Sažetak

Blok poruke poslužitelja (SMB) mrežno je zajedničko korištenje datoteka i protokol podatkovne tkanine. SMB koriste milijarde uređaja u raznovrsnim skupom operacijskih sustava, uključujući Windows, MacOS, iOS, Linux i Android. Klijenti koriste SMB za pristup podacima na poslužiteljima. Time se omogućuje zajedničko korištenje datoteka, centraliziranih podataka za upravljanje podacima i smanjene mogućnosti kapaciteta za pohranu za mobilne uređaje. Poslužitelji koriste i SMB kao dio softvera koji je definiran u podatkovnom centru za radne opterećenja kao što su grupiranje i replikacija.

Budući da je SMB udaljeni datotečni sustav, potrebna je zaštita od napada u kojima je računalo sa sustavom Windows moguće prevariti da biste se kontaktirali s zlonamjernim poslužiteljem koji se pokreće unutar pouzdane mreže ili udaljenog poslužitelja izvan područja mreže. Najbolje prakse i konfiguracije vatrozida mogu poboljšati sigurnost i onemogućiti zlonamjeran promet da napušta računalo ili njegovu mrežu.

Efekti promjena

Blokiranje povezivanja sa programom SMB može onemogućiti funkcioniranje raznih aplikacija ili servisa. Popis aplikacija i servisa sa sustavom Windows i Windows Server koji mogu prekinuti funkcioniranje u tom slučaju potražite u članku Pregled servisa i preduvjeti za mrežni priključak za Windows

Dodatne informacije

Približava se vatrozid za perimetar

Vatrozid hardvera i aparata koji su postavljeni na rubu mreže trebao bi blokirati neželjenu komunikaciju (s interneta) i odlazni promet (na Internet) u sljedeće priključke.
 

Aplikacijski protokol

Protokol

Priključak

SMB

TCP

445

Razlučivost naziva NetBIOS-a

UDP

137

NetBIOS Datagram servis

UDP

138

Servis NetBIOS Session

TCP

139


Nije vjerojatno da je bilo koji SMB komunikacija podrijetlom s interneta ili predodređena za Internet legitimna. Primarni slučaj može biti za poslužitelj ili uslugu utemeljenu na oblaku, kao što je Azure datoteka. Da biste dopustili samo te konkretne krajnje točke, trebali biste stvoriti ograničenja bazirana na IP adresi u Vatrozidu za perimetar. Ustanove mogu omogućiti Port 445 pristup određenoj servisu Azure Datacenter i O365 IP rasponima da bi se omogućili hibridni scenariji u kojima lokalni klijenti (iza vatrozida za Enterprise) koriste SMB Port da bi razgovarali sa servisom Azure file Storage. Trebali biste dopustiti i samo SMB 3.neodređen broj promet i zahtijevati SMB AIS-128 šifriranje. Dodatne informacije potražite u odjeljku "referenci".

Napomena Korištenje NetBIOS-a za SMB transport završeno je u sustavu Windows Vista, Windows Server 2008 te u svim kasnijim Microsoftovim operativnim sustavima kada je Microsoft uveo SMB 2,02. Međutim, možda imate softver i uređaje koji nisu Windows u okruženju. Ako to već niste učinili, trebali biste onemogućiti i ukloniti SMB1 jer ona i dalje koristi NetBIOS. Novije verzije sustava Windows Server i Windows više ne instaliraju SMB1 po zadanom i automatski će ga ukloniti ako je dopušteno.

Pristupi vatrozidu za Windows Defender

Sve podržane verzije sustava Windows i Windows Server obuhvaćaju vatrozid za Windows Defender (prethodno imenovani vatrozid za Windows). Ovaj vatrozid nudi dodatnu zaštitu za uređaje, osobito kada se uređaji kreću izvan mreže ili kada se pokreću unutar jednog.

Vatrozid za Windows Defender sadrži različite profile za određene vrste mreža: domena, privatna i gost/Public. Gost/javna mreža obično dobiva mnogo restriktivnije postavke prema zadanim postavkama od više pouzdanih domena ili privatnih mreža. Možda ćete imati različita SMB ograničenja za te mreže na temelju vaše procjene prijetnje u odnosu na operativne potrebe.

Ulazne veze s računalom

Za klijente i poslužitelje sustava Windows koji ne sadrže SMB dionice, možete blokirati sve ulazne SMB promet pomoću vatrozida za Windows Defender da biste spriječili daljinske veze s zlonamjernim ili kompromitiranim uređajima. U Vatrozidu za Windows Defender to obuhvaća sljedeća ulazna pravila.

