You have multiple accounts
Choose the account you want to sign in with.

Ringkasan

Blok pesan server (SMB) adalah jaringan file sharing dan protokol data Fabric. SMB digunakan oleh miliaran perangkat dalam sekumpulan sistem operasi yang beragam, termasuk Windows, MacOS, iOS, Linux, dan Android. Klien menggunakan SMB untuk mengakses data di server. Hal ini memungkinkan berbagi file, manajemen data terpusat, dan menurunkan kapasitas penyimpanan untuk perangkat seluler. Server juga menggunakan SMB sebagai bagian dari pusat data yang ditentukan perangkat lunak untuk beban kerja seperti Clustering dan replikasi.

Karena SMB adalah sistem file jarak jauh, memerlukan perlindungan dari serangan di mana komputer Windows mungkin ditipu untuk menghubungi server yang berbahaya yang berjalan di dalam jaringan tepercaya atau ke server jarak jauh di luar perimeter jaringan. Praktik terbaik firewall dan konfigurasi dapat meningkatkan keamanan dan mencegah Traffic berbahaya dari keluar dari komputer atau jaringannya.

Efek perubahan

Memblokir konektivitas ke SMB mungkin mencegah berbagai aplikasi atau layanan berfungsi. Untuk daftar aplikasi dan layanan Windows dan Windows Server yang mungkin berhenti berfungsi dalam situasi ini, lihat gambaran umum layanan dan persyaratan Port jaringan untuk Windows

Informasi selengkapnya

Pendekatan firewall perimeter

Perimeter hardware dan alat firewall yang diposisikan di tepi jaringan harus memblokir komunikasi yang tidak diinginkan (dari internet) dan lalu lintas keluar (ke Internet) ke Port berikut ini.
 

Protokol aplikasi

Entri

Port

SMB

TCP

445

Resolusi nama NetBIOS

UDP

137

Layanan datagram NetBIOS

UDP

138

Layanan sesi NetBIOS

TCP

139


Tidak mungkin setiap komunikasi SMB yang berasal dari internet atau ditakdirkan untuk internet sah. Kasus utama mungkin untuk server atau layanan berbasis awan seperti file Azure. Anda harus membuat pembatasan berbasis alamat IP dalam firewall perimeter untuk memperbolehkan titik akhir tertentu saja. Organisasi dapat memperbolehkan akses 445 Port ke rentang data Azure dan O365 untuk mengaktifkan skenario hibrid di mana klien lokal (di belakang firewall perusahaan) menggunakan Port SMB untuk berbicara dengan penyimpanan file Azure. Anda juga harus memperbolehkan hanya SMB 3.x Traffic dan memerlukan enkripsi AES-128. Lihat bagian "referensi" untuk informasi selengkapnya.

Catatan Penggunaan NetBIOS untuk transportasi SMB berakhir di Windows Vista, Windows Server 2008, dan di semua sistem operasi Microsoft yang lebih baru saat Microsoft memperkenalkan SMB 2,02. Namun, Anda mungkin memiliki perangkat lunak dan perangkat selain Windows di lingkungan Anda. Anda harus menonaktifkan dan menghapus SMB1 jika Anda belum melakukannya karena masih menggunakan NetBIOS. Versi Windows Server dan Windows yang lebih baru tidak lagi menginstal SMB1 secara default dan akan menghapusnya secara otomatis jika diizinkan.

Pendekatan firewall Windows Defender

Semua versi Windows dan Windows Server yang didukung menyertakan firewall Windows Defender (sebelumnya bernama Windows Firewall). Firewall ini menyediakan proteksi tambahan untuk perangkat, terutama ketika perangkat berpindah di luar jaringan atau saat beroperasi dalam satu waktu.

Firewall Windows Defender memiliki profil yang berbeda untuk tipe jaringan tertentu: domain, pribadi, dan tamu/publik. Tamu/jaringan publik biasanya mendapatkan pengaturan yang lebih ketat secara default dari domain atau jaringan pribadi yang lebih tepercaya. Anda mungkin menemukan batasan SMB yang berbeda untuk jaringan ini berdasarkan penilaian ancaman versus kebutuhan operasional Anda.

Koneksi masuk ke komputer

Untuk klien dan Server Windows yang tidak menghosting SMB, Anda dapat memblokir semua lalu lintas SMB dengan menggunakan firewall Windows Defender untuk mencegah koneksi jarak jauh dari perangkat yang berbahaya atau terganggu. Di firewall Windows Defender, ini mencakup aturan masuk berikut ini.

