מניעת תעבורת SMB מחיבורים לרוחב והזנה או עזיבה של הרשת

גישות חומת האש ההיקפית

חומרה היקפית וחומות אש של מכשירי חומת אש שממוקמים בקצה הרשת אמורים לחסום תקשורת שאינה רצויה (מהאינטרנט) ותעבורה יוצאת (לאינטרנט) ליציאות הבאות.
 

לא סביר שכל תקשורת SMB שמקורה באינטרנט או מיועדת לאינטרנט היא חוקית. המקרה הראשי עשוי להיות עבור שרת או שירות מבוסס ענן, כגון קבצי תכלת. עליך ליצור הגבלות המבוססות על כתובות IP בחומת האש ההיקפית כדי לאפשר רק נקודות קצה ספציפיות אלה. ארגונים יכולים לאפשר ל-port 445 גישה למרכז הנתונים של התכלת ולטווחי ה-IP של O365 כדי להפוך תרחישים היברידיים לזמינים, שבהם לקוחות מקומיים (מאחורי חומת אש ארגונית) משתמשים ביציאת ה-SMB כדי לדבר עם שטח האחסון של ' תכלת '. עליך גם לאפשר את SMB 3.תעבורת x ולדרוש הצפנת AES-128 של SMB. עיין בסעיף 'הפניות' לקבלת מידע נוסף.

הערה השימוש ב-NetBIOS עבור התעבורה של SMB הסתיים ב-Windows Vista, Windows Server 2008 ובמערכות ההפעלה המאוחרות יותר של Microsoft כאשר Microsoft הציגה את SMB 2.02. עם זאת, ייתכן שברשותך תוכנה ומכשירים שאינם Windows בסביבה שלך. עליך להפוך את SMB1 ללא זמין ולהסיר אותו אם עדיין לא עשית זאת מאחר שהוא עדיין משתמש ב-NetBIOS. גירסאות מתקדמות יותר של Windows Server ו-Windows אינן מאפשרות עוד להתקין את SMB1 כברירת מחדל ולהסיר אותה באופן אוטומטי אם היא מותרת.

גישות חומת האש של Windows Defender

כל הגירסאות הנתמכות של Windows ו-Windows Server כוללות את חומת האש של Windows Defender (שנקראה בעבר חומת האש של Windows). חומת אש זו מספקת הגנה נוספת עבור מכשירים, במיוחד כאשר מכשירים עוברים מחוץ לרשת או כאשר הם פועלים בתוך אחד.

חומת האש של Windows Defender כוללת פרופילים ייחודיים עבור סוגים מסוימים של רשתות: תחום, פרטי ואורח/ציבורי. הרשת Guest/Public מקבלת בדרך כלל הגדרות מגבילות הרבה יותר כברירת מחדל מאשר התחום המהימן יותר או הרשתות הפרטיות. ייתכן שתמצא את עצמך מגבלות שונות של SMB עבור רשתות אלה בהתבסס על הערכת האיום שלך לעומת צרכים מבצעיים.

חיבורים נכנסים למחשב

עבור לקוחות ושרתים של Windows שאינם מארחים שיתופי SMB, באפשרותך לחסום את כל תעבורת ה-SMB הנכנסת באמצעות חומת האש של Windows Defender כדי למנוע חיבורים מרוחקים ממכשירים זדוניים או מכשירים שנפגמו. בחומת האש של Windows Defender, כולל הכללים הנכנסים הבאים.

עליך גם ליצור כלל חסימה חדש כדי לעקוף כללי חומת אש אחרים שאינם נכנסים. השתמש בהגדרות המוצעות הבאות עבור כל לקוח או שרתים של Windows שאינם מארחים שיתופים של SMB:

• שם: חסימת כל הנכנסים של SMB 445

• תיאור: חוסמת את כל תעבורת ה-TCP 445 של SMB נכנסת. אין להחיל על בקרי תחום או מחשבים המארחים שיתופי SMB.

