Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

Server Message Block (SMB) on võrgu faili ühiskasutus ja andmete struktuuri protokoll. SMB kasutab miljardeid seadmeid mitmesugustes operatsioonisüsteemides (sh Windows, MacOS, iOS, Linux ja Android). Kliendid kasutavad SMB juurdepääsuks andmetele serverites. See võimaldab failide ühiskasutust, tsentraliseeritud andmete haldamist ja mobiilsideseadmete mälumahu vähendamist. Serverid kasutavad ka SMB osana tarkvara määratletud andmekeskuse töökoormuste (nt rühmitamine ja replikatsioon) osana.

Kuna SMB on serveri failisüsteem, nõuab see kaitset rünnakute eest, mille korral Windowsi arvutil on võimalik võtta ühendust pahatahtliku serveriga, mis töötab usaldusväärse võrgu sees või serverile väljaspool võrgu piire. Tulemüüri head tavad ja konfiguratsioonid võivad parandada turvalisust ja takistada pahatahtlikku liiklust arvutist või võrgust lahkumata.

Muudatuste mõju

Ühenduvuse blokeerimine SMB-s võib takistada erinevate rakenduste või teenuste toimimist. Windowsi ja Windows Serveri rakenduste ja teenuste loendi korral, mis võivad selles olukorras lakata töötamast, lugege teemat teenuse ülevaade ja võrgu pordi nõuded Windowsi jaoks

Lisateave

Perimeetri tulemüüri lähenemisviisid

Perimeeter riistvara ja seadmete tulemüürid, mis paiknevad võrgu servas, peaksid blokeerima soovimatu suhtluse (internetist) ja väljamineva liikluse (Internetti) järgmistele portidele.
 

Rakenduse protokoll

Protocol

Port

SMB

TCP

445

NetBIOS-nime eraldusvõime

UDP

137

NetBIOS-i datagrammi teenus

UDP

138

NetBIOS-i seansi teenus

TCP

139


On ebatõenäoline, et mis tahes SMB teatis, mis on pärit Internetist või on mõeldud Interneti-ühenduse jaoks, on õiguspärane. Esmane juhtum võib olla pilvepõhise serveri või teenuse (nt Azure ' i failide) korral. Saate luua oma perimeetri tulemüüri IP-aadresside põhiseid piiranguid, et lubada ainult neid konkreetseid lõpp-punkte. Organisatsioonid saavad lubada porti 445 juurdepääsu konkreetsetele Azure ' i Datacenterle ja O365 IP-vahemikele, et lubada hübriidide stsenaariume, mille korral kohapealsed kliendid (ettevõtte tulemüüri taga) kasutavad Azure ' i talletamiseks SMB-porti. Peaksite lubama ka ainult SMB 3.x -liiklus ja NÕUA SMB AES-128 krüptimist. Lisateavet leiate jaotisest "Viited".

Märkus. Windows Vista, Windows Server 2008 ja kõik hilisemad Microsofti opsüsteemid, kui Microsoft tutvustas SMB 2,02, kasutas Windows Vista, Windows Server NetBIOS-i transpordi NetBIOS-i Kuid teie keskkonnas võib olla ka tarkvara ja muid seadmeid peale Windowsi. Kui te pole seda veel teinud, siis peaksite SMB1 keelama ja eemaldama, kuna see kasutab endiselt NetBIOS-i. Uuemates versioonides Windows Server ja Windows ei installi SMB1 enam vaikimisi ja see eemaldatakse automaatselt, kui see on lubatud.

Windows Defenderi tulemüüri lähenemisviisid

Kõik toetatud Windowsi versioonid ja Windows Server sisaldavad Windowsi Defenderi tulemüüri (varem Windowsi tulemüüri nime). See tulemüür pakub seadmete jaoks täiendavat kaitset, eriti juhul, kui seadmed teisaldatakse võrgust väljapoole või kui nad töötavad ühe kasutaja juures.

Windows Defenderi tulemüüril on teatud tüüpi võrkude jaoks erinevad profiilid: Domeen, Privaatne ning külaline/avalik. Guest/Public Network saab tavaliselt palju piiravaid sätteid vaikimisi kui usaldusväärsed domeenid või privaatsed võrgud. Te võite leida endale, kellel on erinevad SMB piirangud nende võrgustike põhjal vastavalt teie ohu hindamisele ja operatiivsetele vajadustele.

Sissetulevaid ühendusi arvutiga

Windowsi klientidele ja serveritele, mis ei majuta SMB-aktsiaid, saate blokeerida kogu sissetuleva SMB liikluse, kasutades Windows Defenderi tulemüüri, takistamaks kaugühenduste või ohustatud seadmete ühendusi. Windows Defenderi tulemüür sisaldab järgmisi sissetulevaid reegleid.

