Összefoglalás

A Kiszolgálói üzenetblokk (SMB) egy hálózati fájlmegosztási és adathálózati protokoll. Az SMB-t több millió eszköz használja különféle operációs rendszerekben, például Windows, MacOS, iOS, Linux és Android rendszerekben. Az ügyfelek az SMB segítségével férnek hozzá a kiszolgálókon található adatokhoz. Ez lehetővé teszi a fájlok megosztását, a központi adatkezelést és a mobileszközök alacsonyabb tárterület-kapacitási igényeit. A kiszolgálók az SMB szolgáltatást is használják a Szoftver által definiált adatközpont részeként olyan terhelések esetén, mint a fürtözés és a replikáció.

Mivel az SMB egy távoli fájlrendszer, védelmet igényel az olyan támadásokkal szemben, amelyekben egy Windows rendszerű számítógép esetleg egy megbízható hálózaton belül futó rosszindulatú kiszolgálóhoz vagy a hálózat peremén kívüli távoli kiszolgálóhoz kerül. A tűzfal ajánlott eljárásai és konfigurációi javítják a biztonságot, és megakadályozhatják, hogy a kártékony adatforgalom elhagyja a számítógépet vagy a hálózatát.

A változások hatása

A SMB-kapcsolat letiltása megakadályozhatja a különböző alkalmazások vagy szolgáltatások működését. Az ilyen helyzetben működésüket leálló Windows- és Windows Server-alkalmazások és -szolgáltatások listáját a Windows szolgáltatásáttekintő és hálózati portkövetelményei között olvashatja el.

További információ

A perem tűzfala közeleg

A peremhálózati hardverek és tűzfalak, amelyek a hálózat szélén vannak elterjesztve, blokkolni kell a kéretlen kommunikációt (az internetről) és a kimenő forgalmat (az internet felé) az alábbi portokra.
 

Alkalmazásprotokoll

Protokoll

Port

SMB

TCP

445

NetBIOS-névfeloldás

UDP

137

NetBIOS-datagramszolgáltatás

UDP

138

NetBIOS-munkamenet szolgáltatás

TCP

139


Valószínűtlen, hogy az internetről származó vagy az internetre szánt SMB-kommunikáció valódi lenne. Az elsődleges eset lehet egy felhőalapú kiszolgáló vagy szolgáltatás, például az Azure-fájlok esetében. Ip-címalapú korlátozásokat kell létrehoznia a peremhálózati tűzfalon, hogy csak az adott végpontokat engedélyezze. A szervezetek engedélyezhetik a 445-ös port hozzáférést adott Azure-adatközponthoz és O365 IP-tartományokhoz, hogy hibrid forgatókönyveket engedélyezzenek, amelyekben a helyszíni ügyfelek (vállalati tűzfal mögött) az SMB-port segítségével beszélhetnek az Azure-fájltárhoz. Azt is érdemes engedélyeznie, hogy csak az SMB 3.x adatforgalom, és SMB AES-128 titkosítást igényel. További információta "Hivatkozások"szakaszban található.

Megjegyzés: Az SMB-alapú SMB-rel való NetOTTS használata a Windows Vista, a Windows Server 2008 és az összes későbbi Microsoft operációs rendszerben véget ért, amikor a Microsoft bevezette az SMB 2.02-es verziójának használatát. Előfordulhat azonban, hogy a környezetében a Windowson kívül más szoftverek és eszközök is vannak. Ha még nem tette meg, tiltsa le és távolítsa el az SMB1 bővítményt, mert az továbbra is a NetOTTS-t használja. A Windows Server és a Windows újabb verziói alapértelmezés szerint nem telepítik az SMB1-et, és ha igen, automatikusan eltávolítják azt.

A Windows Defender tűzfal közeleg

A Windows és a Windows Server összes támogatott verziója tartalmazza a Windows Defender tűzfalat (korábbi neve Windows tűzfal). Ez a tűzfal további védelmet nyújt az eszközöknek, különösen akkor, ha az eszközök a hálózaton kívülre vagy belül futnak.

