Yhteenveto
Server Message Block (SMB) on verkon tiedostojen jakaminen ja data fabric protocol. SMB:tä käytetään miljoonilla laitteilla erilaisissa käyttöjärjestelmissä, kuten Windowsissa, MacOS:ssä, iOS:ssä, Linuxissa ja Androidissa. Asiakkaat käyttävät palvelinten tietoja SMB:n avulla. Tämä mahdollistaa tiedostojen jakamisen, keskitetyn tietojen hallinnan ja mobiililaitteiden pienemmän tallennuskapasiteetin tarpeen. Palvelimet käyttävät myös SMB:tä osana ohjelmiston määrittämää palvelinkeskusta työkuormille, kuten klusterointiin ja replikointiin.
Koska SMB on etätiedostojärjestelmä, se edellyttää suojausta hyökkäyksiltä, joissa Windows-tietokonetta voidaan huijata ottamaan yhteyttä vahingollisen palvelimen kanssa, joka on käynnissä luotetussa verkossa tai verkon edustan ulkopuolella olevalle etäpalvelimelle. Palomuurin parhaat käytännöt ja määritykset voivat parantaa suojausta ja estää haitallista liikennettä poistumasta tietokoneesta tai sen verkosta.
Muutosten vaikutukset
SMB:n yhteyksien estäminen voi estää eri sovellusten tai palveluiden toiminnan. Luettelo Windows- ja Windows Server -sovelluksista ja -palveluista, jotka saattavat lakata toimimasta tässä tilanteessa, on kohdassa Palvelun yleiskatsaus ja verkon porttivaatimukset Windowsille
Lisätietoja
Etevien palomuuri lähestyy
Verkon reunaan sijoitettujen etevien laitteiden ja laitteiden palomuurien tulisi estää pyytämättä lähetetty tietoliikenne (Internetistä) ja lähtevä liikenne (Internetiin) seuraaviin portteihin.
Sovellusprotokolla |
Protokolla |
Portti |
SMB |
TCP |
445 |
NetTARKKUUDENS-nimien ratkaisu |
UDP |
137 |
NetBIOS Datagram Service |
UDP |
138 |
NetBIOS-istuntopalvelu |
TCP |
139 |
On epätodennäköistä, että Internetistä peräisin oleva tai Internetiin tarkoitettu SMB-viestintä on oikeutettua. Ensisijainen tapaus voi olla pilvipohjainen palvelin tai palvelu, kuten Azure-tiedostot. Sinun kannattaa luoda IP-osoitteisiin perustuvia rajoituksia edustan palomuuriin, jotta voit sallia vain kyseiset päätepisteet. Organisaatiot voivat sallia portin 445 pääsyn tiettyyn Azure Datacenteriin ja O365:n IP-arvoalueisiin, jotta yhdistelmäskenaariot, joissa paikallinen asiakas (yrityksen palomuurin takana) käyttää SMB-porttia Azure-tiedostojen tallennukseen. Salli myös vain SMB 3.x-liikenne ja vaatii SMB AES-128 -salauksen. Lisätietoja onViittaukset-osassa.
Huomautus NetPÄIVITYSS-ohjelman käyttö SMB-liikenteelle päättyi Windows Vistassa, Windows Server 2008:ssa ja kaikissa mykeissä Microsoft-käyttöjärjestelmissä, kun Microsoft esitteli SMB 2.02:n. Ympäristössäsi voi kuitenkin olla muita ohjelmistoja ja laitteita kuin Windows. Poista SMB1 käytöstä ja poista se, jos et ole vielä tehnyt niin, koska se käyttää edelleen NetMBIS-sovellusta. Uudemmat Windows Server- ja Windows-versiot eivät enää asenna SMB1:tä oletusarvoisesti, ja se poistetaan automaattisesti, jos se sallitaan.
Windows Defenderin palomuuri lähestyy
Kaikki tuetut Windows- ja Windows Server -versiot sisältävät Windows Defenderin palomuurin (jonka nimi oli aiemmin Windowsin palomuuri). Tämä palomuuri tarjoaa lisäsuojauksen laitteille, erityisesti silloin, kun laitteet liikkuvat verkon ulkopuolelle tai kun ne suoritetaan yhdessä.
Windows Defenderin palomuurissa on erilliset profiilit tietyntyyppisille verkoille: Toimialue, Yksityinen ja Vieras/Julkinen. Vieras-/julkinen verkko saa yleensä paljon rajoittavampia asetuksia oletusarvoisesti kuin luotettavammat toimialue- tai yksityiset verkostot. Saatat joutua rajoittamaan näitä verkkoja erilaisilla SMB-rajoituksilla uhkien arvioinnin ja toiminnallisten tarpeiden perusteella.
Saapuvat yhteydet tietokoneeseen
Windows-asiakasohjelmat ja -palvelimet, jotka eivät isännöi SMB:n jakamia, voit estää kaiken saapuvan SMB-liikenteen Windows Defenderin palomuurin avulla ja estää etäyhteydet haitallisilta tai vaarannetuilta laitteilta. Windows Defenderin palomuurissa tämä sisältää seuraavat saapuvan liikenteen säännöt.