Nimi

Profiili

Lubatud

Failid ja printeri ühiskasutus (SMB-sees)

Kõik

Ei

Teenus Netlogon (NP-in)

Kõik

Ei

Remote sündmustelogi haldus (NP-in)

Kõik

Ei

Remote Service Management (NP-in)

Kõik

Ei


Muude sissetuleva tulemüüri reeglite alistamiseks tuleks luua ka uus blokeerimise reegel. Kasutage järgmisi soovitatavaid sätteid Windowsi klientidele või serveritele, mis ei majuta SMB aktsiaid.

  • Nimi: Blokeeri kõik sissetuleva meili SMB 445

  • Kirjeldus: blokeerib kõik sissetuleva SMB TCP 445 liiklust. Ei kohaldata domeenikontrollerid või arvutites, mis majutavad SMB aktsiaid.

  • Toiming: blokeerige ühendust

  • Programmid: kõik

  • Kaugarvutitega: kõik

  • Protokolli tüüp: TCP

  • Kohalik port: 445

  • Kaug-Port: kõik

  • Profiilid: kõik

  • Ulatus (kohalik IP-aadress): kõik

  • Ulatus (Kaug-IP-aadress): kõik

  • Edge liiklevad: ploki serva läbikäik

Te ei tohi globaalselt blokeerida sissetulevat SMB liiklust domeenikontrollerid või failiserveri. Kuid saate neile juurdepääsu piirata usaldusväärsete IP-vahemike ja seadmete kaudu, et vähendada nende rünnaku pinda. Samuti tuleks need piirata domeeni või privaatse tulemüüri profiilidega ega lubada külalistel/avalikul liiklusel.

Märkus. Windowsi tulemüür on blokeerinud kogu sissetuleva SMB-side vaikimisi alates Windows XP SP2 ja Windows Server 2003 SP1. Windowsi seadmed lubavad sissetulevat SMB-suhtlust ainult siis, kui administraator loob SMB ühiskasutuse või muudab tulemüüri vaikesätteid. Te ei tohiks usaldada vaike-välist kogemust seadmetes, sõltumata nende asukohast. Kontrollige ja hallake alati sätteid ning nende soovitud olekut rühmapoliitika või muude tööriistade abil.

Lisateavet leiate teemast Windows Defenderi täiustatud turbega tulemüüri kujundamine ja täiustatud turbe juurutamise juhendiga Windows Defenderi tulemüür

Väljaminevad ühendused arvutist

Windowsi kliendid ja serverid nõuavad väljaminevaid SMB ühendusi, et rakendada rühmapoliitika domeenikontrollerite ja kasutajate ja rakenduste jaoks, et pääseda juurde failidele mõeldud andmetele, seega tuleb tulemüüri reeglite loomisel vältida pahatahtlikke külg-või Interneti-ühendusi. Vaikimisi pole ühtegi väljaminevat plokki Windowsi kliendi või serveri jaoks, mis loob ühenduse SMB aktsiatega, nii et peate looma uued blokeerimise reeglid.

Muude sissetuleva tulemüüri reeglite alistamiseks tuleks luua ka uus blokeerimise reegel. Kasutage järgmisi soovitatavaid sätteid Windowsi klientidele või serveritele, mis ei majuta SMB-aktsiaid.

Külaline/avalik (ebausaldusväärne) võrgud

  • Nimi: väljamineva külastaja/avaliku SMB 445 blokeerimine

  • Kirjeldus: blokeerib kõik VÄLJAMINEVA SMB TCP 445 liiklust ebausaldusväärses võrgus

  • Toiming: blokeerige ühendust

  • Programmid: kõik

  • Kaugarvutitega: kõik

  • Protokolli tüüp: TCP

  • Kohalik port: kõik

  • Kaug-Port: 445

  • Profiilid: külaline/avalik

  • Ulatus (kohalik IP-aadress): kõik

  • Ulatus (Kaug-IP-aadress): kõik

  • Edge liiklevad: ploki serva läbikäik

Märkus. Väikesed Office ' i ja Office ' i kasutajad või mobiilside kasutajad, kes töötavad ettevõtte Usaldusväärsetes võrkudes, ja seejärel ühendada oma koduvõrguga, peavad olema ettevaatlikud enne üldkasutatava väljamineva võrgu blokeerimist. Selle tegemine võib takistada juurdepääsu oma kohalikele NAS-seadmetele või teatud printeritele.