Ime

Profila

Omogućeno

Zajedničko korištenje datoteka i pisača (SMB-in)

Sve

Ne

Servis Netlogon (NP-in)

Sve

Ne

Daljinsko upravljanje zapisnicima događaja (NP-u)

Sve

Ne

Daljinsko upravljanje servisom (NP-u)

Sve

Ne


Trebali biste stvoriti i novo pravilo blokiranja radi nadjačavanja bilo koje druge ulazne pravila vatrozida. Pomoću sljedećih predloženih postavki za sve klijente sustava Windows ili poslužitelje koji ne posjeduju SMB dionice:

  • Naziv: Blokiraj sve ulazne smb 445

  • Opis: blokira sve ulazne SMB TCP 445 promet. Ne primjenjuje se na kontroleri domena ni na računala koja dijele SMB-ove.

  • Akcija: blokiranje veze

  • Programi: sve

  • Udaljena računala: bilo koja

  • Vrsta protokola: TCP

  • Lokalni priključak: 445

  • Udaljeni priključak: bilo koji

  • Profili: sve

  • Opseg (lokalna IP adresa): bilo koja

  • Opseg (udaljena IP adresa): bilo koja

  • Prijelaz na Edge: prijelaz ruba bloka

Ne morate globalno blokirati ulazni SMB promet na kontrolori domena ili poslužitelje datoteka. Međutim, možete im ograničiti pristup iz pouzdanih IP raspona i uređaja da biste smanjili njihovu površinu napada. Moraju biti ograničeni i na profile domene ili privatnog vatrozida, a ne omogućuju gostu/javnom prometu.

Napomena Vatrozid za Windows blokirao je sve ulazne SMB komunikacije prema zadanim postavkama od sustava Windows XP SP2 i Windows Server 2003 SP1. Uređajima sa sustavom Windows dopustit će se ulazni SMB komunikacija samo ako administrator stvori SMB zajednički koristi ili mijenja zadane postavke vatrozida. Ne biste trebali verovati zadanom iskustvu izvan okvira koji je i dalje na uređaju, bez obzira na to. Uvijek provjerite i aktivno upravljajte postavkama i njihovim željenim stanjem pomoću pravilnika grupe ili drugih alata za upravljanje.

Dodatne informacije potražite u članku dizajniranje vatrozida za Windows Defender s dodatnom sigurnosnom strategijom i vatrozidom za Windows Defender uz napredni vodič za sigurnosnu implementaciju

Odlazne veze s računala

Klijenti i poslužitelji u sustavu Windows zahtijevaju izlaznih SMB veza radi primjene pravilnika grupe iz kontrolera domena i korisnika i aplikacija za pristup podacima na poslužiteljima datoteka, pa se morate pobrinuti za stvaranje pravila vatrozida da biste spriječili zlonamjerne bočne ili internetske veze. Prema zadanim postavkama, na klijentskom ili poslužitelju sustava Windows ne postoji izlaz iz izlaznih blokova, pa ćete morati stvarati nova pravila blokiranja.

Trebali biste stvoriti i novo pravilo blokiranja radi nadjačavanja bilo koje druge ulazne pravila vatrozida. Pomoću sljedećih predloženih postavki za sve klijente sustava Windows ili poslužitelje koji ne posjeduju SMB dionice.

Privatni/javni (nepouzdani) mreže

  • Naziv: Blokirajte izlazni gost/Public smb 445

  • Opis: blokira cijeli izlazni SMB TCP 445 promet kada se nalazite na nepouzdanoj mreži

  • Akcija: blokiranje veze

  • Programi: sve

  • Udaljena računala: bilo koja

  • Vrsta protokola: TCP

  • Lokalni priključak: bilo koji

  • Udaljeni priključak: 445

  • Profili: gost/javno

  • Opseg (lokalna IP adresa): bilo koja

  • Opseg (udaljena IP adresa): bilo koja

  • Prijelaz na Edge: prijelaz ruba bloka

Napomena Mali korisnici sustava Office i Home Office ili mobilni korisnici koji rade u korporativnim pouzdanim mrežama, a zatim se povezuju s kućnim mrežama, trebali bi biti pažljivi prije nego što blokiraju javnu izlaznu mrežu. Time možete onemogućiti pristup lokalnim uređajima ili određenim pisačima.