• פעולה: חסימת החיבור

• תוכניות: All

• מחשבים מרוחקים: כל

• סוג פרוטוקול: TCP

• יציאה מקומית: 445

• יציאה מרוחקת: כל

• פרופילים: All

• טווח (כתובת IP מקומית): כל

• טווח (כתובת IP מרוחקת): כל

• חציית גבול: חסימת חציית גבול

אין לחסום כללי תעבורת SMB נכנסת לבקרי תחום או לשרתי קבצים. עם זאת, באפשרותך להגביל את הגישה אליהם מטווחי IP וממכשירים מהימנים כדי להוריד את משטח התקיפה שלהם. כמו כן, יש להגביל אותם לפרופילי תחום או לפרופילי חומת אש פרטיים ולא לאפשר תעבורה של אורח/ציבורי.

הערה חומת האש של Windows חסמה את כל תקשורת ה-SMB הנכנסת כברירת מחדל מאז Windows XP SP2 ו-Windows Server 2003 SP1. מכשירי Windows מאפשרים תקשורת של SMB נכנסת רק אם מנהל מערכת יוצר שיתוף SMB או משנה את הגדרות ברירת המחדל של חומת האש. אין לבטוח בחוויית ברירת המחדל של ' מחוץ לתיבה ' כדי להיות עדיין במקום במכשירים, ללא קשר לכך. לוודא תמיד ולנהל באופן פעיל את ההגדרות ואת מצבם הרצוי באמצעות מדיניות קבוצתית או כלי ניהול אחרים.

לקבלת מידע נוסף, ראה עיצוב חומת אש של Windows defender עם אסטרטגיית אבטחה מתקדמתוחומת אש של windows Defender עם מדריך לפריסת אבטחה מתקדמת

חיבורים יוצאים ממחשב

לקוחות ושרתים של Windows דורשים חיבורי SMB יוצאים כדי להחיל מדיניות קבוצתית מבקרי תחום ועבור משתמשים ויישומים כדי לגשת לנתונים בשרתי קבצים, ולכן יש לקחת את הטיפול בעת יצירת כללי חומת אש כדי למנוע חיבורים לרוחב או לאינטרנט זדוניים. כברירת מחדל, אין בלוקים יוצאים בלקוח Windows או בשרת שמתחבר לשיתופי SMB, כך שתצטרך ליצור כללי חסימה חדשים.

עליך גם ליצור כלל חסימה חדש כדי לעקוף כללי חומת אש אחרים שאינם נכנסים. השתמש בהגדרות המוצעות הבאות עבור כל לקוח או שרתים של Windows שאינם מארחים שיתופי SMB.

רשתות אורח/ציבורי (לא מהימן)

• שם: חסימת אורח יוצא/ציבורי SMB 445

• תיאור: חוסמת את כל תעבורת ה-TCP 445 של SMB יוצאת כאשר היא נמצאת ברשת לא מהימנה

• פעולה: חסימת החיבור

• תוכניות: All

• מחשבים מרוחקים: כל

• סוג פרוטוקול: TCP

• יציאה מקומית: כל

• יציאה מרוחקת: 445

• פרופילים: אורח/ציבורי

• טווח (כתובת IP מקומית): כל

• טווח (כתובת IP מרוחקת): כל

• חציית גבול: חסימת חציית גבול

הערה משתמשי office קטנים ומשתמשי office ביתיים, או משתמשים ניידים שעובדים ברשתות מהימנות של חברות ולאחר מכן מתחברים לרשתות הבית שלהם, צריכים לנקוט זהירות לפני שהם חוסמים את הרשת היוצאת הציבורית. פעולה זו עשויה למנוע גישה להתקני NAS המקומיים שלהם או למדפסות מסוימות.

רשתות פרטיות/תחומים (מהימנים)

• שם: אפשר תחום יוצא/טוראי SMB 445

• תיאור: מאפשר תעבורת TCP 445 של SMB יוצאת רק עבור dc ושרתי קבצים כאשר הם ברשת מהימנה

• פעולה: אפשר את החיבור אם הוא מאובטח

• התאמה אישית של האפשרות ' אפשר אם הגדרות מאובטחות ': בחר אחת מהאפשרויות, הגדר את האפשרות עקוף כללי חסימה = ON

• תוכניות: All

• סוג פרוטוקול: TCP

• יציאה מקומית: כל

• יציאה מרוחקת: 445

• פרופילים: פרטי/תחום

• טווח (כתובת IP מקומית): כל

• טווח (כתובת IP מרוחקת) :<רשימה של בקר תחום וכתובות IP של שרת קבצים>

• חציית גבול: חסימת חציית גבול

הערה באפשרותך גם להשתמש במחשבים המרוחקים במקום בכתובות IP מרוחקות של טווח, אם החיבור המאובטח משתמש באימות הנושא את זהות המחשב. סקור את תיעוד חומת האש של Defender לקבלת מידע נוסף אודות "אפשר לחיבור אם הוא מאובטח" ואפשרויות המחשב המרוחק.

