Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Yhteenveto

Server Message Block (SMB) on verkon tiedostojen jakaminen ja data fabric protocol. SMB:tä käytetään miljoonilla laitteilla erilaisissa käyttöjärjestelmissä, kuten Windowsissa, MacOS:ssä, iOS:ssä, Linuxissa ja Androidissa. Asiakkaat käyttävät palvelinten tietoja SMB:n avulla. Tämä mahdollistaa tiedostojen jakamisen, keskitetyn tietojen hallinnan ja mobiililaitteiden pienemmän tallennuskapasiteetin tarpeen. Palvelimet käyttävät myös SMB:tä osana ohjelmiston määrittämää palvelinkeskusta työkuormille, kuten klusterointiin ja replikointiin.

Koska SMB on etätiedostojärjestelmä, se edellyttää suojausta hyökkäyksiltä, joissa Windows-tietokonetta voidaan huijata ottamaan yhteyttä vahingollisen palvelimen kanssa, joka on käynnissä luotetussa verkossa tai verkon edustan ulkopuolella olevalle etäpalvelimelle. Palomuurin parhaat käytännöt ja määritykset voivat parantaa suojausta ja estää haitallista liikennettä poistumasta tietokoneesta tai sen verkosta.

Muutosten vaikutukset

SMB:n yhteyksien estäminen voi estää eri sovellusten tai palveluiden toiminnan. Luettelo Windows- ja Windows Server -sovelluksista ja -palveluista, jotka saattavat lakata toimimasta tässä tilanteessa, on kohdassa Palvelun yleiskatsaus ja verkon porttivaatimukset Windowsille

Lisätietoja

Etevien palomuuri lähestyy

Verkon reunaan sijoitettujen etevien laitteiden ja laitteiden palomuurien tulisi estää pyytämättä lähetetty tietoliikenne (Internetistä) ja lähtevä liikenne (Internetiin) seuraaviin portteihin.
 

Sovellusprotokolla

Protokolla

Portti

SMB

TCP

445

NetTARKKUUDENS-nimien ratkaisu

UDP

137

NetBIOS Datagram Service

UDP

138

NetBIOS-istuntopalvelu

TCP

139


On epätodennäköistä, että Internetistä peräisin oleva tai Internetiin tarkoitettu SMB-viestintä on oikeutettua. Ensisijainen tapaus voi olla pilvipohjainen palvelin tai palvelu, kuten Azure-tiedostot. Sinun kannattaa luoda IP-osoitteisiin perustuvia rajoituksia edustan palomuuriin, jotta voit sallia vain kyseiset päätepisteet. Organisaatiot voivat sallia portin 445 pääsyn tiettyyn Azure Datacenteriin ja O365:n IP-arvoalueisiin, jotta yhdistelmäskenaariot, joissa paikallinen asiakas (yrityksen palomuurin takana) käyttää SMB-porttia Azure-tiedostojen tallennukseen. Salli myös vain SMB 3.x-liikenne ja vaatii SMB AES-128 -salauksen. Lisätietoja onViittaukset-osassa.

Huomautus NetPÄIVITYSS-ohjelman käyttö SMB-liikenteelle päättyi Windows Vistassa, Windows Server 2008:ssa ja kaikissa mykeissä Microsoft-käyttöjärjestelmissä, kun Microsoft esitteli SMB 2.02:n. Ympäristössäsi voi kuitenkin olla muita ohjelmistoja ja laitteita kuin Windows. Poista SMB1 käytöstä ja poista se, jos et ole vielä tehnyt niin, koska se käyttää edelleen NetMBIS-sovellusta. Uudemmat Windows Server- ja Windows-versiot eivät enää asenna SMB1:tä oletusarvoisesti, ja se poistetaan automaattisesti, jos se sallitaan.

Windows Defenderin palomuuri lähestyy

Kaikki tuetut Windows- ja Windows Server -versiot sisältävät Windows Defenderin palomuurin (jonka nimi oli aiemmin Windowsin palomuuri). Tämä palomuuri tarjoaa lisäsuojauksen laitteille, erityisesti silloin, kun laitteet liikkuvat verkon ulkopuolelle tai kun ne suoritetaan yhdessä.

Windows Defenderin palomuurissa on erilliset profiilit tietyntyyppisille verkoille: Toimialue, Yksityinen ja Vieras/Julkinen. Vieras-/julkinen verkko saa yleensä paljon rajoittavampia asetuksia oletusarvoisesti kuin luotettavammat toimialue- tai yksityiset verkostot. Saatat joutua rajoittamaan näitä verkkoja erilaisilla SMB-rajoituksilla uhkien arvioinnin ja toiminnallisten tarpeiden perusteella.

Saapuvat yhteydet tietokoneeseen

Windows-asiakasohjelmat ja -palvelimet, jotka eivät isännöi SMB:n jakamia, voit estää kaiken saapuvan SMB-liikenteen Windows Defenderin palomuurin avulla ja estää etäyhteydet haitallisilta tai vaarannetuilta laitteilta. Windows Defenderin palomuurissa tämä sisältää seuraavat saapuvan liikenteen säännöt.

