SMB トラフィックをラテラル接続から防ぎ、ネットワークに出入りする

適用対象: Windows Server version 1909Windows Server version 1903Windows Server 2019

概要


サーバー メッセージ ブロック (SMB) は、ネットワーク ファイル共有およびデータ ファブリック プロトコルです。 SMB は、Windows、MacOS、iOS、Linux、Android など、さまざまなオペレーティング システムのデバイスで使用されています。 クライアントは SMB を使用してサーバー上のデータにアクセスします。 これにより、ファイルの共有、データ管理の一元化、およびモバイル デバイスのストレージ容量のニーズの削減が可能になります。 また、サーバーは、クラスタリングやレプリケーションなどのワークロードに対して、ソフトウェア定義のデータ センターの一部として SMB を使用します。

SMB はリモート ファイル システムであるため、Windows コンピューターが、信頼済みネットワーク内で実行されている悪意のあるサーバーやネットワーク境界外のリモート サーバーにアクセスするように誘導される攻撃から保護する必要があります。 ファイアウォールのベスト プラクティスと構成により、セキュリティが強化され、悪意のあるトラフィックがコンピューターまたはそのネットワークから出ることを防ぐことができます。

変更の影響

SMB への接続をブロックすると、さまざまなアプリケーションやサービスが動作しなくなる場合があります。 機能を停止する可能性がある Windows および Windows Server アプリケーションとサービスの一覧については、「Windows のサービス概要およびネットワーク ポート要件」を確認してください。
 

詳細


境界ファイアウォールのアプローチ

ネットワークの端に配置されている境界ハードウェアおよびアプライアンスのファイアウォールは、次のポートへの (インターネットからの) 未承諾通信と (インターネットへの) 送信トラフィックをブロックする必要があります。
 

アプリケーション プロトコル

プロトコル

ポート

SMB

TCP

445

NetBIOS 名前解決

UDP

137

NetBIOS データグラム サービス

UDP

138

NetBIOS セッション サービス

TCP

139


インターネットから発信された SMB 通信やインターネット向けの SMB 通信が正当であるとは考えられません。 主なケースは、Azure Files のようなクラウドベースのサーバーまたはサービスの場合です。これらの特定のエンドポイントのみを許可するには、境界ファイアウォールで IP アドレスベースの制限を作成する必要があります。 組織は、特定の Azure データセンターおよび O365 の IP 範囲へのアクセスをポート 445 に許可し、(エンタープライズ ファイアウォールの背後にある) オンプレミスのクライアントが SMB ポートを使用して Azure File Storage と通信するハイブリッドなシナリオを実現することができます。 また、SMB 3.x トラフィックのみを許可し、SMB AES-128 暗号化を要求する必要があります。 詳細については、以下の「関連情報」セクションを参照してください。

注: SMB トランスポートでの NetBIOS の使用は、Windows Vista、Windows Server 2008、および Microsoft が SMB 2.02 を導入した後のすべての Microsoft オペレーティング システムで終了しました。 ただし、環境内に Windows 以外のソフトウェアやデバイスがある場合があります。 SMB1 がまだ NetBIOS を使用しているため、SMB1 を無効にして削除する必要があります。 Windows Server および Windows の以降のバージョンでは、既定で SMB1 がインストールされなくなり、許可されている場合は自動的に削除されます。

Windows Defender ファイアウォールのアプローチ

サポートされているすべてのバージョンの Windows および Windows Server には、Windows Defender ファイアウォール (以前は Windows ファイアウォールと呼ばれていた) が含まれています。 このファイアウォールは、特にデバイスがネットワーク外に移動したとき、またはネットワーク内で実行しているときに、デバイスに対して追加の保護を提供します。

Windows Defender ファイアウォールには、次の特定の種類のネットワークに対して個別のプロファイルがあります。 ドメイン、プライベート、およびゲスト/パブリック。 ゲスト/パブリック ネットワークは、通常、信頼性の高いドメインまたはプライベート ネットワークよりも既定ではるかに制限の厳しい設定を取得します。 脅威の評価と運用上のニーズに基づいて、これらのネットワークに対して異なる SMB 制限があることに気付くかもしれません。

