Riepilogo

Server Message Block (SMB) è un protocollo di condivisione file di rete e infrastruttura dati. I MB vengono utilizzati da milioni di dispositivi in un set di sistemi operativi diversi, tra cui Windows, MacOS, iOS, Linux e Android. I client usano SMB per accedere ai dati nei server. Ciò consente la condivisione di file, la gestione centralizzata dei dati e la riduzione delle esigenze di capacità di archiviazione per i dispositivi mobili. I server usano anche SMB come parte del data center definito dal software per i carichi di lavoro come il clustering e la replica.

Dal momento che SMB è un file system remoto, richiede la protezione dagli attacchi in cui un computer Windows potrebbe essere indurre a contattare un server dannoso in esecuzione all'interno di una rete attendibile o a un server remoto esterno al perimetro di rete. Le procedure consigliate e le configurazioni del firewall possono migliorare la sicurezza e impedire che il traffico dannoso lasci il computer o la rete.

Effetto delle modifiche

Il blocco della connettività a SMB potrebbe impedire il funzionamento di diverse applicazioni o servizi. Per un elenco di applicazioni e servizi di Windows e Windows Server che potrebbero smettere di funzionare in questa situazione, vedere Panoramica del servizio e requisiti delle porte di rete per Windows

Ulteriori informazioni

Approcci firewall perimetrali

I firewall perimetrali dell'hardware e dell'appliance posizionati all'edge della rete devono bloccare le comunicazioni non richieste (da Internet) e il traffico in uscita (verso Internet) alle porte seguenti.
 

Protocollo applicazione

Protocollo

Porta

SMB

TCP

445

Risoluzione dei nomi Net PIÙ.SE

UDP

137

Servizio di datagrammi Net UDP

UDP

138

Servizio di sessione Net PIÙ.SE

TCP

139


È improbabile che qualsiasi comunicazione di tipo SMB proveniente da Internet o destinata a Internet sia lecita. Il caso principale può riguardare un server o un servizio basato sul cloud, ad esempio File di Azure. È consigliabile creare restrizioni basate sugli indirizzi IP nel firewall perimetrale per consentire solo questi endpoint specifici. Le organizzazioni possono consentire l'accesso tramite porta 445 a specifici data center di Azure e intervalli IP di O365 per abilitare scenari ibridi in cui i client locali, dietro un firewall aziendale, usano la porta SMB per parlare con l'archiviazione di file di Azure. È consigliabile anche consentire solo MB 3.il traffico x e richiedono la crittografia SMB AES-128. Per altreinformazioni, vederela sezione " Riferimenti".

Nota L'uso di Net EDGE per il trasporto SMB è terminato in Windows Vista, Windows Server 2008 e in tutti i sistemi operativi Microsoft successivi, quando Microsoft ha introdotto SMB 2.02. Tuttavia, nel proprio ambiente potrebbero essere presenti software e dispositivi diversi da Windows. Se questa operazione non è già stata eseguita, è consigliabile disabilitare e rimuovere SMB1 perché usa ancora NetMB1. Le versioni più recenti di Windows Server e Windows non installano più SMB1 per impostazione predefinita e lo rimuovono automaticamente, se consentito.

Windows Defender approcci con il firewall

Tutte le versioni supportate di Windows e Windows Server includono Windows Defender firewall (in precedenza denominato Windows Firewall). Questo firewall offre una protezione aggiuntiva per i dispositivi, soprattutto quando i dispositivi si spostano all'esterno di una rete o quando vengono eseguiti all'interno di uno.

L Windows Defender Firewall ha profili distinti per determinati tipi di reti: Dominio, Privato e Guest/Pubblico. Per impostazione predefinita, la rete guest/pubblica ottiene impostazioni molto più restrittive rispetto alle reti di dominio o private più attendibili. In base alla valutazione delle minacce e alle esigenze operative, per queste reti potrebbero verificarsi restrizioni per i MB diversi.

Connessioni in ingresso a un computer

Per i client e i server windows che non ospitano condivisioni SMB, è possibile bloccare tutto il traffico SMB in ingresso usando Windows Defender Firewall per evitare che le connessioni remote possano essere dannose o compromesse da dispositivi. Nell'Windows Defender Firewall sono incluse le regole in ingresso seguenti.

