요약
SMB(서버 메시지 블록)는 네트워크 파일 공유 및 데이터 패브릭 프로토콜입니다. SMB는 MacOS, iOS, Linux 및 Android를 포함하여 다양한 운영 체제 Windows 수억 대의 디바이스에서 사용됩니다. 클라이언트는 SMB를 사용하여 서버의 데이터에 액세스합니다. 이렇게 하면 모바일 디바이스에 대한 파일 공유, 중앙 집중식 데이터 관리 및 저장소 용량 요구를 낮출 수 있습니다. 또한 서버는 클러스터링 및 복제와 같은 워크로드에 대해 소프트웨어 정의 데이터 센터의 일부로 SMB를 사용합니다.
SMB는 원격 파일 시스템이기 때문에 신뢰할 수 있는 네트워크 Windows 외부의 원격 서버에 액세스하는 데 속일 수 있는 공격으로부터 보호해야 합니다. 방화벽 모범 사례 및 구성은 보안을 강화하고 악의적인 트래픽이 컴퓨터 또는 네트워크에서 나가지 않도록 방지할 수 있습니다.
변경 내용의 영향
SMB에 대한 연결을 차단하면 다양한 애플리케이션 또는 서비스가 작동하지 않을 수 있습니다. 이 상황에서 작동을 중지할 수 Windows Windows 서버 애플리케이션 및 서비스 목록은 서비스 개요 및 네트워크 포트 요구 사항을 Windows
추가 정보
경계 방화벽 접근 방식
네트워크 가장자리에 배치된 경계 하드웨어 및 어플라이언스 방화벽은 원치 않는 통신(인터넷)과 발신 트래픽(인터넷)을 다음 포트로 차단해야 합니다.
|
응용 프로그램 프로토콜 |
프로토콜 |
포트 |
|
SMB |
TCP |
445 |
|
NetBIOS 이름 확인 |
UDP |
137 |
|
NetBIOS 데이터그램 서비스 |
UDP |
138 |
|
NetBIOS 세션 서비스 |
TCP |
139 |
인터넷에서 시작되거나 인터넷에 대한 모든 SMB 통신이 합법적이지 않습니다. 클라우드 기반 서버 또는 Azure Files와 같은 서비스에 대한 기본 사례일 수 있습니다. 경계 방화벽에서 IP 주소 기반 제한을 만들어 해당 특정 엔드포인트만 허용해야 합니다. 조직에서는 특정 Azure Datacenter 및 O365 IP 범위에 대한 포트 445 액세스 권한을 허용하여 프레미스 클라이언트(엔터프라이즈 방화벽 뒤)가 SMB 포트를 사용하여 Azure 파일 저장소와 대화하는 하이브리드 시나리오를 사용하도록 설정할 수 있습니다. 또한 SMB 3만 허용해야 할 것입니다.x 트래픽 및 SMB AES-128 암호화가 요구됩니다. 자세한 내용은"참조"섹션을 참조하세요.
참고 SMB 전송에 NetBIOS의 사용은 Microsoft가 SMB 2.02를 도입할 때 Windows Vista, Windows 서버 2008 및 모든 이후 Microsoft 운영 체제에서 종료되었습니다. 그러나 사용자 환경에 다른 소프트웨어 및 Windows 있을 수 있습니다. 아직 NetBIOS를 사용했기 때문에 아직 SMB1을 사용하지 않도록 설정하고 제거해야 합니다. 이후 버전의 Windows 및 Windows SMB1을 기본적으로 설치하지 않습니다. 허용되는 경우 자동으로 제거됩니다.
Windows Defender 방화벽 접근 방식
지원되는 모든 Windows Windows 서버는 Windows Defender 방화벽(이전에 Windows 방화벽이라는 이름)를 포함합니다. 이 방화벽은 디바이스에 대한 추가 보호를 제공합니다. 특히 디바이스가 네트워크 외부로 이동하거나 디바이스가 하나 내에서 실행될 때 보호됩니다.
이 Windows Defender 방화벽 도메인, 개인 및 게스트/공용의 특정 유형의 네트워크에 대해 고유한 프로필이 있습니다. 게스트/공용 네트워크는 일반적으로 신뢰할 수 있는 도메인 또는 개인 네트워크보다 기본적으로 훨씬 더 제한적인 설정을 얻습니다. 위협 평가와 운영 요구에 따라 이러한 네트워크에 대해 서로 다른 SMB 제한 사항이 있을 수 있습니다.
컴퓨터에 대한 인바운드 연결
SMB Windows 호스트하지 않는 클라이언트 및 서버의 경우 악의적 또는 손상된 디바이스에서 원격 연결을 방지하기 위해 Windows Defender 방화벽 사용하여 모든 인바운드 SMB 트래픽을 차단할 수 있습니다. 이 Windows Defender 방화벽 인바운드 규칙이 포함됩니다.
|
이름 |
프로필 |
사용 |
|
파일 및 프린터 공유(SMB-In) |
전체 |
아니요 |
|
Netlogon Service(NP-In) |
전체 |
아니요 |
|
원격 이벤트 로그 관리(NP-In) |
전체 |
아니요 |
|
원격 서비스 관리(NP-In) |
전체 |
아니요 |
또한 다른 인바운드 방화벽 규칙을 다시 적용하는 새 차단 규칙을 만들어야 합니다. SMB 공유를 호스트하지 않는 Windows 모든 클라이언트 또는 서버에 대해 다음 제안된 설정을 사용합니다.