A Windows Defender tűzfal bizonyos típusú hálózatokhoz külön profilokkal rendelkezik: Tartomány, Privát és Vendég/Nyilvános. A vendég-/nyilvános hálózat alapértelmezés szerint sokkal korlátozóbb beállításokat kap, mint a megbízhatóbb tartomány- vagy magánhálózatok. Előfordulhat, hogy a veszélyforrás-felmérés és a műveleti igények alapján különböző SMB-korlátozások vonatkoznak ezekre a hálózatokra.

Bejövő kapcsolatok egy számítógéphez

Az SMB-megosztásokat nem tároló Windows-ügyfelek és kiszolgálók esetében letilthatja az összes bejövő SMB-forgalmat a Windows Defender tűzfal használatával, hogy megakadályozza a távoli kapcsolatokat a kártékony vagy feltört eszközöktől. A Windows Defender tűzfalon ez a következő bejövő szabályokat foglalja magában:

Név

Profil

Engedélyezve

Fájl- és nyomtatómegosztás (SMB-In)

Mind

Nem

Netlogon szolgáltatás (NP-In)

Mind

Nem

Távoli eseménynaplókezelés (NP-In)

Mind

Nem

Távoli szolgáltatáskezelés (NP-In)

Mind

Nem


A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Használja az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz, amely nem tárolja az SMB-megosztásokat:

  • Név:Az összes bejövő SMB 445 blokkolása

  • Leírás:Letiltja az összes bejövő SMB TCP 445-ös forgalmat. Nem alkalmazható az SMB-megosztásokat szolgáltató tartományvezérlőkre vagy számítógépekre.

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:Bármely

  • Protokoll típusa:TCP

  • Helyi port:445

  • Távoli port:Bármely

  • Profilok:Mind

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):Bármely

  • Edge- bejárás:Block edge-beli bejárás

Nem tilthatja le globálisan a bejövő SMB-forgalmat a tartományvezérlők vagy a fájlkiszolgálók felé. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket. Ezenkívül a tartományi vagy a privát tűzfalprofilra is korlátozni kell őket, és nem szabad engedélyezni a vendég-/nyilvános forgalmat.

Megjegyzés: A Windows tűzfal alapértelmezés szerint letiltotta az összes bejövő SMB-kommunikációt a Windows XP SP2 és a Windows Server 2003 SP1 óta. A Windows-eszközök csak akkor engedélyezik a bejövő SMB-kommunikációt, ha egy rendszergazda létrehoz egy SMB-megosztást, vagy módosítja a tűzfal alapértelmezett beállításait. Nem szabad megbízni abban, hogy az alapértelmezett nem gyári élmény továbbra is a helyén legyen az eszközökön, függetlenül attól. Mindig ellenőrizze és aktívan kezelje a beállításokat és a kívánt állapotot csoportházirendek vagy más felügyeleti eszközök használatával.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Kimenő kapcsolatok számítógépről

A Windows-ügyfelek és -kiszolgálók kimenő SMB-kapcsolatokat igényelnek ahhoz, hogy csoportházirendeket alkalmazzanak a tartományvezérlőktől, illetve hogy a felhasználók és alkalmazások hozzáférjenek a fájlkiszolgálók adataihoz, ezért a tűzfalszabályok létrehozásakor ügyelnie kell arra, hogy megelőzzék a rosszindulatú laterális vagy internetkapcsolatokat. Alapértelmezés szerint nincsenek kimenő blokkok olyan Windows-ügyfélen vagy kiszolgálón, amely SMB-megosztáshoz csatlakozik, ezért új letiltási szabályokat kell létrehoznia.

A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz használhatja, amely nem tárolja az SMB-megosztásokat.

Vendég-/nyilvános (nem megbízható) hálózatok

  • Név:Kimenő vendég/nyilvános SMB 445 blokkolása

  • Leírás:Letiltja az összes kimenő SMB TCP 445-ös forgalmat nem megbízható hálózaton

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:Bármely

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port:445

  • Profilok:Vendég/Nyilvános

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):Bármely

  • Edge-beli bejárás:Block edge-beli bejárás

Megjegyzés: A kis irodai és otthoni felhasználóknak, illetve a vállalati megbízható hálózatokon dolgoznak, majd az otthoni hálózatukhoz csatlakozó mobilfelhasználóknak körültekintően kell eljárniuk, mielőtt letiltanják a nyilvános kimenő hálózatot. Ez megakadályozhatja a helyi NAS-eszközök vagy bizonyos nyomtatók hozzáférését.