Nimi |
Profiili |
Käytössä |
Tiedostojen ja tulostimien jakaminen (SMB-in) |
Kaikki |
Ei |
University University (NP-In) |
Kaikki |
Ei |
Etätapahtumalokin hallinta (NP-in) |
Kaikki |
Ei |
Etäpalvelun hallinta (NP-in) |
Kaikki |
Ei |
Sinun kannattaa myös luoda uusi estosääntö muiden saapuvien palomuurien sääntöjen ohittamista ja korvaamista. Käytä seuraavia ehdotettuja asetuksia windows-asiakasasiakkaille tai palvelimille, jotka eivät isännöi SMB-jakamia tietoja:
-
Nimi: Estä kaikki saapuvat SMB 445
-
Kuvaus:Estää kaiken saapuvan SMB TCP 445 -liikenteen. Ei sovelleta toimialueen ohjauskoneisiin tai tietokoneisiin, jotka isännöidä SMB:n jakamia.
-
Toiminto:Yhteyden estäminen
-
Ohjelmat:Kaikki
-
Etätietokoneet:Mikä tahansa
-
Protokollan tyyppi:TCP
-
Paikallinen portti: 445
-
Etäportti:Mikä tahansa
-
Profiilit:Kaikki
-
Laajuus (paikallinen IP-osoite):mikä tahansa
-
Laajuus (etä-IP-osoite): Mikä tahansa
-
Edgen traversaali:lohkoreunan traversaali
Saapuvaa SMB-liikennettä toimialueen ohjauskoneeseen tai tiedostopalvelimiin ei saa estää maailmanlaajuisesti. Voit kuitenkin rajoittaa pääsyä niihin luotetusta IP-alueista ja laitteista hyökkäyspinta-alansa pieneneminen. Ne tulisi myös rajoittaa toimialue- tai yksityisen palomuurin profiileihin eikä sallia vieras- tai julkista liikennettä.
Huomautus Windowsin palomuuri on oletusarvoisesti estänyt kaikki saapuvat SMB-yhteydet Windows XP SP2:n ja Windows Server 2003 SP1:n jälkeen. Windows-laitteet sallivat saapuvan SMB-viestinnän vain, jos järjestelmänvalvoja luo SMB-jakamisen tai muuttaa palomuurin oletusasetuksia. Älä luota oletusarvoisen käyttökokemuksen käyttöön laitteissa riippumatta. Vahvista asetukset ja niiden haluttu tila aina ja hallitse sitä aktiivisesti ryhmäkäytännön tai muiden hallintatyökalujen avulla.
Lisätietoja on ohjeaiheessa Windows Defenderin palomuurin suunnitteleminen laajennetun suojauksen strategialla ja Windows Defenderin palomuurin laajennetun suojauksen käyttöönoton oppaalla
Lähtevät yhteydet tietokoneesta
Windows-asiakasohjelmat ja -palvelimet edellyttävät lähteviä SMB-yhteyksiä, jotta ryhmäkäytäntöä voidaan soveltaa toimialueen ohjauskoneilta ja jotta käyttäjät ja sovellukset voivat käyttää tiedostopalvelimien tietoja, joten palomuurisääntöjä luotaessa on varmistettava, että haitallisia sivu- tai Internet-yhteyksiä estetään. Windows-asiakasohjelmassa tai -palvelimessa, joka muodostaa yhteyden SMB-jakamaan, ei oletusarvoisesti ole lähteviä lohkoja, joten sinun on luotava uusia estosääntöjä.
Sinun kannattaa myös luoda uusi estosääntö muiden saapuvien palomuurisääntöjen ohittamista ja korvaamista. Käytä seuraavia ehdotettuja asetuksia windows-asiakasasiakkaille tai palvelimille, jotka eivät isännöi SMB-jakamia tietoja.
Vierasverkot ja julkiset (ei-luotettavat) verkostot
-
Nimi: Estä lähtevä vieras/julkinen SMB 445
-
Kuvaus:Estää kaiken lähtevän SMB TCP 445 -liikenteen, kun käytössä on ei-luotettu verkko
-
Toiminto:Yhteyden estäminen
-
Ohjelmat:Kaikki
-
Etätietokoneet:Mikä tahansa
-
Protokollan tyyppi:TCP
-
Paikallinen portti:Mikä tahansa
-
Etäportti:445
-
Profiilit:Vieras/Julkinen
-
Laajuus (paikallinen IP-osoite):mikä tahansa
-
Laajuus (etä-IP-osoite): Mikä tahansa
-
Edge Traversal:Block edge traversal
Huomautus Pientoimiston ja kotitoimiston käyttäjien tai yrityksen luotetusta verkostosta muodostetuissa matkapuhelinkäyttäjissä kannattaa olla varovainen, ennen kuin he estävät julkisen lähtevän verkon. Tämä saattaa estää paikallisen NAS-laitteen tai tiettyjen tulostimien käytön.