Name

Profilo

Abilitato

Condivisione di file e stampanti (MB)

Tutti

No

Servizio Netlogon (NP-In)

Tutti

No

Gestione remota log eventi (NP-In)

Tutti

No

Gestione remota servizi (NP-In)

Tutti

No


È anche consigliabile creare una nuova regola di blocco per ignorare eventuali altre regole del firewall in ingresso. Usare le impostazioni suggerite di seguito per i client o i server Windows che non ospitano condivisioni SMB:

  • Nome:bloccare tutti i pacchetti SMB in ingresso 445

  • Descrizione:blocca tutto il traffico TCP 445 di SMB in ingresso. Da non applicare ai controller di dominio o ai computer che ospitano condivisioni SMB.

  • Azione:bloccare la connessione

  • Programmi: Tutti

  • Computer remoti:qualsiasi

  • Tipo di protocollo:TCP

  • Porta locale: 445

  • Porta remota:qualsiasi

  • Profili: Tutti

  • Ambito (indirizzo IP locale):Qualsiasi

  • Ambito (indirizzo IP remoto):Qualsiasi

  • Edge Traversal: Block edge traversal

Non è possibile bloccare globalmente il traffico SMB in ingresso verso i controller di dominio o i file server. Tuttavia, è possibile limitare l'accesso agli intervalli IP e ai dispositivi attendibili per abbassare la superficie di attacco. Inoltre, devono essere limitati ai profili del firewall dominio o privato e non consentire il traffico guest/pubblico.

Nota Windows Firewall ha bloccato per impostazione predefinita tutte le comunicazioni SMB in ingresso da Windows XP SP2 e Windows Server 2003 SP1. I dispositivi Windows consentono la comunicazione SMB in ingresso solo se un amministratore crea una condivisione SMB o modifica le impostazioni predefinite del firewall. Non è consigliabile considerare attendibile l'esperienza Predefinita perché sia ancora sul posto nei dispositivi, indipendentemente da come avviene. Verificare e gestire sempre e attivamente le impostazioni e lo stato desiderato usando Criteri di gruppo o altri strumenti di gestione.

Per altre informazioni, vedere Progettazione di un firewall Windows Defender con strategia di sicurezza avanzata e Windows Defender firewall con la guida alla distribuzione di sicurezza avanzata

Connessioni in uscita da un computer

I client e i server di Windows richiedono connessioni SMB in uscita per applicare criteri di gruppo dai controller di dominio e per consentire a utenti e applicazioni di accedere ai dati nei file server, quindi è necessario fare attenzione quando si creano regole del firewall per evitare connessioni laterali o Internet dannose. Per impostazione predefinita, non ci sono blocchi in uscita su un client o un server Windows che si connette alle condivisioni SMB, quindi sarà necessario creare nuove regole di blocco.

È anche consigliabile creare una nuova regola di blocco per ignorare eventuali altre regole del firewall in ingresso. Usare le impostazioni suggerite di seguito per i client o i server Windows che non ospitano condivisioni SMB.

Reti guest/pubbliche (non attendibili)

  • Nome:Bloccare guest/SMB pubblico in uscita 445

  • Descrizione:blocca tutto il traffico TCP 445 di SMB in uscita in una rete non attendibile

  • Azione:bloccare la connessione

  • Programmi: Tutti

  • Computer remoti:qualsiasi

  • Tipo di protocollo:TCP

  • Porta locale:qualsiasi

  • Porta remota: 445

  • Profili: Guest/Pubblico

  • Ambito (indirizzo IP locale):Qualsiasi

  • Ambito (indirizzo IP remoto):Qualsiasi

  • Edge Traversal: Block edge traversal

Nota Gli utenti di piccoli uffici e di casa, o gli utenti mobili che lavorano in reti attendibili aziendali e quindi si connettono alle reti domestiche, devono prestare attenzione prima di bloccare la rete pubblica in uscita. Questa operazione può impedire l'accesso ai dispositivi NAS locali o a determinate stampanti.

