Empêcher le trafic SMB d'accéder aux connexions latérales et d'entrer ou de sortir du réseau

S’applique à : Windows Server version 1909Windows Server version 1903Windows Server 2019

Résumé


SMB (Server Message Block) est un protocole de partage de fichiers et de tissu de données (data fabric). SMB est utilisé par des milliards d’appareils dans une grande variété de systèmes d’exploitation, y compris Windows, MacOS, iOS , Linux et Android. Les clients utilisent SMB pour accéder aux données sur les serveurs. Cela permet le partage de fichiers, la gestion centralisée des données et permet aussi de réduire les besoins en capacité de stockage des appareils mobiles. Les serveurs utilisent également SMB dans les centres de données à définition logicielle, pour les charges de travail telles que le clustering et la réplication.

Étant donné que SMB est un système de fichiers distant, il nécessite une protection contre les attaques dans lesquelles un ordinateur Windows risque d’être piégé en entrant en contact avec un serveur malveillant exécuté sur un réseau fiable ou avec un serveur distant en dehors du périmètre du réseau. Les meilleures pratiques et configurations de pare-feu peuvent améliorer la sécurité, en empêchant le trafic malveillant de quitter l’ordinateur ou son réseau.

Impact des changements

Le blocage de la connectivité vers le trafic SMB peut entraîner le dysfonctionnement d’un grand nombre d’applications ou de services. Pour accéder à la liste des applications et services Windows et Windows Server qui risquent de cesser de fonctionner, consultez l’article Vue d’ensemble des services et exigences de ports réseau pour Windows
 

Informations supplémentaires


Approches de pare-feu de périmètre

Le matériel et les dispositifs des pare-feux de périmètre qui sont positionnés à la périphérie du réseau sont censés bloquer la communication non sollicitée (depuis Internet) et le trafic sortant (vers Internet) vers les ports suivants.
 

Protocole d'application

Protocole

Port

SMB

TCP

445

Résolution de noms NetBIOS

UDP

137

Service de datagramme NetBIOS

UDP

138

Service de session NetBIOS

TCP

139


Il est peu probable qu'une communication SMB depuis ou vers Internet soit légitime. Le cas le plus courant est celui d’un serveur ou d’un service cloud tel que Azure Files requérant la création de restrictions basées sur l’adresse IP dans votre pare-feu de périmètre pour n'autoriser que ces points de terminaison spécifiques. Certaines organisations peuvent autoriser l’accès au port 445 à des plages IP de centre de données Azure et O365 pour mettre en place des scénarios hybrides dans lesquels les clients sur site (derrière un pare-feu d’entreprise) utilisent le port SMB pour communiquer avec le stockage de fichiers Azure. Il convient également de n’autoriser que le trafic SMB 3.x et d’exiger le chiffrement SMB AES-128. Pour plus d’informations, consultez la section Références ci-dessous.

Remarque L’utilisation de NetBIOS pour le transport SMB a pris fin dans Windows Vista, Windows Server 2008 et dans tous les systèmes d’exploitation Microsoft plus récents, depuis l’introduction de SMB 2.02 par Microsoft. Cependant, il se peut que vous utilisiez d’autres logiciels et d'autres appareils que Windows dans votre environnement. Si ce n’est déjà fait, il est recommandé de désactiver et de supprimer SMB1, parce qu’il utilise encore NetBIOS. Les versions plus récentes de Windows Server et de Windows n’installent plus SMB1 par défaut et le supprimeront automatiquement avec l’autorisation appropriée.

Approches de pare-feu Windows Defender

Toutes les versions prises en charge de Windows et de Windows Server comprennent le pare-feu Windows Defender (précédemment appelé pare-feu Windows). Ce pare-feu offre une protection supplémentaire pour les appareils, en particulier lorsqu'ils se déplacent à l’extérieur d’un réseau ou lorsqu’ils s'exécutent au sein d'un réseau.

