Applies ToWindows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

Összefoglalás

A Kiszolgálói üzenetblokk (SMB) egy hálózati fájlmegosztási és adathálózati protokoll. Az SMB-t több millió eszköz használja különféle operációs rendszerekben, például Windows, MacOS, iOS, Linux és Android rendszerekben. Az ügyfelek az SMB segítségével férnek hozzá a kiszolgálókon található adatokhoz. Ez lehetővé teszi a fájlok megosztását, a központi adatkezelést és a mobileszközök alacsonyabb tárterület-kapacitási igényeit. A kiszolgálók az SMB szolgáltatást is használják a Szoftver által definiált adatközpont részeként olyan terhelések esetén, mint a fürtözés és a replikáció.

Mivel az SMB egy távoli fájlrendszer, védelmet igényel az olyan támadásokkal szemben, amelyekben egy Windows rendszerű számítógép esetleg egy megbízható hálózaton belül futó rosszindulatú kiszolgálóhoz vagy a hálózat peremén kívüli távoli kiszolgálóhoz kerül. A tűzfal ajánlott eljárásai és konfigurációi javítják a biztonságot, és megakadályozhatják, hogy a kártékony adatforgalom elhagyja a számítógépet vagy a hálózatát.

A változások hatása

A SMB-kapcsolat letiltása megakadályozhatja a különböző alkalmazások vagy szolgáltatások működését. Az ilyen helyzetben működésüket leálló Windows- és Windows Server-alkalmazások és -szolgáltatások listáját a Windows szolgáltatásáttekintő és hálózati portkövetelményei között olvashatja el.

További információ

A perem tűzfala közeleg

A peremhálózati hardverek és tűzfalak, amelyek a hálózat szélén vannak elterjesztve, blokkolni kell a kéretlen kommunikációt (az internetről) és a kimenő forgalmat (az internet felé) az alábbi portokra.  

Alkalmazásprotokoll

Protokoll

Port

SMB

TCP

445

NetBIOS-névfeloldás

UDP

137

NetBIOS-datagramszolgáltatás

UDP

138

NetBIOS-munkamenet szolgáltatás

TCP

139

Valószínűtlen, hogy az internetről származó vagy az internetre szánt SMB-kommunikáció valódi lenne. Az elsődleges eset lehet egy felhőalapú kiszolgáló vagy szolgáltatás, például az Azure-fájlok esetében. Ip-címalapú korlátozásokat kell létrehoznia a peremhálózati tűzfalon, hogy csak az adott végpontokat engedélyezze. A szervezetek engedélyezhetik a 445-ös port hozzáférést adott Azure-adatközponthoz és O365 IP-tartományokhoz, hogy hibrid forgatókönyveket engedélyezzenek, amelyekben a helyszíni ügyfelek (vállalati tűzfal mögött) az SMB-port segítségével beszélhetnek az Azure-fájltárhoz. Azt is érdemes engedélyeznie, hogy csak az SMB 3.x adatforgalom, és SMB AES-128 titkosítást igényel. További információta "Hivatkozások"szakaszban található.

Megjegyzés: Az SMB-alapú SMB-rel való NetOTTS használata a Windows Vista, a Windows Server 2008 és az összes későbbi Microsoft operációs rendszerben véget ért, amikor a Microsoft bevezette az SMB 2.02-es verziójának használatát. Előfordulhat azonban, hogy a környezetében a Windowson kívül más szoftverek és eszközök is vannak. Ha még nem tette meg, tiltsa le és távolítsa el az SMB1 bővítményt, mert az továbbra is a NetOTTS-t használja. A Windows Server és a Windows újabb verziói alapértelmezés szerint nem telepítik az SMB1-et, és ha igen, automatikusan eltávolítják azt.

A Windows Defender tűzfal közeleg

A Windows és a Windows Server összes támogatott verziója tartalmazza a Windows Defender tűzfalat (korábbi neve Windows tűzfal). Ez a tűzfal további védelmet nyújt az eszközöknek, különösen akkor, ha az eszközök a hálózaton kívülre vagy belül futnak.

A Windows Defender tűzfal bizonyos típusú hálózatokhoz külön profilokkal rendelkezik: Tartomány, Privát és Vendég/Nyilvános. A vendég-/nyilvános hálózat alapértelmezés szerint sokkal korlátozóbb beállításokat kap, mint a megbízhatóbb tartomány- vagy magánhálózatok. Előfordulhat, hogy a veszélyforrás-felmérés és a műveleti igények alapján különböző SMB-korlátozások vonatkoznak ezekre a hálózatokra.