Nama

Profil

Membolehkan

Berbagi file dan printer (SMB-in)

Kesemua

Tidak

Layanan Netlogon (NP-in)

Kesemua

Tidak

Manajemen log acara jarak jauh (NP-in)

Kesemua

Tidak

Manajemen Layanan jarak jauh (NP-in)

Kesemua

Tidak


Anda juga harus membuat aturan pemblokiran baru untuk mengesampingkan aturan firewall masuk lainnya. Gunakan pengaturan yang disarankan berikut untuk klien Windows atau server yang tidak menghosting SMB:

  • Nama: BLOKIR semua SMB 445

  • Deskripsi: memblokir semua Traffic SMB TCP 445 yang masuk. Tidak diterapkan ke pengontrol domain atau komputer yang menghosting SMB.

  • Tindakan: memblokir koneksi

  • Program: Semua

  • Komputer jarak jauh: apa pun

  • Tipe protokol: TCP

  • Port lokal: 445

  • Port jarak jauh: apa pun

  • Profil: Semua

  • Lingkup (alamat IP lokal): apa pun

  • Lingkup (alamat IP jarak jauh): apa pun

  • Traversal Edge: traversal blok tepi

Anda tidak boleh memblokir Traffic SMB secara global ke pengontrol domain atau server file. Namun, Anda bisa membatasi akses ke mereka dari rentang IP tepercaya dan perangkat untuk menurunkan permukaan serangannya. Mereka juga harus dibatasi ke profil firewall domain atau privat dan tidak memperbolehkan pengunjung/Traffic publik.

Catatan Firewall Windows telah memblokir semua komunikasi SMB masuk secara default karena Windows XP SP2 dan Windows Server 2003 SP1. Perangkat Windows akan memperbolehkan komunikasi SMB masuk hanya jika administrator membuat SMB berbagi atau mengubah pengaturan default firewall. Anda tidak boleh mempercayai pengalaman keluar kotak default untuk tetap berada di perangkat, apa pun. Selalu verifikasi dan Kelola pengaturan dan status yang diinginkan dengan menggunakan kebijakan grup atau alat manajemen lainnya secara aktif.

Untuk informasi selengkapnya, lihat mendesain firewall Windows Defender dengan strategi keamanan tingkat lanjut dan firewall Windows Defender dengan panduan penggunaan keamanan tingkat lanjut

Koneksi keluar dari komputer

Klien dan Server Windows memerlukan koneksi SMB keluar untuk menerapkan kebijakan grup dari pengontrol domain dan untuk pengguna dan aplikasi untuk mengakses data di server file, jadi harus berhati-hati saat membuat aturan firewall untuk mencegah koneksi lateral atau internet yang berbahaya. Secara default, tidak ada blok keluar di klien Windows atau server yang tersambung ke berbagi SMB, jadi Anda harus membuat aturan pemblokiran baru.

Anda juga harus membuat aturan pemblokiran baru untuk mengesampingkan aturan firewall masuk lainnya. Gunakan pengaturan yang disarankan berikut untuk klien Windows atau server yang tidak menghosting SMB.

Jaringan Guest/Public (tidak tepercaya)

  • Nama: memblokir tamu/ukm publik 445

  • Deskripsi: memblokir semua Traffic SMB TCP 445 Traffic saat berada di jaringan yang tidak tepercaya

  • Tindakan: memblokir koneksi

  • Program: Semua

  • Komputer jarak jauh: apa pun

  • Tipe protokol: TCP

  • Port Lokal: apa pun

  • Port jarak jauh: 445

  • Profil: Guest

  • Lingkup (alamat IP lokal): apa pun

  • Lingkup (alamat IP jarak jauh): apa pun

  • Traversal Edge: traversal blok tepi

Catatan Pengguna Office dan Office yang kecil, atau pengguna ponsel yang bekerja di jaringan tepercaya perusahaan lalu menyambungkan ke jaringan rumah mereka, harus berhati-hati sebelum mereka memblokir jaringan keluar publik. Melakukan hal ini dapat mencegah akses ke perangkat NAS lokal atau printer tertentu.

