SMB トラフィックの横方向接続の禁止とネットワークへの入退出

境界ファイアウォールのアプローチ

ネットワークの端に配置されている境界ハードウェアおよびアプライアンス ファイアウォールは、(インターネットからの) 未承諾の通信と(インターネットへの) 送信トラフィックを次のポートにブロックする必要があります。
 

インターネットから送信された SMB 通信やインターネット宛ての SMB 通信が正当である可能性は低い。 主なケースは、Azure Files などのクラウドベースのサーバーまたはサービスの場合があります。 特定のエンドポイントのみを許可するには、境界ファイアウォールに IP アドレスベースの制限を作成する必要があります。 組織は、(エンタープライズ ファイアウォールの背後にある) オンプレミスクライアントが SMB ポートを使用して Azure ファイル ストレージと通信するハイブリッド シナリオを実現するために、特定の Azure Datacenter と O365 IP 範囲へのポート 445 アクセスを許可できます。 SMB 3 のみを許可する必要があります。x トラフィック。SMB AES-128 暗号化が必要です。 詳細については、「参照」セクションを参照してください。

注 SMB トランスポートでの NetBIOS の使用は、Windows Vista、Windows Server 2008、および Microsoft が SMB 2.02 を導入した後のすべての Microsoft オペレーティング システムで終了しました。 ただし、環境内に他のソフトウェアやWindowsがある場合があります。 まだ NetBIOS を使用している場合は、SMB1 を無効にし、削除する必要があります。 以降のバージョンの Windowsサーバーと Windows SMB1 は既定ではインストールされなくなりました。許可されている場合は自動的に削除されます。

Windows Defenderファイアウォールのアプローチ

Windows Server および Windows Server でサポートされているバージョンには、Windows Defender ファイアウォール (以前は Windows Firewall) が含まれます。 このファイアウォールは、デバイスがネットワークの外部に移動する場合や、デバイスがネットワーク内で実行される場合に特に、デバイスを保護します。

このWindows Defender ファイアウォール、特定の種類のネットワーク (ドメイン、プライベート、ゲスト/パブリック) に対して個別のプロファイルがあります。 通常、ゲスト/パブリック ネットワークは、信頼できるドメインまたはプライベート ネットワークよりもはるかに制限の厳しい設定を既定で取得します。 脅威の評価と運用上のニーズに基づいて、これらのネットワークに対して異なる SMB 制限がある場合があります。

コンピューターへの受信接続

SMB Windowsホストしていないクライアントとサーバーでは、悪意のあるデバイスや侵害されたデバイスからのリモート接続を防ぐために、Windows Defender ファイアウォール を使用してすべての受信 SMB トラフィックをブロックできます。 この例Windows Defender ファイアウォールには、次の受信規則が含まれます。

他の受信ファイアウォール規則をオーバーライドする新しいブロック規則も作成する必要があります。 SMB 共有をホストしていないクライアントまたはサーバー Windows、次の推奨設定を使用します。

• 名前: すべての受信 SMB 445 をブロックします。

• 説明: すべての受信 SMB TCP 445 トラフィックをブロックします。 SMB 共有をホストするドメイン コントローラーまたはコンピューターには適用されません。

• アクション: 接続をブロックする

• プログラム: すべて

• リモート コンピューター: 任意

• プロトコルの種類: TCP

• ローカル ポート: 445

• リモート ポート: 任意

• プロファイル: すべて

• スコープ (ローカル IP アドレス): Any

• スコープ (リモート IP アドレス): 任意

• エッジ トラバーサル: ブロック エッジ トラバーサル

ドメイン コントローラーまたはファイル サーバーへの受信 SMB トラフィックをグローバルにブロックしないことです。 ただし、信頼できる IP 範囲やデバイスからのアクセスを制限して、攻撃対象範囲を低くすることができます。 また、ゲスト/パブリック トラフィックを許可しないドメインまたはプライベート ファイアウォール プロファイルに制限する必要があります。

注 WINDOWS XP SP2 および WINDOWS SERVER 2003 SP1 以降、ファイアウォールは既定ですべての受信 Windows SMB 通信をブロックしています。 Windowsは、管理者が SMB 共有を作成するか、ファイアウォールの既定の設定を変更した場合にのみ、受信 SMB 通信を許可します。 デバイスでは、既定の既定のエクスペリエンスを引き続きインする必要があります(関係なく)。 グループ ポリシーまたは他の管理ツールを使用して、設定とその目的の状態を常に確認し、アクティブに管理します。

詳細については、「高度なセキュリティ戦略を使用したWindows Defender ファイアウォールの設計」および「Advanced Security Deployment Guide Windows Defender ファイアウォールを使用したセキュリティの設計」を参照してください。

コンピューターからの送信接続

Windowsクライアントとサーバーは、ドメイン コントローラーからグループ ポリシーを適用するために送信 SMB 接続を必要とします。また、ユーザーとアプリケーションがファイル サーバー上のデータにアクセスするには、ファイアウォール規則を作成するときに注意する必要があります。そのため、悪意のある横方向またはインターネット接続を防ぐには、ファイアウォール規則を作成する際に注意する必要があります。 既定では、SMB 共有に接続する Windows クライアントまたはサーバーに送信ブロックはないので、新しいブロック規則を作成する必要があります。