Le pare-feu Windows Defender a des profils distincts pour certains types de réseaux : Domaine, Privé et Invité/Public. Par défaut, le réseau Invité/Public dispose généralement de paramètres beaucoup plus restrictifs que les réseaux de type Domaine ou Privé, plus fiables. Il se peut que vous ayez des restrictions SMB différentes pour ces réseaux en fonction de votre évaluation de la menace et de vos besoins opérationnels.

Connexions entrantes vers un ordinateur

Pour les clients et serveurs Windows qui n’hébergent pas de partages SMB, vous pouvez bloquer tout le trafic SMB entrant à l’aide du pare-feu Windows Defender, afin d’empêcher les connexions à distance provenant d’appareils malveillants ou compromis. Dans le pare-feu Windows Defender, cela inclut les règles d'entrée suivantes.

Nom

Profil

Activé

Partage de fichiers et d’imprimantes (SMB-In)

tous

Non

Service Accès réseau (NP-In)

tous

Non

Gestion à distance des journaux des événements (NP-In)

tous

Non

Gestion des services à distance (NP-In)

tous

Non


Vous devez également créer une nouvelle règle de blocage pour remplacer les autres règles d'entrée dans le pare-feu. Utilisez les paramètres suggérés ci-après pour tous les clients ou serveurs Windows qui n’hébergent pas de partages SMB :

  • Nom : Blocage de tous les SMB 445 entrants
  • Description : Bloque tout le trafic SMB TCP 445 entrant. Ne pas appliquer aux contrôleurs de domaine ni aux ordinateurs qui hébergent des partages SMB.
  • Action : Blocage de la connexion
  • Programmes : tous
  • Ordinateurs distants : Tous
  • Type de protocole : TCP
  • Port local : 445
  • Port distant : Tous
  • Profils : tous
  • Portée (adresse IP locale) : Tous
  • Portée (adresse IP distante) : Tous
  • Traversée latérale : Blocage de la traversée latérale

En règle générale, vous ne devez pas bloquer le trafic SMB entrant vers les contrôleurs de domaine ou les serveurs de fichiers. Cependant, vous pouvez en restreindre l'accès à partir de plages d'adresses et d'appareils IP fiables pour réduire leur surface d’attaque. Ils doivent également être limités aux profils de pare-feu de type Domaine ou Privé et ne pas permettre le trafic de type Invité ou Public.

Remarque Par défaut, le pare-feu Windows bloque toutes les communications SMB entrantes depuis Windows XP SP2 et Windows Server 2003 SP1. Les appareils Windows n’autorisent la communication SMB entrante que si un administrateur crée un partage SMB ou modifie les paramètres par défaut du pare-feu. Dans tous les cas, vous ne devez pas penser que l'expérience « out-of-box » par défaut sera forcément toujours en place sur les appareils. Vérifiez et gérez toujours activement les paramètres et leur état souhaité en vous référant à la stratégie de groupe ou à d’autres outils de gestion.

Pour plus d’informations, consultez les articles Conception d’un pare-feu Windows Defender avec une stratégie de sécurité avancée et Pare-feu Windows Defender avec guide de déploiement de sécurité avancé

Connexions sortantes à partir d’un ordinateur

Les clients et serveurs Windows exigent des connexions SMB sortantes afin d’appliquer la stratégie de groupe des contrôleurs de domaine et afin d'autoriser les utilisateurs et les applications à accéder aux données sur les serveurs de fichiers. Par conséquent, la plus haute prudence est recommandée lors de la création des règles de pare-feu afin d’empêcher l’intrusion de connexions Internet latérales ou malveillantes. Par défaut, il n’y a pas de blocage sortant sur un client ou un serveur Windows se connectant aux partages SMB. Il est donc nécessaire de créer de nouvelles règles de blocage.

Vous devez également créer une nouvelle règle de blocage pour remplacer les autres règles d'entrée dans le pare-feu. Utilisez les paramètres suggérés ci-après pour tous les clients ou serveurs Windows qui n’hébergent pas de partages SMB.