コンピューターへの受信接続

SMB 共有をホストしない Windows クライアントおよびサーバーの場合、Windows Defender ファイアウォールを使用してすべての受信 SMB トラフィックをブロックし、悪意のあるデバイスまたは侵害されたデバイスからのリモート接続を防ぐことができます。 Windows Defender ファイアウォールでは、これには次の受信規則が含まれます。

名前

プロファイル

有効

ファイルとプリンターの共有 (SMB-In)

すべて

なし

ネットログオン サービス (NP-In)

すべて

なし

リモート イベント ログ管理 (NP-In)

すべて

なし

リモート サービス管理 (NP-In)

すべて

なし


また、新しいブロック規則を作成して、他の受信ファイアウォール規則をオーバーライドする必要があります。 SMB 共有をホストしない Windows クライアントまたはサーバーに対して、次の推奨設定を使用します。

  • 名前: すべての受信 SMB 445 をブロックする
  • 説明: すべての受信 SMB TCP 445 トラフィックをブロックします。 SMB 共有をホストするドメイン コントローラーまたはコンピューターには適用されません。
  • 対策 接続をブロックする
  • プログラム: すべて
  • リモート コンピューター: 任意
  • プロトコルの種類: TCP
  • ローカル ポート: 445
  • リモート ポート: 任意
  • プロファイル: すべて
  • スコープ (ローカル IP アドレス): 任意
  • スコープ (リモート IP アドレス): 任意
  • エッジ トラバーサル: ブロック エッジ トラバーサル

ドメイン コントローラーまたはファイル サーバーへの受信 SMB トラフィックをグローバルにブロックしないでください。 ただし、信頼済み IP 範囲とデバイスからのアクセスを制限して、攻撃対象を減らすことができます。 また、ドメインまたはプライベート ファイアウォール プロファイルに制限し、ゲスト/パブリック トラフィックを許可しないようにする必要があります。

注: Windows XP SP2 および Windows Server 2003 SP1 以降、Windows ファイアウォールでは、既定ですべての受信 SMB 通信がブロックされています。 Windows デバイスは、管理者が SMB 共有を作成するか、ファイアウォールの既定の設定を変更した場合にのみ、受信 SMB 通信を許可します。 いずれにせよ、既定の標準のエクスペリエンスが、デバイス上でインプレースのままであることを信頼しないでください。 グループ ポリシーやその他の管理ツールを使用して、設定とその必要な状態を常に確認し、アクティブに管理します。

詳細については、「高度なセキュリティ戦略を使用した Windows Defender ファイアウォールの設計」および「セキュリティが強化された Windows Defender ファイアウォールの展開ガイド」を参照してください。

コンピューターからの送信接続

Windows クライアントとサーバーは、ドメイン コントローラーからグループ ポリシーを適用し、ユーザーとアプリケーションがファイル サーバー上のデータにアクセスするために、送信 SMB 接続を必要とするため、ファイアウォール規則を作成するときは、悪意のあるラテラルまたはインターネット接続を防ぐように注意する必要があります。 既定では、SMB 共有に接続している Windows クライアントまたはサーバーには送信ブロックがないため、新しいブロック規則を作成する必要があります。

また、新しいブロック規則を作成して、他の受信ファイアウォール規則をオーバーライドする必要があります。 SMB 共有をホストしない Windows クライアントまたはサーバーに対して、次の推奨設定を使用します。