他の受信ファイアウォール規則をオーバーライドする新しいブロック規則も作成する必要があります。 SMB 共有をホストしていないクライアントまたはサーバー Windows、次の推奨設定を使用します。

ゲスト/パブリック (信頼されていない) ネットワーク

• 名前: ブロック送信ゲスト/パブリック SMB 445

• 説明: 信頼されていないネットワーク上の場合に、すべての送信 SMB TCP 445 トラフィックをブロックします。

• アクション: 接続をブロックする

• プログラム: すべて

• リモート コンピューター: 任意

• プロトコルの種類: TCP

• ローカル ポート: 任意

• リモート ポート: 445

• プロファイル: ゲスト/パブリック

• スコープ (ローカル IP アドレス): Any

• スコープ (リモート IP アドレス): 任意

• エッジ トラバーサル: ブロック エッジ トラバーサル

注 小規模なオフィスや自宅のオフィス ユーザー、または企業の信頼できるネットワークで働いて自宅のネットワークに接続するモバイル ユーザーは、パブリック送信ネットワークをブロックする前に注意する必要があります。 これにより、ローカル NAS デバイスや特定のプリンターにアクセスできません。

プライベート/ドメイン (信頼できる) ネットワーク

• 名前: 送信ドメイン/プライベート SMB 445 を許可する

• 説明: 信頼されたネットワーク上にある場合に、送信 SMB TCP 445 トラフィックを DC とファイル サーバーにのみ許可します。

• アクション: セキュリティで保護されている場合は、接続を許可します。

• [セキュリティで保護されている場合設定をカスタマイズする: オプションのいずれかを選択し、[ブロック規則のオーバーライド] を [オン] に設定します。

• プログラム: すべて

• プロトコルの種類: TCP

• ローカル ポート: 任意

• リモート ポート: 445

• プロファイル: プライベート/ドメイン

• スコープ (ローカル IP アドレス): Any

• スコープ (リモート IP アドレス):<コントローラーとファイル サーバーの IP アドレスの一 覧>

• エッジ トラバーサル: ブロック エッジ トラバーサル

注 セキュリティで保護された接続でコンピューターの ID を持つ認証が使用されている場合は、リモート IP アドレスのスコープではなくリモート コンピューターを使用することもできます。 「セキュリティで 保護されている場合に 接続を許可する」および「リモート コンピューター」オプションの詳細については、Defender ファイアウォールのドキュメントを参照してください。

• 名前: ブロック送信ドメイン/プライベート SMB 445

• 説明: 送信 SMB TCP 445 トラフィックをブロックします。 "送信ドメイン/プライベート SMB 445 を許可する" 規則を使用してオーバーライドする

• アクション: 接続をブロックする

• プログラム: すべて

• リモート コンピューター: N/A

• プロトコルの種類: TCP

• ローカル ポート: 任意

• リモート ポート: 445

• プロファイル: プライベート/ドメイン

• スコープ (ローカル IP アドレス): Any

• スコープ (リモート IP アドレス): N/A

• エッジ トラバーサル: ブロック エッジ トラバーサル

コンピューターからドメイン コントローラーまたはファイル サーバーへの送信 SMB トラフィックをグローバルにブロックしないことです。 ただし、信頼できる IP 範囲やデバイスからのアクセスを制限して、攻撃対象範囲を低くすることができます。

詳細については、「高度なセキュリティ戦略を使用したWindows Defender ファイアウォールの設計」および「Advanced Security Deployment Guide Windows Defender ファイアウォールを使用したセキュリティの設計」を参照してください。

セキュリティ接続規則

セキュリティ接続規則を使用して、"セキュリティで保護されている場合は接続を許可する" 設定と "Null カプセル化を使用する接続を許可する" 設定の送信ファイアウォール規則の例外を実装する必要があります。 すべての Windows ベースおよび Windows Server ベースのコンピューターでこの規則を設定しない場合、認証は失敗し、SMB は送信をブロックされます。 

たとえば、次の設定が必要です。

• 規則の種類: 分離

• 要件: 受信接続と送信接続の認証を要求する

• 認証方法: コンピューターとユーザー (Kerberos V5)

• プロファイル: ドメイン、プライベート、パブリック

• 名前: SMB オーバーライドの分離 ESP 認証

セキュリティ接続規則の詳細については、次の記事を参照してください。

• 高度なセキュリティ戦略Windows Defender ファイアウォールを使用したソリューションの設計

• チェックリスト: 分離されたサーバー ゾーンの規則を構成する

Windowsワークステーションとサーバー サービス

SMB を一切必要としないコンシューマーまたは高度に分離されたマネージド コンピューターの場合は、サーバーまたはワークステーション サービスを無効にできます。 これは、"Services" スナップイン (Services.msc) と PowerShell Set-Service コマンドレットを使用するか、グループ ポリシー設定を使用して手動で行うことができます。 これらのサービスを停止して無効にすると、SMB は送信接続を行えなくなったり、受信接続を受信したりできなくなりました。

ドメイン コントローラーまたはファイル サーバーでサーバー サービスを無効にしたり、クライアントがグループ ポリシーを適用したり、データに接続したりできなくなります。 Active Directory ドメインのメンバーであるコンピューターでワークステーション サービスを無効にしたり、グループ ポリシーを適用しなくなったりする必要があります。