιαίτερα απομονωμένους, διαχειριζόμενους υπολογιστές που δεν απαιτούν καθόλου SMB, μπορείτε να απενεργοποιήσετε το διακομιστή ή τις υπηρεσίες σταθμού εργασίας. Μπορείτε να το κάνετε αυτό με μη αυτόματο τρόπο, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα "Υπηρεσίες" (Services.msc) και το cmdlet Set-Service του PowerShell ή χρησιμοποιώντας προτιμήσεις πολιτικής ομάδας. Όταν διακόπτετε και απενεργοποιείτε αυτές τις υπηρεσίες, τα SMB δεν μπορούν πλέον να κάνουν εξερχόμενες συνδέσεις ή να λαμβάνουν εισερχόμενες συνδέσεις.

Δεν πρέπει να απενεργοποιήσετε την υπηρεσία διακομιστή σε ελεγκτές τομέων ή σε διακομιστές αρχείων, αλλιώς κανένα πρόγραμμα-πελάτης δεν θα μπορεί πλέον να εφαρμόσει πολιτική ομάδας ή να συνδεθεί με τα δεδομένα του. Δεν πρέπει να απενεργοποιήσετε την υπηρεσία σταθμού εργασίας σε υπολογιστές που είναι μέλη ενός τομέα της υπηρεσίας καταλόγου Active Directory, καθώς δεν θα εφαρμόζουν πλέον πολιτική ομάδας.