Nimi

Profiili

Käytössä

Tiedostojen ja tulostimien jakaminen (SMB-in)

Kaikki

Ei

University University (NP-In)

Kaikki

Ei

Etätapahtumalokin hallinta (NP-in)

Kaikki

Ei

Etäpalvelun hallinta (NP-in)

Kaikki

Ei


Sinun kannattaa myös luoda uusi estosääntö muiden saapuvien palomuurien sääntöjen ohittamista ja korvaamista. Käytä seuraavia ehdotettuja asetuksia windows-asiakasasiakkaille tai palvelimille, jotka eivät isännöi SMB-jakamia tietoja:

  • Nimi: Estä kaikki saapuvat SMB 445

  • Kuvaus:Estää kaiken saapuvan SMB TCP 445 -liikenteen. Ei sovelleta toimialueen ohjauskoneisiin tai tietokoneisiin, jotka isännöidä SMB:n jakamia.

  • Toiminto:Yhteyden estäminen

  • Ohjelmat:Kaikki

  • Etätietokoneet:Mikä tahansa

  • Protokollan tyyppi:TCP

  • Paikallinen portti: 445

  • Etäportti:Mikä tahansa

  • Profiilit:Kaikki

  • Laajuus (paikallinen IP-osoite):mikä tahansa

  • Laajuus (etä-IP-osoite): Mikä tahansa

  • Edgen traversaali:lohkoreunan traversaali

Saapuvaa SMB-liikennettä toimialueen ohjauskoneeseen tai tiedostopalvelimiin ei saa estää maailmanlaajuisesti. Voit kuitenkin rajoittaa pääsyä niihin luotetusta IP-alueista ja laitteista hyökkäyspinta-alansa pieneneminen. Ne tulisi myös rajoittaa toimialue- tai yksityisen palomuurin profiileihin eikä sallia vieras- tai julkista liikennettä.

Huomautus Windowsin palomuuri on oletusarvoisesti estänyt kaikki saapuvat SMB-yhteydet Windows XP SP2:n ja Windows Server 2003 SP1:n jälkeen. Windows-laitteet sallivat saapuvan SMB-viestinnän vain, jos järjestelmänvalvoja luo SMB-jakamisen tai muuttaa palomuurin oletusasetuksia. Älä luota oletusarvoisen käyttökokemuksen käyttöön laitteissa riippumatta. Vahvista asetukset ja niiden haluttu tila aina ja hallitse sitä aktiivisesti ryhmäkäytännön tai muiden hallintatyökalujen avulla.

Lisätietoja on ohjeaiheessa Windows Defenderin palomuurin suunnitteleminen laajennetun suojauksen strategialla ja Windows Defenderin palomuurin laajennetun suojauksen käyttöönoton oppaalla

Lähtevät yhteydet tietokoneesta

Windows-asiakasohjelmat ja -palvelimet edellyttävät lähteviä SMB-yhteyksiä, jotta ryhmäkäytäntöä voidaan soveltaa toimialueen ohjauskoneilta ja jotta käyttäjät ja sovellukset voivat käyttää tiedostopalvelimien tietoja, joten palomuurisääntöjä luotaessa on varmistettava, että haitallisia sivu- tai Internet-yhteyksiä estetään. Windows-asiakasohjelmassa tai -palvelimessa, joka muodostaa yhteyden SMB-jakamaan, ei oletusarvoisesti ole lähteviä lohkoja, joten sinun on luotava uusia estosääntöjä.

Sinun kannattaa myös luoda uusi estosääntö muiden saapuvien palomuurisääntöjen ohittamista ja korvaamista. Käytä seuraavia ehdotettuja asetuksia windows-asiakasasiakkaille tai palvelimille, jotka eivät isännöi SMB-jakamia tietoja.

Vierasverkot ja julkiset (ei-luotettavat) verkostot

  • Nimi: Estä lähtevä vieras/julkinen SMB 445

  • Kuvaus:Estää kaiken lähtevän SMB TCP 445 -liikenteen, kun käytössä on ei-luotettu verkko

  • Toiminto:Yhteyden estäminen

  • Ohjelmat:Kaikki

  • Etätietokoneet:Mikä tahansa

  • Protokollan tyyppi:TCP

  • Paikallinen portti:Mikä tahansa

  • Etäportti:445

  • Profiilit:Vieras/Julkinen

  • Laajuus (paikallinen IP-osoite):mikä tahansa

  • Laajuus (etä-IP-osoite): Mikä tahansa

  • Edge Traversal:Block edge traversal

Huomautus Pientoimiston ja kotitoimiston käyttäjien tai yrityksen luotetusta verkostosta muodostetuissa matkapuhelinkäyttäjissä kannattaa olla varovainen, ennen kuin he estävät julkisen lähtevän verkon. Tämä saattaa estää paikallisen NAS-laitteen tai tiettyjen tulostimien käytön.