Jaringan privat/domain (tepercaya)

  • Nama: Izinkan domain keluar/SMB 445 pribadi

  • Deskripsi: memungkinkan Traffic SMB TCP 445 keluar hanya ke DCs dan server file ketika berada di jaringan tepercaya

  • Tindakan: Perbolehkan koneksi jika aman

  • Kustomisasi Izinkan jika pengaturan aman: Pilih salah satu opsi, atur aturan BLOKIR ganti = aktif

  • Program: Semua

  • Tipe protokol: TCP

  • Port Lokal: apa pun

  • Port jarak jauh: 445

  • Profil: pribadi/domain

  • Lingkup (alamat IP lokal): apa pun

  • Lingkup (alamat IP jarak jauh): <daftar pengontrol domain dan alamat ip server file>

  • Traversal Edge: traversal blok tepi

Catatan Anda juga dapat menggunakan komputer jarak jauh dan bukan alamat IP jarak jauh, jika koneksi aman menggunakan autentikasi yang membawa identitas komputer. Tinjau dokumentasi firewall Defender untuk informasi selengkapnya tentang "Izinkan koneksi jika aman" dan opsi komputer jarak jauh.

  • Nama: blokir domain keluar/SMB 445 pribadi

  • Deskripsi: MEMBLOKIR Traffic SMB TCP 445 yang keluar. Timpa dengan menggunakan aturan "Izinkan domain keluar/pribadi SMB 445"

  • Tindakan: memblokir koneksi

  • Program: Semua

  • Komputer jarak jauh: N/A

  • Tipe protokol: TCP

  • Port Lokal: apa pun

  • Port jarak jauh: 445

  • Profil: pribadi/domain

  • Lingkup (alamat IP lokal): apa pun

  • Lingkup (alamat IP jarak jauh): N/A

  • Traversal Edge: traversal blok tepi

Anda tidak boleh memblokir Traffic SMB keluar secara global dari komputer ke pengontrol domain atau server file. Namun, Anda bisa membatasi akses ke mereka dari rentang IP tepercaya dan perangkat untuk menurunkan permukaan serangannya.

Untuk informasi selengkapnya, lihat mendesain firewall Windows Defender dengan strategi keamanan tingkat lanjut dan firewall Windows Defender dengan panduan penggunaan keamanan tingkat lanjut

Aturan koneksi keamanan

Anda harus menggunakan aturan koneksi keamanan untuk menerapkan pengecualian aturan firewall keluar untuk "Perbolehkan koneksi jika aman" dan "Izinkan koneksi untuk menggunakan enkapsulasi null". Jika Anda tidak mengatur aturan ini pada semua komputer berbasis Windows dan berbasis Windows Server, autentikasi akan gagal, dan SMB akan diblokir keluar. 

Misalnya, pengaturan berikut ini diperlukan:

  • Tipe aturan: isolasi

  • Persyaratan: autentikasi permintaan untuk koneksi masuk dan keluar

  • Metode autentikasi: komputer dan pengguna (Kerberos V5)

  • Profil: domain, privat, publik

  • Nama: autentikasi ESP isolasi untuk mengesampingkan SMB

Untuk informasi selengkapnya tentang aturan koneksi keamanan, lihat artikel berikut ini:

Layanan Windows workstation and server

Untuk konsumen atau sangat terisolasi, komputer terkelola yang tidak mengharuskan SMB sama sekali, Anda bisa menonaktifkan layanan server atau workstation. Anda bisa melakukan ini secara manual dengan menggunakan snap-in "Services" (Services. MSC) dan cmdlet set-Service PowerShell, atau dengan menggunakan preferensi kebijakan grup. Saat Anda menghentikan dan menonaktifkan layanan ini, SMB tidak bisa lagi membuat koneksi keluar atau menerima koneksi masuk.

Anda tidak boleh menonaktifkan layanan server pada pengontrol domain atau server file atau tidak ada klien yang dapat menerapkan kebijakan grup atau menyambungkan ke datanya lagi. Anda tidak boleh menonaktifkan layanan workstation pada komputer yang merupakan anggota domain direktori aktif atau tidak lagi menerapkan kebijakan grup.

Referensi

Mendesain firewall Windows Defender dengan strategi
keamanan tingkat lanjut Firewall Windows Defender dengan panduan
penggunaan keamanan tingkat lanjut Aplikasi
Azure remote Alamat IP Datacenter Azure
Alamat IP Microsoft O365

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×