Összefoglalás
A Kiszolgálói üzenetblokk (SMB) egy hálózati fájlmegosztási és adathálózati protokoll. Az SMB-t több millió eszköz használja különféle operációs rendszerekben, például Windows, MacOS, iOS, Linux és Android rendszerekben. Az ügyfelek az SMB segítségével férnek hozzá a kiszolgálókon található adatokhoz. Ez lehetővé teszi a fájlok megosztását, a központi adatkezelést és a mobileszközök alacsonyabb tárterület-kapacitási igényeit. A kiszolgálók az SMB szolgáltatást is használják a Szoftver által definiált adatközpont részeként olyan terhelések esetén, mint a fürtözés és a replikáció.
Mivel az SMB egy távoli fájlrendszer, védelmet igényel az olyan támadásokkal szemben, amelyekben egy Windows rendszerű számítógép esetleg egy megbízható hálózaton belül futó rosszindulatú kiszolgálóhoz vagy a hálózat peremén kívüli távoli kiszolgálóhoz kerül. A tűzfal ajánlott eljárásai és konfigurációi javítják a biztonságot, és megakadályozhatják, hogy a kártékony adatforgalom elhagyja a számítógépet vagy a hálózatát.
A változások hatása
A SMB-kapcsolat letiltása megakadályozhatja a különböző alkalmazások vagy szolgáltatások működését. Az ilyen helyzetben működésüket leálló Windows- és Windows Server-alkalmazások és -szolgáltatások listáját a Windows szolgáltatásáttekintő és hálózati portkövetelményei között olvashatja el.
További információ
A perem tűzfala közeleg
A peremhálózati hardverek és tűzfalak, amelyek a hálózat szélén vannak elterjesztve, blokkolni kell a kéretlen kommunikációt (az internetről) és a kimenő forgalmat (az internet felé) az alábbi portokra.
Alkalmazásprotokoll |
Protokoll |
Port |
SMB |
TCP |
445 |
NetBIOS-névfeloldás |
UDP |
137 |
NetBIOS-datagramszolgáltatás |
UDP |
138 |
NetBIOS-munkamenet szolgáltatás |
TCP |
139 |
a "Hivatkozások"szakaszban található.
Valószínűtlen, hogy az internetről származó vagy az internetre szánt SMB-kommunikáció valódi lenne. Az elsődleges eset lehet egy felhőalapú kiszolgáló vagy szolgáltatás, például az Azure-fájlok esetében. Ip-címalapú korlátozásokat kell létrehoznia a peremhálózati tűzfalon, hogy csak az adott végpontokat engedélyezze. A szervezetek engedélyezhetik a 445-ös port hozzáférést adott Azure-adatközponthoz és O365 IP-tartományokhoz, hogy hibrid forgatókönyveket engedélyezzenek, amelyekben a helyszíni ügyfelek (vállalati tűzfal mögött) az SMB-port segítségével beszélhetnek az Azure-fájltárhoz. Azt is érdemes engedélyeznie, hogy csak az SMB 3.x adatforgalom, és SMB AES-128 titkosítást igényel. További információtMegjegyzés: Az SMB-alapú SMB-rel való NetOTTS használata a Windows Vista, a Windows Server 2008 és az összes későbbi Microsoft operációs rendszerben véget ért, amikor a Microsoft bevezette az SMB 2.02-es verziójának használatát. Előfordulhat azonban, hogy a környezetében a Windowson kívül más szoftverek és eszközök is vannak. Ha még nem tette meg, tiltsa le és távolítsa el az SMB1 bővítményt, mert az továbbra is a NetOTTS-t használja. A Windows Server és a Windows újabb verziói alapértelmezés szerint nem telepítik az SMB1-et, és ha igen, automatikusan eltávolítják azt.
A Windows Defender tűzfal közeleg
A Windows és a Windows Server összes támogatott verziója tartalmazza a Windows Defender tűzfalat (korábbi neve Windows tűzfal). Ez a tűzfal további védelmet nyújt az eszközöknek, különösen akkor, ha az eszközök a hálózaton kívülre vagy belül futnak.
A Windows Defender tűzfal bizonyos típusú hálózatokhoz külön profilokkal rendelkezik: Tartomány, Privát és Vendég/Nyilvános. A vendég-/nyilvános hálózat alapértelmezés szerint sokkal korlátozóbb beállításokat kap, mint a megbízhatóbb tartomány- vagy magánhálózatok. Előfordulhat, hogy a veszélyforrás-felmérés és a műveleti igények alapján különböző SMB-korlátozások vonatkoznak ezekre a hálózatokra.