Bejövő kapcsolatok egy számítógéphez

Az SMB-megosztásokat nem tároló Windows-ügyfelek és kiszolgálók esetében letilthatja az összes bejövő SMB-forgalmat a Windows Defender tűzfal használatával, hogy megakadályozza a távoli kapcsolatokat a kártékony vagy feltört eszközöktől. A Windows Defender tűzfalon ez a következő bejövő szabályokat foglalja magában:

Név

Profil

Engedélyezve

Fájl- és nyomtatómegosztás (SMB-In)

Mind

Nem

Netlogon szolgáltatás (NP-In)

Mind

Nem

Távoli eseménynaplókezelés (NP-In)

Mind

Nem

Távoli szolgáltatáskezelés (NP-In)

Mind

Nem

A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Használja az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz, amely nem tárolja az SMB-megosztásokat:

  • Név:Az összes bejövő SMB 445 blokkolása

  • Leírás:Letiltja az összes bejövő SMB TCP 445-ös forgalmat. Nem alkalmazható az SMB-megosztásokat szolgáltató tartományvezérlőkre vagy számítógépekre.

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:Bármely

  • Protokoll típusa:TCP

  • Helyi port:445

  • Távoli port:Bármely

  • Profilok:Mind

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):Bármely

  • Edge- bejárás:Block edge-beli bejárás

Nem tilthatja le globálisan a bejövő SMB-forgalmat a tartományvezérlők vagy a fájlkiszolgálók felé. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket. Ezenkívül a tartományi vagy a privát tűzfalprofilra is korlátozni kell őket, és nem szabad engedélyezni a vendég-/nyilvános forgalmat.

Megjegyzés: A Windows tűzfal alapértelmezés szerint letiltotta az összes bejövő SMB-kommunikációt a Windows XP SP2 és a Windows Server 2003 SP1 óta. A Windows-eszközök csak akkor engedélyezik a bejövő SMB-kommunikációt, ha egy rendszergazda létrehoz egy SMB-megosztást, vagy módosítja a tűzfal alapértelmezett beállításait. Nem szabad megbízni abban, hogy az alapértelmezett nem gyári élmény továbbra is a helyén legyen az eszközökön, függetlenül attól. Mindig ellenőrizze és aktívan kezelje a beállításokat és a kívánt állapotot csoportházirendek vagy más felügyeleti eszközök használatával.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Kimenő kapcsolatok számítógépről

A Windows-ügyfelek és -kiszolgálók kimenő SMB-kapcsolatokat igényelnek ahhoz, hogy csoportházirendeket alkalmazzanak a tartományvezérlőktől, illetve hogy a felhasználók és alkalmazások hozzáférjenek a fájlkiszolgálók adataihoz, ezért a tűzfalszabályok létrehozásakor ügyelnie kell arra, hogy megelőzzék a rosszindulatú laterális vagy internetkapcsolatokat. Alapértelmezés szerint nincsenek kimenő blokkok olyan Windows-ügyfélen vagy kiszolgálón, amely SMB-megosztáshoz csatlakozik, ezért új letiltási szabályokat kell létrehoznia.

A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz használhatja, amely nem tárolja az SMB-megosztásokat.

Vendég-/nyilvános (nem megbízható) hálózatok

  • Név:Kimenő vendég/nyilvános SMB 445 blokkolása

  • Leírás:Letiltja az összes kimenő SMB TCP 445-ös forgalmat nem megbízható hálózaton

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:Bármely

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port:445

  • Profilok:Vendég/Nyilvános

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):Bármely

  • Edge-beli bejárás:Block edge-beli bejárás

Megjegyzés: A kis irodai és otthoni felhasználóknak, illetve a vállalati megbízható hálózatokon dolgoznak, majd az otthoni hálózatukhoz csatlakozó mobilfelhasználóknak körültekintően kell eljárniuk, mielőtt letiltanják a nyilvános kimenő hálózatot. Ez megakadályozhatja a helyi NAS-eszközök vagy bizonyos nyomtatók hozzáférését.