Yksityiset/toimialueet (luotetut) verkot

  • Nimi: Salli lähtevä toimialue /yksityinen SMB 445

  • Kuvaus:Sallii lähtevän SMB TCP 445 -liikenteen vain DCs- ja tiedostopalvelimiin, kun käytössä on luotettu verkko

  • Toiminto:Salli yhteys, jos se on suojattu

  • Mukauta Salli, jos turvallisetasetukset : valitse jokin vaihtoehdoista, määritä Ohita estosäännöt = KÄYTÖSSÄ

  • Ohjelmat:Kaikki

  • Protokollan tyyppi:TCP

  • Paikallinen portti:Mikä tahansa

  • Etäportti:445

  • Profiilit:Yksityinen/toimialue

  • Laajuus (paikallinen IP-osoite): Mikä tahansa

  • Laajuus (etä-IP-osoite):<toimialueen ohjauskoneen ja tiedostopalvelimen IP-osoitteiden>

  • Edgen traversaali:lohkoreunan traversaali

Huomautus Etätietokoneita voi käyttää myös etä-IP-etäosoitteiden asemesta, jos suojattu yhteys käyttää todennusta, joka sisältää tietokoneen käyttäjätiedot. Katso Defenderin palomuurin ohjeista lisätietoja "Salli yhteys, jos on suojattu" -ohjeista ja etätietokoneen asetuksista.

  • Nimi: Estä lähtevä toimialue /yksityinen SMB 445

  • Kuvaus:Estää lähtevän SMB TCP 445 -liikenteen. Ohita käyttämällä Salli lähtevä toimialue /Yksityinen SMB 445 -sääntöä

  • Toiminto:Yhteyden estäminen

  • Ohjelmat:Kaikki

  • Etätietokoneet:

  • Protokollan tyyppi:TCP

  • Paikallinen portti:Mikä tahansa

  • Etäportti: 445

  • Profiilit:Yksityinen/toimialue

  • Laajuus (paikallinen IP-osoite):mikä tahansa

  • Laajuus (etä-IP-osoite):

  • Edge Traversal:Block edge traversal

Et saa estää SMB-liikennettä tietokoneista toimialueen ohjauskoneisiin tai tiedostopalvelimiin. Voit kuitenkin rajoittaa pääsyä niihin luotetusta IP-alueista ja laitteista hyökkäyspinta-alansa pieneneminen.

Lisätietoja on ohjeaiheessa Windows Defenderin palomuurin suunnitteleminen laajennetun suojauksen strategialla ja Windows Defenderin palomuurin laajennetun suojauksen käyttöönoton oppaalla

Suojausyhteyssäännöt

Sinun on käytettävä suojausyhteyssääntöä lähtevien palomuurien säännön poikkeusten toteuttamiseksi Salli yhteys, jos se on suojattu- ja Salli yhteyden käyttö tyhjäarvo-yhteydellä -asetuksissa. Jos et määritä tätä sääntöä kaikkiin Windows- ja Windows Server -pohjaisiin tietokoneisiin, todennus epäonnistuu ja SMB estetään lähtevän liikenteen. 

Esimerkiksi seuraavat asetukset ovat pakollisia:

  • Säännön tyyppi:Eristys

  • Vaatimukset:Saapuvien ja lähtevien yhteyksien todennuspyynnön pyytäminen

  • Todennusmenetelmä:Tietokone ja käyttäjä (Kerberos V5)

  • Profiili:Toimialue, Yksityinen, Julkinen

  • Nimi:Eristys-ESP-todennus SMB-ohituksia varten

Lisätietoja suojausyhteyssäännöistä on seuraavissa artikkeleissa:

Windows Workstation and Server Service

Voit poistaa palvelin- tai työasemapalvelut käytöstä kuluttajan tai erittäin eristetyissä hallituissa tietokoneissa, jotka eivät vaadi SMB:tä lainkaan. Voit tehdä tämän manuaalisesti Käyttämällä Palvelut-laajennusta (Services.msc) ja PowerShell Set-Service -cmdlet-komentoa tai käyttämällä ryhmäkäytäntöasetuksia. Kun pysäytät ja poistat käytöstä nämä palvelut, SMB ei voi enää tehdä lähteviä yhteyksiä tai vastaanottaa saapuvia yhteyksiä.

Et saa poistaa palvelinpalvelua käytöstä toimialueen ohjauskoneissa tai tiedostopalvelimissa, tai asiakasohjelmat eivät enää voi käyttää ryhmäkäytäntöä tai muodostaa yhteyttä tietoihinsa. Älä poista työasemapalvelua käytöstä tietokoneissa, jotka ovat Active Directory -toimialueen jäseniä, tai he eivät enää käytä ryhmäkäytäntöä.

Lisätietoja

Windows Defenderin palomuurin suunnittelu kehittyneen suojausstrategian avulla
Windows Defenderin palomuuri ja laajennetun suojauksen käyttöönoton opas
Azure-etäsovellukset
Azure-palvelinkeskuksen IP-osoitteet
Microsoft O365:n IP-osoitteet

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×