A SMB-forgalom megakadályozása az oldalhálózati kapcsolatokban, valamint a hálózatba való belépés vagy a hálózat elhagyása

A perem tűzfala közeleg

A peremhálózati hardverek és tűzfalak, amelyek a hálózat szélén vannak elterjesztve, blokkolni kell a kéretlen kommunikációt (az internetről) és a kimenő forgalmat (az internet felé) az alábbi portokra.
 

Valószínűtlen, hogy az internetről származó vagy az internetre szánt SMB-kommunikáció valódi lenne. Az elsődleges eset lehet egy felhőalapú kiszolgáló vagy szolgáltatás, például az Azure-fájlok esetében. Ip-címalapú korlátozásokat kell létrehoznia a peremhálózati tűzfalon, hogy csak az adott végpontokat engedélyezze. A szervezetek engedélyezhetik a 445-ös port hozzáférést adott Azure-adatközponthoz és O365 IP-tartományokhoz, hogy hibrid forgatókönyveket engedélyezzenek, amelyekben a helyszíni ügyfelek (vállalati tűzfal mögött) az SMB-port segítségével beszélhetnek az Azure-fájltárhoz. Azt is érdemes engedélyeznie, hogy csak az SMB 3.x adatforgalom, és SMB AES-128 titkosítást igényel. További információta "Hivatkozások"szakaszban található.

Megjegyzés: Az SMB-alapú SMB-rel való NetOTTS használata a Windows Vista, a Windows Server 2008 és az összes későbbi Microsoft operációs rendszerben véget ért, amikor a Microsoft bevezette az SMB 2.02-es verziójának használatát. Előfordulhat azonban, hogy a környezetében a Windowson kívül más szoftverek és eszközök is vannak. Ha még nem tette meg, tiltsa le és távolítsa el az SMB1 bővítményt, mert az továbbra is a NetOTTS-t használja. A Windows Server és a Windows újabb verziói alapértelmezés szerint nem telepítik az SMB1-et, és ha igen, automatikusan eltávolítják azt.

A Windows Defender tűzfal közeleg

A Windows és a Windows Server összes támogatott verziója tartalmazza a Windows Defender tűzfalat (korábbi neve Windows tűzfal). Ez a tűzfal további védelmet nyújt az eszközöknek, különösen akkor, ha az eszközök a hálózaton kívülre vagy belül futnak.

A Windows Defender tűzfal bizonyos típusú hálózatokhoz külön profilokkal rendelkezik: Tartomány, Privát és Vendég/Nyilvános. A vendég-/nyilvános hálózat alapértelmezés szerint sokkal korlátozóbb beállításokat kap, mint a megbízhatóbb tartomány- vagy magánhálózatok. Előfordulhat, hogy a veszélyforrás-felmérés és a műveleti igények alapján különböző SMB-korlátozások vonatkoznak ezekre a hálózatokra.

Bejövő kapcsolatok egy számítógéphez

Az SMB-megosztásokat nem tároló Windows-ügyfelek és kiszolgálók esetében letilthatja az összes bejövő SMB-forgalmat a Windows Defender tűzfal használatával, hogy megakadályozza a távoli kapcsolatokat a kártékony vagy feltört eszközöktől. A Windows Defender tűzfalon ez a következő bejövő szabályokat foglalja magában:

A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Használja az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz, amely nem tárolja az SMB-megosztásokat:

• Név:Az összes bejövő SMB 445 blokkolása

• Leírás:Letiltja az összes bejövő SMB TCP 445-ös forgalmat. Nem alkalmazható az SMB-megosztásokat szolgáltató tartományvezérlőkre vagy számítógépekre.

• Művelet:A kapcsolat blokkolása

• Programok:Mind

• Távoli számítógépek:Bármely

• Protokoll típusa:TCP

• Helyi port:445

• Távoli port:Bármely

• Profilok:Mind

• Hatókör (helyi IP-cím):Bármely

• Hatókör (távoli IP-cím):Bármely

• Edge- bejárás:Block edge-beli bejárás

Nem tilthatja le globálisan a bejövő SMB-forgalmat a tartományvezérlők vagy a fájlkiszolgálók felé. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket. Ezenkívül a tartományi vagy a privát tűzfalprofilra is korlátozni kell őket, és nem szabad engedélyezni a vendég-/nyilvános forgalmat.

Megjegyzés: A Windows tűzfal alapértelmezés szerint letiltotta az összes bejövő SMB-kommunikációt a Windows XP SP2 és a Windows Server 2003 SP1 óta. A Windows-eszközök csak akkor engedélyezik a bejövő SMB-kommunikációt, ha egy rendszergazda létrehoz egy SMB-megosztást, vagy módosítja a tűzfal alapértelmezett beállításait. Nem szabad megbízni abban, hogy az alapértelmezett nem gyári élmény továbbra is a helyén legyen az eszközökön, függetlenül attól. Mindig ellenőrizze és aktívan kezelje a beállításokat és a kívánt állapotot csoportházirendek vagy más felügyeleti eszközök használatával.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Kimenő kapcsolatok számítógépről

A Windows-ügyfelek és -kiszolgálók kimenő SMB-kapcsolatokat igényelnek ahhoz, hogy csoportházirendeket alkalmazzanak a tartományvezérlőktől, illetve hogy a felhasználók és alkalmazások hozzáférjenek a fájlkiszolgálók adataihoz, ezért a tűzfalszabályok létrehozásakor ügyelnie kell arra, hogy megelőzzék a rosszindulatú laterális vagy internetkapcsolatokat. Alapértelmezés szerint nincsenek kimenő blokkok olyan Windows-ügyfélen vagy kiszolgálón, amely SMB-megosztáshoz csatlakozik, ezért új letiltási szabályokat kell létrehoznia.