Réseaux Invités/Publics (non fiables)

  • Nom : Blocage du SMB 445 Invité ou Public
  • Description : Bloque tout le trafic SMB TCP 445 sortant sur un réseau non fiable
  • Action : Bloque la connexion
  • Programmes : tous
  • Ordinateurs distants : Tous
  • Type de protocole : TCP
  • Port local : Tous
  • Port distant : 445
  • Profils : Invité/Public
  • Portée (adresse IP locale) : Tous
  • Portée (adresse IP distante) : Tous
  • Traversée latérale : Blocage de la traversée latérale

Remarque Les utilisateurs travaillant dans de petits bureaux ou à domicile, ou encore les utilisateurs mobiles qui travaillent sur des réseaux d’entreprise fiables avant de se connecter à leurs réseaux domestiques doivent faire preuve de prudence avant de bloquer le réseau public sortant. Cela risquerait de bloquer l’accès à leurs périphérique NAS locaux ou à certaines imprimantes.

Réseaux Privé/Domaine (fiables)

  • Nom : Autorisation des partages SMB 445 entrants de type Domaine/Privé
  • Description : Autorisation du trafic SMB TCP 445 sortant, uniquement vers les contrôleurs de domaine et les serveurs de fichiers sur un réseau de confiance
  • Action : Autorisation de la connexion si elle est sécurisée
  • Personnaliser les paramètres Autoriser si sécurisé : choisir l’une des options, définir Substituer les règles de blocage sur ON
  • Programmes : tous
  • Type de protocole : TCP
  • Port local : Tous
  • Port distant : 445
  • Profils : Privé/Domaine
  • Portée (adresse IP locale) : Tous
  • Portée (adresse IP distante) : <list of domain controller and file server IP addresses>
  • Traversée latérale : Blocage de la traversée latérale

Remarque Vous pouvez également utiliser la fonction Ordinateurs distants au lieu de Limiter les adresses IP distantes, si la connexion sécurisée utilise une authentification portant l’identité de l’ordinateur. Consultez la documentation du pare-feu Windows Defender pour plus d’informations sur l'option « Autoriser la connexion si elle est sécurisée » et sur les options d’ordinateurs distants.

  • Nom : Blocage du trafic SMB 445 Domaine/Privé sortant
  • Description : Blocage du trafic SMB TCP 445 sortant. Substitution en utilisant la règle « Autoriser SMB 445 Domaine /Privé sortant »
  • Action : Bloque la connexion
  • Programmes : tous
  • Ordinateurs distants : S/O
  • Type de protocole : TCP
  • Port local : Tous
  • Port distant : 445
  • Profils : Privé/Domaine
  • Portée (adresse IP locale) : Tous
  • Portée (adresse IP distante) : S/O
  • Traversée latérale : Blocage de la traversée latérale

En règle générale, vous ne devez pas bloquer le trafic SMB sortant des ordinateurs vers les contrôleurs de domaine ou les serveurs de fichiers. Cependant, vous pouvez en restreindre l'accès à partir de plages d'adresses et d'appareils IP fiables pour réduire leur surface d’attaque.

Pour plus d’informations, consultez les articles Conception d’un pare-feu Windows Defender avec une stratégie de sécurité avancée et Pare-feu Windows Defender avec guide de déploiement de sécurité avancé

Service Station de travail et service Serveur de Windows

Pour les ordinateurs privés ou très isolés et gérés, qui ne nécessitent aucun SMB, vous pouvez désactiver le service Station de travail ou le service Serveur. Vous pouvez le faire manuellement en utilisant le composant logiciel enfichable « Services » (Services.msc) et l’applet de commande PowerShell Set-Service, ou en utilisant la Stratégie de groupe Préférences. Lorsque vous arrêtez et désactivez ces services, SMB ne peut plus établir de connexions sortantes, ni recevoir de connexions entrantes.

Vous ne devez pas désactiver le service Serveur sur les contrôleurs de domaine ou les serveurs de fichiers. En effet, cela empêcherait les clients d’appliquer la stratégie de groupe ou de se connecter à leurs données. Vous ne devez pas désactiver le service Station de travail sur les ordinateurs membres d’un domaine Active Directory, car cela les empêcherait d’appliquer la stratégie de groupe.