Privát/tartomány (megbízható) hálózatok

  • Név:Kimenő tartomány/privát SMB 445 engedélyezése

  • Leírás:Lehetővé teszi, hogy a kimenő SMB TCP 445-ös forgalmat csak a DCS-k és a fájlkiszolgálók használják megbízható hálózaton

  • Művelet:A kapcsolat engedélyezése biztonságos kapcsolat esetén

  • Az Allow if Secure Settings(Biztonságos beállítások engedélyezése) testreszabása: Válasszon egyet a lehetőségek közül, és állítsa be a Tiltási szabályok felülbírálása = BE

  • Programok:Mind

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port: 445

  • Profilok:Privát/Domain

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím): <tartományvezérlő és a fájlkiszolgáló IP-címeinek>

  • Edge- bejárás:Block edge-beli bejárás

Megjegyzés: Akkor is használhatja a Távoli számítógépek tartomány távoli IP-címeket, ha a védett kapcsolat hitelesítést használ, amely a számítógép identitását hordozza. A "Kapcsolat engedélyezése biztonságos" beállításról és a távoli számítógép beállításairól a Defender tűzfal dokumentációjában talál további információt.

  • Név:Kimenő tartomány/privát SMB 445 blokkolása

  • Leírás:Letiltja a kimenő SMB TCP 445-ös forgalmat. Felülbírálás a "Kimenő tartomány/privát SMB 445 engedélyezése" szabály használatával

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:– –

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port:445

  • Profilok:Privát/Domain

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):– –

  • Edge-beli bejárás:Block edge-beli bejárás

Nem lehet globálisan blokkolni a számítógépekről a tartományvezérlőkre vagy a fájlkiszolgálókra irányuló kimenő SMB-forgalmat. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Biztonsági kapcsolati szabályok

Biztonsági kapcsolati s szabály használatával implementálja a kimenő tűzfalszabály kivételeket a "Kapcsolat engedélyezése, ha biztonságos" és a "Null beágyazás engedélyezése" beállításhoz. Ha nem minden Windows- és Windows Server-alapú számítógépen adja meg ezt a szabályt, a hitelesítés sikertelen lesz, és az SMB letiltja a kimenő forgalmat. 

Az alábbi beállításokra van szükség például:

  • Szabály típusa:Elkülönítés

  • Követelmények:Hitelesítés kérése bejövő és kimenő kapcsolatokhoz

  • Hitelesítési módszer:Számítógép és felhasználó (Kerberos V5)

  • Profil:Domain, Private, Public

  • Név:Az Isolation ESP Authentication for SMB felülbírálásai

A biztonsági kapcsolódási szabályokról az alábbi cikkekben talál további információt:

Windows munkaállomás és kiszolgálószolgáltatás

Az SMB-t egyáltalán nem igénylő fogyasztói vagy nagyon elkülönülő felügyelt számítógépek esetén letilthatja a kiszolgáló- vagy munkaállomás-szolgáltatásokat. Ezt manuálisan a "Services" beépülő modul (Services.msc) és a PowerShell Set-Service parancsmag, illetve a csoportházirend-beállítások használatával használhatja. Amikor leállítja és letiltja ezeket a szolgáltatásokat, az SMB a továbbiakban nem tud kimenő kapcsolatokat létesítani, és bejövő kapcsolatokat sem fogadhat.

Nem tilthatja le a kiszolgálószolgáltatást tartományvezérlőkön vagy fájlkiszolgálókon, illetve nem alkalmazhatnak többé csoportházirendeket, és nem kapcsolódhatnak az adataikhoz. Nem tilthatja le a Munkaállomás szolgáltatást olyan számítógépeken, amelyek egy Active Directory-tartomány tagjai, vagy amelyek a továbbiakban nem alkalmaznak csoportházirendet.

Hivatkozások

Windows Defender tűzfal tervezése speciális biztonsági stratégiát használva
Windows Defender tűzfal speciális biztonsági telepítési útmutatóval
Azure távoli alkalmazások
Azure-adatközpont IP-címei
Microsoft O365-ös IP-címek

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük visszajelzését!

×