Bejövő kapcsolatok egy számítógéphez
Az SMB-megosztásokat nem tároló Windows-ügyfelek és kiszolgálók esetében letilthatja az összes bejövő SMB-forgalmat a Windows Defender tűzfal használatával, hogy megakadályozza a távoli kapcsolatokat a kártékony vagy feltört eszközöktől. A Windows Defender tűzfalon ez a következő bejövő szabályokat foglalja magában:
Név |
Profil |
Engedélyezve |
Fájl- és nyomtatómegosztás (SMB-In) |
Mind |
Nem |
Netlogon szolgáltatás (NP-In) |
Mind |
Nem |
Távoli eseménynaplókezelés (NP-In) |
Mind |
Nem |
Távoli szolgáltatáskezelés (NP-In) |
Mind |
Nem |
A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Használja az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz, amely nem tárolja az SMB-megosztásokat:
-
Név:Az összes bejövő SMB 445 blokkolása
-
Leírás:Letiltja az összes bejövő SMB TCP 445-ös forgalmat. Nem alkalmazható az SMB-megosztásokat szolgáltató tartományvezérlőkre vagy számítógépekre.
-
Művelet:A kapcsolat blokkolása
-
Programok:Mind
-
Távoli számítógépek:Bármely
-
Protokoll típusa:TCP
-
Helyi port:445
-
Távoli port:Bármely
-
Profilok:Mind
-
Hatókör (helyi IP-cím):Bármely
-
Hatókör (távoli IP-cím):Bármely
-
Edge- bejárás:Block edge-beli bejárás
Nem tilthatja le globálisan a bejövő SMB-forgalmat a tartományvezérlők vagy a fájlkiszolgálók felé. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket. Ezenkívül a tartományi vagy a privát tűzfalprofilra is korlátozni kell őket, és nem szabad engedélyezni a vendég-/nyilvános forgalmat.
Megjegyzés: A Windows tűzfal alapértelmezés szerint letiltotta az összes bejövő SMB-kommunikációt a Windows XP SP2 és a Windows Server 2003 SP1 óta. A Windows-eszközök csak akkor engedélyezik a bejövő SMB-kommunikációt, ha egy rendszergazda létrehoz egy SMB-megosztást, vagy módosítja a tűzfal alapértelmezett beállításait. Nem szabad megbízni abban, hogy az alapértelmezett nem gyári élmény továbbra is a helyén legyen az eszközökön, függetlenül attól. Mindig ellenőrizze és aktívan kezelje a beállításokat és a kívánt állapotot csoportházirendek vagy más felügyeleti eszközök használatával.
További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval
Kimenő kapcsolatok számítógépről
A Windows-ügyfelek és -kiszolgálók kimenő SMB-kapcsolatokat igényelnek ahhoz, hogy csoportházirendeket alkalmazzanak a tartományvezérlőktől, illetve hogy a felhasználók és alkalmazások hozzáférjenek a fájlkiszolgálók adataihoz, ezért a tűzfalszabályok létrehozásakor ügyelnie kell arra, hogy megelőzzék a rosszindulatú laterális vagy internetkapcsolatokat. Alapértelmezés szerint nincsenek kimenő blokkok olyan Windows-ügyfélen vagy kiszolgálón, amely SMB-megosztáshoz csatlakozik, ezért új letiltási szabályokat kell létrehoznia.
A többi bejövő tűzfalszabály felülbírálása érdekében új letiltási szabályt is létre kell hoznia. Az alábbi javasolt beállításokat minden olyan Windows-ügyfélhez vagy kiszolgálóhoz használhatja, amely nem tárolja az SMB-megosztásokat.
Vendég-/nyilvános (nem megbízható) hálózatok
-
Név:Kimenő vendég/nyilvános SMB 445 blokkolása
-
Leírás:Letiltja az összes kimenő SMB TCP 445-ös forgalmat nem megbízható hálózaton
-
Művelet:A kapcsolat blokkolása
-
Programok:Mind
-
Távoli számítógépek:Bármely
-
Protokoll típusa:TCP
-
Helyi port:Bármely
-
Távoli port:445
-
Profilok:Vendég/Nyilvános
-
Hatókör (helyi IP-cím):Bármely
-
Hatókör (távoli IP-cím):Bármely
-
Edge-beli bejárás:Block edge-beli bejárás
Megjegyzés: A kis irodai és otthoni felhasználóknak, illetve a vállalati megbízható hálózatokon dolgoznak, majd az otthoni hálózatukhoz csatlakozó mobilfelhasználóknak körültekintően kell eljárniuk, mielőtt letiltanják a nyilvános kimenő hálózatot. Ez megakadályozhatja a helyi NAS-eszközök vagy bizonyos nyomtatók hozzáférését.