ゲスト/パブリック (信頼されない) ネットワーク

  • 名前: 送信ゲスト/パブリック SMB 445 をブロックする
  • 説明: 信頼されていないネットワーク上にある場合、すべての送信 SMB TCP 445 トラフィックをブロックします
  • 対策 接続をブロックする
  • プログラム: すべて
  • リモート コンピューター: 任意
  • プロトコルの種類: TCP
  • ローカル ポート: 任意
  • リモート ポート: 445
  • プロファイル: ゲスト/パブリック
  • スコープ (ローカル IP アドレス): 任意
  • スコープ (リモート IP アドレス): 任意
  • エッジ トラバーサル: ブロック エッジ トラバーサル

注: 小規模オフィスおよびホーム オフィスのユーザー、または企業の信頼済みネットワークで作業し、ホーム ネットワークに接続するモバイル ユーザーは、パブリックな送信ネットワークをブロックする前に注意する必要があります。 これを行うと、ローカル NAS デバイスまたは特定のプリンターにアクセスできなくなる可能性があります。

プライベート/ドメイン (信頼済み) ネットワーク

  • 名前: 送信ドメイン/プライベート SMB 445 を許可する
  • 説明: 信頼済みネットワーク上にある場合、DC およびファイルサーバーのみへの送信 SMB TCP 445 トラフィックを許可します
  • 対策 セキュリティで保護されている場合は、接続を許可します
  • セキュリティ設定の場合に許可をカスタマイズ: いずれかのオプションを選択し、ブロック規則の上書きを [オン] に設定します。
  • プログラム: すべて
  • プロトコルの種類: TCP
  • ローカル ポート: 任意
  • リモート ポート: 445
  • プロファイル: プライベート/ドメイン
  • スコープ (ローカル IP アドレス): 任意
  • スコープ (リモート IP アドレス): <ドメイン コントローラーとファイル サーバーの IP アドレスのリスト>
  • エッジ トラバーサル: ブロック エッジ トラバーサル

注: セキュリティで保護された接続がコンピューターの ID を伝える認証を使用する場合は、スコープのリモート IP アドレスの代わりにリモート コンピューターを使用することもできます。 「セキュリティで保護されている場合は、接続を許可します」およびリモート コンピューターのオプションの詳細については、Defender ファイアウォールのドキュメントを参照してください。

  • 名前: 送信ドメイン/プライベート SMB 445 をブロックする
  • 説明: 送信 SMB TCP 445 トラフィックをブロックします。 「送信ドメイン/プライベート SMB 445 を許可する」規則を使用して上書きします
  • 対策 接続をブロックする
  • プログラム: すべて
  • リモート コンピューター: なし
  • プロトコルの種類: TCP
  • ローカル ポート: 任意
  • リモート ポート: 445
  • プロファイル: プライベート/ドメイン
  • スコープ (ローカル IP アドレス): 任意
  • スコープ (リモート IP アドレス): なし
  • エッジ トラバーサル: ブロック エッジ トラバーサル

コンピューターからドメイン コントローラーまたはファイル サーバーへの送信 SMB トラフィックをグローバルにブロックしないでください。 ただし、信頼済み IP 範囲とデバイスからのアクセスを制限して、攻撃対象を減らすことができます。

詳細については、「高度なセキュリティ戦略を使用した Windows Defender ファイアウォールの設計」および「セキュリティが強化された Windows Defender ファイアウォールの展開ガイド」を参照してください。

Windows ワークステーションおよびサーバー サービス

SMB をまったく必要としないコンシューマーまたは高度に分離された管理対象コンピューターの場合、サーバーまたはワークステーション サービスを無効にできます。 これは、「サービス」スナップイン (Services.msc) と PowerShell Set-Service コマンドレットを使用するか、グループ ポリシーの基本設定を使用して、手動で行うことができます。 これらのサービスを停止および無効にすると、SMB は送信接続を確立したり、受信接続を受信したりできなくなります。

ドメイン コントローラーまたはファイル サーバーでサーバー サービスを無効にしないでください。無効にすると、クライアントはグループ ポリシーを適用したり、データに接続したりできなくなります。 Active Directory ドメインのメンバーであるコンピューターでワークステーション サービスを無効にしないでください。無効にすると、グルー プポリシーが適用されなくなります。