Reti private/di dominio (attendibili)

  • Nome:Consenti dominio in uscita/SMB privato 445

  • Descrizione:consente il traffico TCP 445 in uscita di SMB solo ai PC e ai file server quando si è in una rete attendibile

  • Azione:consentire la connessione se è sicura

  • Personalizzare Consenti se impostazioni sicure: selezionare una delle opzioni, impostare Ignora regole blocco = ON

  • Programmi: Tutti

  • Tipo di protocollo:TCP

  • Porta locale:qualsiasi

  • Porta remota: 445

  • Profili: Privato/Dominio

  • Ambito (indirizzo IP locale):Qualsiasi

  • Ambito (indirizzo IP remoto):<di indirizzi IP del controller di dominio e del file server>

  • Edge Traversal: Block edge traversal

Nota È anche possibile usare Computer remoti invece di Ambito indirizzi IP remoti, se la connessione protetta usa un'autenticazione che trasporta l'identità del computer. Per altre informazioni su "Consenti la connessione se sicura" e sulle opzioni di Computer remoto, vedere la documentazione di Defender Firewall.

  • Nome:blocca dominio in uscita/SMB privato 445

  • Descrizione:blocca il traffico TCP 445 di SMB in uscita. Eseguire l'override usando la regola "Consenti dominio in uscita/private SMB 445"

  • Azione:bloccare la connessione

  • Programmi: Tutti

  • Computer remoti: N/D

  • Tipo di protocollo:TCP

  • Porta locale:qualsiasi

  • Porta remota: 445

  • Profili: Privato/Dominio

  • Ambito (indirizzo IP locale):Qualsiasi

  • Ambito (indirizzo IP remoto): N/D

  • Edge Traversal: Block edge traversal

Non è possibile bloccare globalmente il traffico SMB in uscita dai computer ai controller di dominio o ai file server. Tuttavia, è possibile limitare l'accesso agli intervalli IP e ai dispositivi attendibili per abbassare la superficie di attacco.

Per altre informazioni, vedere Progettazione di un firewall Windows Defender con strategia di sicurezza avanzata e Windows Defender firewall con la guida alla distribuzione di sicurezza avanzata

Regole di connessione di sicurezza

È necessario usare una regola di connessione di sicurezza per implementare le eccezioni delle regole del firewall in uscita per le impostazioni "Consenti la connessione se è sicura" e "Consenti alla connessione di usare l'encapsulation Null". Se non si imposta questa regola in tutti i computer basati su Windows e Windows Server, l'autenticazione non riuscirà e il pacchetto SMB verrà bloccato in uscita. 

Ad esempio, sono necessarie le impostazioni seguenti:

  • Tipo di regola:Isolamento

  • Requisiti:richiedere l'autenticazione per le connessioni in ingresso e in uscita

  • Metodo di autenticazione:Computer e utente (Kerberos V5)

  • Profilo:Dominio, Privato, Pubblico

  • Nome:Autenticazione ESP di isolamento per override SMB

Per altre informazioni sulle regole di connessione di sicurezza, vedere gli articoli seguenti:

Workstation Windows e servizio server

Per i computer consumer o altamente isolati e gestiti che non richiedono affatto MB, è possibile disabilitare i servizi Server o Workstation. È possibile eseguire questa operazione manualmente usando lo snap-in "Servizi" (Services.msc) e il cmdlet Set-Service di PowerShell oppure preferenze di Criteri di gruppo. Quando si arresta e si disabilitano questi servizi, Il pacchetto SMB non può più eseguire connessioni in uscita o ricevere connessioni in ingresso.

Non è necessario disabilitare il servizio Server nei controller di dominio o nei file server oppure nessun client potrà più applicare Criteri di gruppo o connettersi ai propri dati. Non è necessario disabilitare il servizio Workstation nei computer membri di un dominio Active Directory, perché non verranno più applicati a Criteri di gruppo.

Riferimenti

Progettazione di un Windows Defender firewall con strategia di sicurezza avanzata
Windows Defender firewall con la guida alla distribuzione di sicurezza avanzata
App remote di Azure
Indirizzi IP dei data center di
Azure Indirizzi IP di Microsoft O365

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×