Yksityiset/toimialueet (luotetut) verkot
-
Nimi: Salli lähtevä toimialue /yksityinen SMB 445
-
Kuvaus:Sallii lähtevän SMB TCP 445 -liikenteen vain DCs- ja tiedostopalvelimiin, kun käytössä on luotettu verkko
-
Toiminto:Salli yhteys, jos se on suojattu
-
Mukauta Salli, jos turvallisetasetukset : valitse jokin vaihtoehdoista, määritä Ohita estosäännöt = KÄYTÖSSÄ
-
Ohjelmat:Kaikki
-
Protokollan tyyppi:TCP
-
Paikallinen portti:Mikä tahansa
-
Etäportti:445
-
Profiilit:Yksityinen/toimialue
-
Laajuus (paikallinen IP-osoite): Mikä tahansa
-
Laajuus (etä-IP-osoite):<toimialueen ohjauskoneen ja tiedostopalvelimen IP-osoitteiden>
-
Edgen traversaali:lohkoreunan traversaali
Huomautus Etätietokoneita voi käyttää myös etä-IP-etäosoitteiden asemesta, jos suojattu yhteys käyttää todennusta, joka sisältää tietokoneen käyttäjätiedot. Katso Defenderin palomuurin ohjeista lisätietoja "Salli yhteys, jos on suojattu" -ohjeista ja etätietokoneen asetuksista.
-
Nimi: Estä lähtevä toimialue /yksityinen SMB 445
-
Kuvaus:Estää lähtevän SMB TCP 445 -liikenteen. Ohita käyttämällä Salli lähtevä toimialue /Yksityinen SMB 445 -sääntöä
-
Toiminto:Yhteyden estäminen
-
Ohjelmat:Kaikki
-
Etätietokoneet:–
-
Protokollan tyyppi:TCP
-
Paikallinen portti:Mikä tahansa
-
Etäportti: 445
-
Profiilit:Yksityinen/toimialue
-
Laajuus (paikallinen IP-osoite):mikä tahansa
-
Laajuus (etä-IP-osoite):–
-
Edge Traversal:Block edge traversal
Et saa estää SMB-liikennettä tietokoneista toimialueen ohjauskoneisiin tai tiedostopalvelimiin. Voit kuitenkin rajoittaa pääsyä niihin luotetusta IP-alueista ja laitteista hyökkäyspinta-alansa pieneneminen.
Lisätietoja on ohjeaiheessa Windows Defenderin palomuurin suunnitteleminen laajennetun suojauksen strategialla ja Windows Defenderin palomuurin laajennetun suojauksen käyttöönoton oppaalla
Suojausyhteyssäännöt
Sinun on käytettävä suojausyhteyssääntöä lähtevien palomuurien säännön poikkeusten toteuttamiseksi Salli yhteys, jos se on suojattu- ja Salli yhteyden käyttö tyhjäarvo-yhteydellä -asetuksissa. Jos et määritä tätä sääntöä kaikkiin Windows- ja Windows Server -pohjaisiin tietokoneisiin, todennus epäonnistuu ja SMB estetään lähtevän liikenteen.
Esimerkiksi seuraavat asetukset ovat pakollisia:
-
Säännön tyyppi:Eristys
-
Vaatimukset:Saapuvien ja lähtevien yhteyksien todennuspyynnön pyytäminen
-
Todennusmenetelmä:Tietokone ja käyttäjä (Kerberos V5)
-
Profiili:Toimialue, Yksityinen, Julkinen
-
Nimi:Eristys-ESP-todennus SMB-ohituksia varten
Lisätietoja suojausyhteyssäännöistä on seuraavissa artikkeleissa:
Windows Workstation and Server Service
Voit poistaa palvelin- tai työasemapalvelut käytöstä kuluttajan tai erittäin eristetyissä hallituissa tietokoneissa, jotka eivät vaadi SMB:tä lainkaan. Voit tehdä tämän manuaalisesti Käyttämällä Palvelut-laajennusta (Services.msc) ja PowerShell Set-Service -cmdlet-komentoa tai käyttämällä ryhmäkäytäntöasetuksia. Kun pysäytät ja poistat käytöstä nämä palvelut, SMB ei voi enää tehdä lähteviä yhteyksiä tai vastaanottaa saapuvia yhteyksiä.
Et saa poistaa palvelinpalvelua käytöstä toimialueen ohjauskoneissa tai tiedostopalvelimissa, tai asiakasohjelmat eivät enää voi käyttää ryhmäkäytäntöä tai muodostaa yhteyttä tietoihinsa. Älä poista työasemapalvelua käytöstä tietokoneissa, jotka ovat Active Directory -toimialueen jäseniä, tai he eivät enää käytä ryhmäkäytäntöä.
Lisätietoja
Windows Defenderin palomuurin suunnittelu kehittyneen suojausstrategian avulla
Windows Defenderin palomuuri ja laajennetun suojauksen käyttöönoton opas
Azure-etäsovellukset
Azure-palvelinkeskuksen IP-osoitteet
Microsoft O365:n IP-osoitteet