Privát/tartomány (megbízható) hálózatok
-
Név:Kimenő tartomány/privát SMB 445 engedélyezése
-
Leírás:Lehetővé teszi, hogy a kimenő SMB TCP 445-ös forgalmat csak a DCS-k és a fájlkiszolgálók használják megbízható hálózaton
-
Művelet:A kapcsolat engedélyezése biztonságos kapcsolat esetén
-
Az Allow if Secure Settings(Biztonságos beállítások engedélyezése) testreszabása: Válasszon egyet a lehetőségek közül, és állítsa be a Tiltási szabályok felülbírálása = BE
-
Programok:Mind
-
Protokoll típusa:TCP
-
Helyi port:Bármely
-
Távoli port: 445
-
Profilok:Privát/Domain
-
Hatókör (helyi IP-cím):Bármely
-
Hatókör (távoli IP-cím): <tartományvezérlő és a fájlkiszolgáló IP-címeinek>
-
Edge- bejárás:Block edge-beli bejárás
Megjegyzés: Akkor is használhatja a Távoli számítógépek tartomány távoli IP-címeket, ha a védett kapcsolat hitelesítést használ, amely a számítógép identitását hordozza. A "Kapcsolat engedélyezése biztonságos" beállításról és a távoli számítógép beállításairól a Defender tűzfal dokumentációjában talál további információt.
-
Név:Kimenő tartomány/privát SMB 445 blokkolása
-
Leírás:Letiltja a kimenő SMB TCP 445-ös forgalmat. Felülbírálás a "Kimenő tartomány/privát SMB 445 engedélyezése" szabály használatával
-
Művelet:A kapcsolat blokkolása
-
Programok:Mind
-
Távoli számítógépek:– –
-
Protokoll típusa:TCP
-
Helyi port:Bármely
-
Távoli port:445
-
Profilok:Privát/Domain
-
Hatókör (helyi IP-cím):Bármely
-
Hatókör (távoli IP-cím):– –
-
Edge-beli bejárás:Block edge-beli bejárás
Nem lehet globálisan blokkolni a számítógépekről a tartományvezérlőkre vagy a fájlkiszolgálókra irányuló kimenő SMB-forgalmat. A megbízható IP-tartományokból és -eszközökről azonban korlátozhatja a számukra való hozzáférést, hogy csökkentse a támadási felületüket.
További információ: Windows Defender tűzfal tervezése speciális biztonsági stratégiával és Windows Defender tűzfal speciális biztonsági telepítési útmutatóval
Biztonsági kapcsolati szabályok
Biztonsági kapcsolati s szabály használatával implementálja a kimenő tűzfalszabály kivételeket a "Kapcsolat engedélyezése, ha biztonságos" és a "Null beágyazás engedélyezése" beállításhoz. Ha nem minden Windows- és Windows Server-alapú számítógépen adja meg ezt a szabályt, a hitelesítés sikertelen lesz, és az SMB letiltja a kimenő forgalmat.
Az alábbi beállításokra van szükség például:
-
Szabály típusa:Elkülönítés
-
Követelmények:Hitelesítés kérése bejövő és kimenő kapcsolatokhoz
-
Hitelesítési módszer:Számítógép és felhasználó (Kerberos V5)
-
Profil:Domain, Private, Public
-
Név:Az Isolation ESP Authentication for SMB felülbírálásai
A biztonsági kapcsolódási szabályokról az alábbi cikkekben talál további információt:
Windows munkaállomás és kiszolgálószolgáltatás
Az SMB-t egyáltalán nem igénylő fogyasztói vagy nagyon elkülönülő felügyelt számítógépek esetén letilthatja a kiszolgáló- vagy munkaállomás-szolgáltatásokat. Ezt manuálisan a "Services" beépülő modul (Services.msc) és a PowerShell Set-Service parancsmag, illetve a csoportházirend-beállítások használatával használhatja. Amikor leállítja és letiltja ezeket a szolgáltatásokat, az SMB a továbbiakban nem tud kimenő kapcsolatokat létesítani, és bejövő kapcsolatokat sem fogadhat.
Nem tilthatja le a kiszolgálószolgáltatást tartományvezérlőkön vagy fájlkiszolgálókon, illetve nem alkalmazhatnak többé csoportházirendeket, és nem kapcsolódhatnak az adataikhoz. Nem tilthatja le a Munkaállomás szolgáltatást olyan számítógépeken, amelyek egy Active Directory-tartomány tagjai, vagy amelyek a továbbiakban nem alkalmaznak csoportházirendet.
Hivatkozások
Windows Defender tűzfal tervezése speciális biztonsági stratégiát használva Windows Defender tűzfal speciális biztonsági telepítési útmutatóval Azure távoli alkalmazások Azure-adatközpont IP-címei Microsoft O365-ös IP-címek