• שם: חסימת תחום יוצא/פרטי SMB 445

• תיאור: חוסמת תעבורת TCP 445 של SMB יוצאת. עקיפה באמצעות הכלל "אפשר שימוש בתחום היוצא/הפרטי של SMB 445"

• פעולה: חסימת החיבור

• תוכניות: All

• מחשבים מרוחקים: N/A

• סוג פרוטוקול: TCP

• יציאה מקומית: כל

• יציאה מרוחקת: 445

• פרופילים: פרטי/תחום

• טווח (כתובת IP מקומית): כל

• טווח (כתובת IP מרוחקת): N/A

• חציית גבול: חסימת חציית גבול

אין לחסום באופן כללי תעבורת SMB יוצאת ממחשבים לבקרי תחום או לשרתי קבצים. עם זאת, באפשרותך להגביל את הגישה אליהם מטווחי IP וממכשירים מהימנים כדי להוריד את משטח התקיפה שלהם.

לקבלת מידע נוסף, ראה עיצוב חומת אש של Windows defender עם אסטרטגיית אבטחה מתקדמתוחומת אש של windows Defender עם מדריך לפריסת אבטחה מתקדמת

כללי חיבור אבטחה

עליך להשתמש בכלל חיבור אבטחה כדי ליישם את החריגים של כלל חומת האש של "אפשר את החיבור אם הוא מאובטח" ו-"אפשר את החיבור לשימוש בעטיפת null". אם לא תגדיר כלל זה בכל המחשבים המבוססים על Windows ו-Windows Server, האימות ייכשל ו-SMB ייחסם ביציאה. 

לדוגמה, נדרשות ההגדרות הבאות:

• סוג כלל: בידוד

• דרישות: בקשת אימות עבור חיבורים נכנסים ויוצאים

• שיטת אימות: מחשב ומשתמש (Kerberos V5)

• פרופיל: תחום, פרטי, ציבורי

• שם: אימות ESP של בידוד עבור דריסות SMB

לקבלת מידע נוסף אודות כללי חיבור אבטחה, עיין במאמרים הבאים:

• עיצוב חומת אש של Windows Defender עם אסטרטגיית אבטחה מתקדמתhttps://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fdocs.microsoft.com%2Fwindows%2Fsecurity%2Fthreat-protection%2Fwindows-firewall%2Fdesigning-a-windows-firewall-with-advanced-security-strategy&data=04%7C01%7Cv-jesits%40microsoft.com%7C4425786dc6094f2025cf08d8c226dcd5%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C637472819459803105%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=Ri81IaMdp6Q88L5v%2Bnz%2B0s2bgSPfRdYD8wxkgYQD8RA%3D&reserved=0

• רשימת פעולות לביצוע: קביעת התצורה של כללים עבור אזור שרת מבודדhttps://docs.microsoft.com/windows/security/threat-protection/windows-firewall/checklist-configuring-rules-for-an-isolated-server-zone

תחנת עבודה של Windows ושירות שרת

עבור מחשבים המנוהלים על-ידי צרכנים או מבודדים, שאינם דורשים את SMB כלל, באפשרותך להפוך את שירותי השרת או תחנת העבודה ללא זמינים. באפשרותך לעשות זאת באופן ידני על-ידי שימוש ביישומי ה-snap-in ' שירותים ' (Services. msc) וב-cmdlet של שירות הערכה של PowerShell, או באמצעות העדפות מדיניות קבוצתית. כאשר תפסיק ותהפוך שירותים אלה ללא זמינים, SMB לא יוכל עוד ליצור חיבורים יוצאים או לקבל חיבורים נכנסים.

אין להפוך את שירות השרת ללא זמין בבקרי תחום או בשרתי קבצים או ללא לקוחות יוכלו להחיל מדיניות קבוצתית או להתחבר לנתונים שלהם עוד. אין להפוך את שירות תחנת העבודה ללא זמין במחשבים שאינם חברים בתחום של Active Directory, או שהם לא יחילו עוד מדיניות קבוצתית.