Privát/tartomány (megbízható) hálózatok

  • Név:Kimenő tartomány/privát SMB 445 engedélyezése

  • Leírás:Lehetővé teszi, hogy a kimenő SMB TCP 445-ös forgalmat csak a DCS-k és a fájlkiszolgálók használják megbízható hálózaton

  • Művelet:A kapcsolat engedélyezése biztonságos kapcsolat esetén

  • Az Allow if Secure Settings(Biztonságos beállítások engedélyezése) testreszabása: Válasszon egyet a lehetőségek közül, és állítsa be a Tiltási szabályok felülbírálása = BE

  • Programok:Mind

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port: 445

  • Profilok:Privát/Domain

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím): <tartományvezérlő és a fájlkiszolgáló IP-címeinek>

  • Edge- bejárás:Block edge-beli bejárás

Megjegyzés: Akkor is használhatja a Távoli számítógépek tartomány távoli IP-címeket, ha a védett kapcsolat hitelesítést használ, amely a számítógép identitását hordozza. A "Kapcsolat engedélyezése biztonságos" beállításról és a távoli számítógép beállításairól a Defender tűzfal dokumentációjában talál további információt.

  • Név:Kimenő tartomány/privát SMB 445 blokkolása

  • Leírás:Letiltja a kimenő SMB TCP 445-ös forgalmat. Felülbírálás a "Kimenő tartomány/privát SMB 445 engedélyezése" szabály használatával

  • Művelet:A kapcsolat blokkolása

  • Programok:Mind

  • Távoli számítógépek:– –

  • Protokoll típusa:TCP

  • Helyi port:Bármely

  • Távoli port:445

  • Profilok:Privát/Domain

  • Hatókör (helyi IP-cím):Bármely

  • Hatókör (távoli IP-cím):– –

  • Edge-beli bejárás:Block edge-beli bejárás

Nem lehet globálisan blokkolni a számítógépekről a tartományvezérlőkre vagy a fájlkiszolgálókra irányuló kimenő SMB-forgalmat. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket.

További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval

Biztonsági kapcsolati szabályok

Biztonsági kapcsolati s szabály használatával implementálja a kimenő tűzfalszabály kivételeket a "Kapcsolat engedélyezése, ha biztonságos" és a "Null beágyazás engedélyezése" beállításhoz. Ha nem minden Windows- és Windows Server-alapú számítógépen adja meg ezt a szabályt, a hitelesítés sikertelen lesz, és az SMB letiltja a kimenő forgalmat. 

Az alábbi beállításokra van szükség például:

  • Szabály típusa:Elkülönítés

  • Követelmények:Hitelesítés kérése bejövő és kimenő kapcsolatokhoz

  • Hitelesítési módszer:Számítógép és felhasználó (Kerberos V5)

  • Profil:Domain, Private, Public

  • Név:Az Isolation ESP Authentication for SMB felülbírálásai

A biztonsági kapcsolódási szabályokról az alábbi cikkekben talál további információt:

Windows munkaállomás és kiszolgálószolgáltatás

Az SMB-t egyáltalán nem igénylő fogyasztói vagy nagyon elkülönülő felügyelt számítógépek esetén letilthatja a kiszolgáló- vagy munkaállomás-szolgáltatásokat. Ezt manuálisan a "Services" beépülő modul (Services.msc) és a PowerShell Set-Service parancsmag, illetve a csoportházirend-beállítások használatával használhatja. Amikor leállítja és letiltja ezeket a szolgáltatásokat, az SMB a továbbiakban nem tud kimenő kapcsolatokat létesítani, és bejövő kapcsolatokat sem fogadhat.

Nem tilthatja le a kiszolgálószolgáltatást tartományvezérlőkön vagy fájlkiszolgálókon, illetve nem alkalmazhatnak többé csoportházirendeket, és nem kapcsolódhatnak az adataikhoz. Nem tilthatja le a Munkaállomás szolgáltatást olyan számítógépeken, amelyek egy Active Directory-tartomány tagjai, vagy amelyek a továbbiakban nem alkalmaznak csoportházirendet.

Hivatkozások

Windows Defender tűzfal tervezése speciális biztonsági stratégiát használva Windows Defender tűzfal speciális biztonsági telepítési útmutatóval Azure távoli alkalmazások Azure-adatközpont IP-címei Microsoft O365-ös IP-címek

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.