Privatne/domene (pouzdane) mreže

  • Naziv: Dopusti izlaznu domenu/Private smb 445

  • Opis: omogućuje izlazni SMB TCP 445 promet samo putem servisa DB i poslužitelja datoteka kada se nalaze na pouzdanoj mreži

  • Akcija: Dopusti vezu ako je osigurana

  • Prilagodba dopusti ako su sigurne postavke: Odaberite neku od mogućnosti, postavite mogućnost Nadjačaj pravila bloka = uključeno

  • Programi: sve

  • Vrsta protokola: TCP

  • Lokalni priključak: bilo koji

  • Udaljeni priključak: 445

  • Profili: privatni/domena

  • Opseg (lokalna IP adresa): bilo koja

  • Opseg (udaljena IP adresa): <popis kontrolora domene i IP adresa poslužitelja datoteka>

  • Prijelaz na Edge: prijelaz ruba bloka

Napomena Ako osigurana veza koristi provjeru autentičnosti koja sadrži identitet računala, možete koristiti i udaljena računala umjesto dosega udaljenih IP adresa. Pregledajte dokumentaciju vatrozida za Defender da biste saznali više o "dopusti povezivanje ako je sigurno" i mogućnosti udaljenog računala.

  • Naziv: Blokiraj izlaznu domenu/Private smb 445

  • Opis: blokira izlazni SMB TCP 445 promet. Premošćivanje pomoću pravila "Dopusti izlaznu domenu/Private SMB 445"

  • Akcija: blokiranje veze

  • Programi: sve

  • Udaljena računala: N/A

  • Vrsta protokola: TCP

  • Lokalni priključak: bilo koji

  • Udaljeni priključak: 445

  • Profili: privatni/domena

  • Opseg (lokalna IP adresa): bilo koja

  • Opseg (udaljena IP adresa): N/A

  • Prijelaz na Edge: prijelaz ruba bloka

Ne morate globalno blokirati izlazni SMB promet s računala na kontrolori domena ili poslužitelje datoteka. Međutim, možete im ograničiti pristup iz pouzdanih IP raspona i uređaja da biste smanjili njihovu površinu napada.

Dodatne informacije potražite u članku dizajniranje vatrozida za Windows Defender s dodatnom sigurnosnom strategijom i vatrozidom za Windows Defender uz napredni vodič za sigurnosnu implementaciju

Pravila sigurnosne veze

Da biste implementirali iznimke pravilnika o izlaznom vatrozidu za mogućnost "Dopusti vezu ako je sigurna" i "Dopusti vezu da koristi null encapsulaciju", morate koristiti pravilo sigurnosnog povezivanja. Ako to pravilo ne postavite na svim računalima sa sustavom Windows, provjera autentičnosti neće uspjeti, a SMB će biti blokiran izlazni broj. 

Primjerice, potrebne su sljedeće postavke:

  • Vrsta pravila: izolacija

  • Preduvjeti: provjera autentičnosti zahtjeva za ulazne i izlazne veze

  • Metoda provjere autentičnosti: računalo i korisnik (Kerberos v5)

  • Profil: domena, privatna, javna

  • Naziv: izolacija ESP provjera autentičnosti za SMB prekoračenja

Dodatne informacije o pravilima o sigurnosnim vezama potražite u sljedećim člancima:

Windows Workstation i poslužitelj servisa

Za potrošačke ili vrlo izolirane, upravljana računala koja ne zahtijevaju SMB uopće, možete onemogućiti poslužitelj ili servisa Workstation. To možete učiniti ručno pomoću dodatka "servisi" (Services. msc) i komponente PowerShell set-Service – cmdlet ili pomoću preferenci pravilnika grupe. Kada prestanete i onemogućite te servise, SMB više ne može raditi izlazne veze ni primati ulazne veze.

Ne smijete onemogućiti poslužitelj poslužitelja na kontrolorima domena ni na poslužiteljima datoteka ili ni neki klijenti neće moći primijeniti pravila grupe ili se više povezati s njima. Ne smijete onemogućiti servis za radne stanice na računalima koja su članovi domene Active Directory ili više neće primjenjivati pravila grupe.

Reference

Dizajniranje vatrozida za Windows Defender s naprednom sigurnosnom strategijom
Vatrozid za Windows Defender uz napredni vodič
za sigurnosnu implementaciju Udaljene aplikacije
Azure IP adrese
za Azure podatkovnog centra IP adrese za Microsoft O365

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×