A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz használhatja, amely nem tárolja az SMB-megosztásokat.

Vendég-/nyilvános (nem megbízható) hálózatok

• Név:Kimenő vendég/nyilvános SMB 445 blokkolása

• Leírás:Letiltja az összes kimenő SMB TCP 445-ös forgalmat nem megbízható hálózaton

• Művelet:A kapcsolat blokkolása

• Programok:Mind

• Távoli számítógépek:Bármely

• Protokoll típusa:TCP

• Helyi port:Bármely

• Távoli port:445

• Profilok:Vendég/Nyilvános

• Hatókör (helyi IP-cím):Bármely

• Hatókör (távoli IP-cím):Bármely

• Edge-beli bejárás:Block edge-beli bejárás

Megjegyzés: A kis irodai és otthoni felhasználóknak, illetve a vállalati megbízható hálózatokon dolgoznak, majd az otthoni hálózatukhoz csatlakozó mobilfelhasználóknak körültekintően kell eljárniuk, mielőtt letiltanják a nyilvános kimenő hálózatot. Ez megakadályozhatja a helyi NAS-eszközök vagy bizonyos nyomtatók hozzáférését.

Privát/tartomány (megbízható) hálózatok

• Név:Kimenő tartomány/privát SMB 445 engedélyezése

• Leírás:Lehetővé teszi, hogy a kimenő SMB TCP 445-ös forgalmat csak a DCS-k és a fájlkiszolgálók használják megbízható hálózaton

• Művelet:A kapcsolat engedélyezése biztonságos kapcsolat esetén

• Az Allow if Secure Settings(Biztonságos beállítások engedélyezése) testreszabása: Válasszon egyet a lehetőségek közül, és állítsa be a Tiltási szabályok felülbírálása = BE

• Programok:Mind

• Protokoll típusa:TCP

• Helyi port:Bármely

• Távoli port: 445

• Profilok:Privát/Domain

• Hatókör (helyi IP-cím):Bármely

• Hatókör (távoli IP-cím): <tartományvezérlő és a fájlkiszolgáló IP-címeinek>

• Edge- bejárás:Block edge-beli bejárás

Megjegyzés: Akkor is használhatja a Távoli számítógépek tartomány távoli IP-címeket, ha a védett kapcsolat hitelesítést használ, amely a számítógép identitását hordozza. A "Kapcsolat engedélyezése biztonságos" beállításról és a távoli számítógép beállításairól a Defender tűzfal dokumentációjában talál további információt.

• Név:Kimenő tartomány/privát SMB 445 blokkolása

• Leírás:Letiltja a kimenő SMB TCP 445-ös forgalmat. Felülbírálás a "Kimenő tartomány/privát SMB 445 engedélyezése" szabály használatával

• Művelet:A kapcsolat blokkolása

• Programok:Mind

• Távoli számítógépek:– –

• Protokoll típusa:TCP

• Helyi port:Bármely

• Távoli port:445

• Profilok:Privát/Domain

• Hatókör (helyi IP-cím):Bármely

• Hatókör (távoli IP-cím):– –

• Edge-beli bejárás:Block edge-beli bejárás

Nem lehet globálisan blokkolni a számítógépekről a tartományvezérlőkre vagy a fájlkiszolgálókra irányuló kimenő SMB-forgalmat. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Biztonsági kapcsolati szabályok

Biztonsági kapcsolati s szabály használatával implementálja a kimenő tűzfalszabály kivételeket a "Kapcsolat engedélyezése, ha biztonságos" és a "Null beágyazás engedélyezése" beállításhoz. Ha nem minden Windows- és Windows Server-alapú számítógépen adja meg ezt a szabályt, a hitelesítés sikertelen lesz, és az SMB letiltja a kimenő forgalmat. 

Az alábbi beállításokra van szükség például:

• Szabály típusa:Elkülönítés

• Követelmények:Hitelesítés kérése bejövő és kimenő kapcsolatokhoz

• Hitelesítési módszer:Számítógép és felhasználó (Kerberos V5)

• Profil:Domain, Private, Public

• Név:Az Isolation ESP Authentication for SMB felülbírálásai

A biztonsági kapcsolódási szabályokról az alábbi cikkekben talál további információt:

• Windows Defender tűzfal tervezése

• kiszolgálózónáhozhttps://docs.microsoft.com/windows/security/threat-protection/windows-firewall/checklist-configuring-rules-for-an-isolated-server-zone

Windows munkaállomás és kiszolgálószolgáltatás

Az SMB-t egyáltalán nem igénylő fogyasztói vagy nagyon elkülönülő felügyelt számítógépek esetén letilthatja a kiszolgáló- vagy munkaállomás-szolgáltatásokat. Ezt manuálisan a "Services" beépülő modul (Services.msc) és a PowerShell Set-Service parancsmag, illetve a csoportházirend-beállítások használatával használhatja. Amikor leállítja és letiltja ezeket a szolgáltatásokat, az SMB a továbbiakban nem tud kimenő kapcsolatokat létesítani, és bejövő kapcsolatokat sem fogadhat.

Nem tilthatja le a kiszolgálószolgáltatást tartományvezérlőkön vagy fájlkiszolgálókon, illetve nem alkalmazhatnak többé csoportházirendeket, és nem kapcsolódhatnak az adataikhoz. Nem tilthatja le a Munkaállomás szolgáltatást olyan számítógépeken, amelyek egy Active Directory-tartomány tagjai, vagy amelyek a továbbiakban nem alkalmaznak csoportházirendet.