Era-/domeeni (usaldusväärsed) võrgud

  • Nimi: luba väljamineva domeeni/Private SMB 445

  • Kirjeldus: lubab VÄLJAMINEVA MEILI SMB TCP 445 liiklust ainult DCS ja faili serverid usaldusväärse võrgu kaudu

  • Toiming: Lubage ühendust, kui see on turvaline

  • Kohanda luba, kui turvalised sätted: Valige mõni järgmistest suvanditest, määrake alistamise keelamise reeglid = sees

  • Programmid: kõik

  • Protokolli tüüp: TCP

  • Kohalik port: kõik

  • Kaug-Port: 445

  • Profiilid: privaatne/Domeen

  • Ulatus (kohalik IP-aadress): kõik

  • Ulatus (Kaug-IP-aadress): <DOMEENIKONTROLLERIGA ja failiserveri IP-aadresside loend>

  • Edge liiklevad: ploki serva läbikäik

Märkus. Kui turvatud ühendust kasutab autentimine, mis viib arvuti identiteedini, saate kasutada ka serveri arvuteid ka ulatuse IP-aadresside asemel. Vaadake üle Defenderi tulemüüri dokumentatsioonist Lisateavet "lubage ühendust, kui see on turvaline" ja kaugarvuti suvandeid.

  • Nimi: väljamineva domeeni blokeerimine/privaatne SMB 445

  • Kirjeldus: BLOKEERIB VÄLJAMINEVA SMB TCP 445 liiklust. Alistamine reegli "luba väljamineva domeeni/Private SMB 445" abil

  • Toiming: blokeerige ühendust

  • Programmid: kõik

  • Kaugarvutitega: N/A

  • Protokolli tüüp: TCP

  • Kohalik port: kõik

  • Kaug-Port: 445

  • Profiilid: privaatne/Domeen

  • Ulatus (kohalik IP-aadress): kõik

  • Ulatus (Kaug-IP-aadress): N/A

  • Edge liiklevad: ploki serva läbikäik

Te ei tohi globaalselt blokeerida väljaminevat SMB liiklust arvutitest domeenikontrollerid või failiserveri. Kuid saate neile juurdepääsu piirata usaldusväärsete IP-vahemike ja seadmete kaudu, et vähendada nende rünnaku pinda.

Lisateavet leiate teemast Windows Defenderi täiustatud turbega tulemüüri kujundamine ja täiustatud turbe juurutamise juhendiga Windows Defenderi tulemüür

Turbe ühenduste reeglid

Peate kasutama turbega seotud reeglit, et rakendada väljamineva tulemüüri reegli erandid "lubage ühendust, kui see on turvaline" ja "lubage ühenduses kasutada nullväärtusega kapseldatud" sätteid. Kui te ei määra seda reeglit kõigi Windowsi-põhiste ja Windows Serveri põhiste arvutite jaoks, siis autentimine nurjub ja SMB blokeeritakse väljaminevaks. 

Näiteks on nõutavad järgmised sätted.

  • Reegli tüüp: isoleerimine

  • Nõuded: sissetulevate ja väljaminevate ühenduste autentimise taotlemine

  • Autentimise meetod: arvuti ja kasutaja (Kerberose v5)

  • Profiil: Domeen, Privaatne, avalik

  • Nimi: eraldamine ESP autentimine SMB alistab

Lisateavet turbega seotud sätete kohta leiate järgmistest artiklitest.

Windowsi tööjaama ja serveri teenus

Tarbija või väga isoleeritud hallatavates arvutites, mis ei nõua SMB üldse, saate keelata serveri või tööjaama teenused. Seda saate teha käsitsi, kasutades funktsiooni "teenused" lisandmoodulit (Services. msc) ja PowerShelli Set-teenuse cmdlet- käsku või rühmapoliitika eelistuste abil. Kui peatate ja keelate need teenused, ei saa SMB enam väljaminevaid ühendusi teha ega sissetulevaid ühendusi vastu võtta.

Te ei tohi keelata serveri teenust domeenikontrollerid või failiserveri või ükski klient ei saa rakendada rühmapoliitika või nende andmetega enam ühendust luua. Te ei tohi keelata tööjaama teenust arvutites, mis on Active Directory domeeni liikmed, või nad ei rakenda enam rühmapoliitika sätteid.

Viited

Täiustatud turbe strateegiaga Windows Defenderi tulemüüri kujundamine
Windows Defender Firewall täiustatud turbe juurutamise juhendiga
Azure Remote apps
Azure ' i ANDMEKESKUSE IP-aadressid
Microsofti O365 IP-aadressid

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×