-
이름: 모든 인바운드 SMB 445 차단
-
설명: 모든 인바운드 SMB TCP 445 트래픽을 차단합니다. SMB 공유를 호스트하는 도메인 컨트롤러 또는 컴퓨터에는 적용되지 않습니다.
-
작업: 연결 차단
-
프로그램: 모두
-
원격 컴퓨터: 모든 컴퓨터
-
프로토콜 유형: TCP
-
로컬 포트: 445
-
원격 포트: 모든 포트
-
프로필: 모두
-
범위(로컬 IP 주소): 모든
-
범위(원격 IP 주소): 모든
-
Edge Traversal: 블록 에지 트래버스
도메인 컨트롤러 또는 파일 서버에 대한 인바운드 SMB 트래픽을 전역적으로 차단하면 안 됩니다. 그러나 신뢰할 수 있는 IP 범위 및 디바이스에서 액세스 권한을 제한하여 공격 표면을 낮출 수 있습니다. 또한 도메인 또는 개인 방화벽 프로필로 제한되고 게스트/공용 트래픽을 허용하지 않습니다.
참고 Windows 방화벽은 XP SP2 및 Windows 서버 2003 SP1 이후 모든 인바운드 SMB 통신을 Windows 차단했습니다. Windows 디바이스는 관리자가 SMB 공유를 생성하거나 방화벽 기본 설정을 변경하는 경우 인바운드 SMB 통신을 허용합니다. 기본 기본 기본 환경을 디바이스에 관계없이 여전히 현재 위치로 설정하는 것은 신뢰하지 말아야 합니다. 항상 그룹 정책 또는 기타 관리 도구를 사용하여 설정 및 원하는 상태를 확인하고 적극적으로 관리합니다.
자세한 내용은 고급 보안 Windows Defender 방화벽 및 고급 보안 배포 가이드를 통해 Windows Defender 방화벽 디자인 을 참조하세요.
컴퓨터에서 아웃바운드 연결
Windows 및 서버는 도메인 컨트롤러에서 그룹 정책을 적용하고 사용자 및 애플리케이션이 파일 서버의 데이터에 액세스하기 위해 아웃바운드 SMB 연결이 필요하기 때문에 악의적인 측면 또는 인터넷 연결을 방지하기 위해 방화벽 규칙을 만들 때 주의해야 합니다. 기본적으로 SMB 공유에 Windows 클라이언트 또는 서버에 아웃바운드 블록이 없습니다. 따라서 새 차단 규칙을 만들어야 합니다.
또한 다른 인바운드 방화벽 규칙을 다시 적용하는 새 차단 규칙을 만들어야 합니다. SMB 공유를 호스트하지 않는 Windows 모든 클라이언트 또는 서버에 대해 다음 권장 설정을 사용합니다.
게스트/공용(트러스트되지 않은) 네트워크
-
이름: 차단 아웃바운드 게스트/공용 SMB 445
-
설명: 모든 아웃바운드 SMB TCP 445 트래픽을 차단합니다.
-
작업: 연결 차단
-
프로그램: 모두
-
원격 컴퓨터: 모든 컴퓨터
-
프로토콜 유형: TCP
-
로컬 포트: 모든 포트
-
원격 포트: 445
-
프로필: 게스트/공용
-
범위(로컬 IP 주소): 모든
-
범위(원격 IP 주소): 모든
-
Edge Traversal: 블록 에지 트래버스
참고 소규모 사무실 및 가정용 사무실 사용자 또는 회사 신뢰할 수 있는 네트워크에서 작업한 다음 홈 네트워크에 연결하는 모바일 사용자는 공용 아웃바운드 네트워크를 차단하기 전에 주의해야 합니다. 이렇게 하면 로컬 NAS 디바이스 또는 특정 프린터에 액세스할 수 없습니다.
개인/도메인(신뢰할 수 있는) 네트워크
-
이름: 아웃바운드 도메인/개인 SMB 445 허용
-
설명: 신뢰할 수 있는 네트워크에서 DC 및 파일 서버만 아웃바운드 SMB TCP 445 트래픽을 허용합니다.
-
작업: 보안이 유지되는 경우 연결 허용
-
보안 설정허용 사용자 지정 : 옵션 중 하나를 선택하고, 블록 규칙 을 오버라이드 설정 = ON
-
프로그램: 모두
-
프로토콜 유형: TCP
-
로컬 포트: 모든 포트
-
원격 포트: 445
-
프로필: 개인/도메인
-
범위(로컬 IP 주소): 모든
-
범위(원격 IP 주소):<도메인 컨트롤러 및 파일 서버 IP 주소 목록>
-
Edge Traversal: 블록 에지 트래버스
참고 보안 연결이 컴퓨터의 ID를 수행하는 인증을 사용하는 경우 원격 IP 주소 범위 대신 원격 컴퓨터를 사용할 수도 있습니다. "안전한 경우 연결 허용" 및 원격 컴퓨터 옵션에 대한 자세한 내용은 Defender 방화벽 설명서를 검토합니다.
-
이름: 블록 아웃바운드 도메인/개인 SMB 445
-
설명: 아웃바운드 SMB TCP 445 트래픽을 차단합니다. "아웃바운드 도메인/개인 SMB 445 허용" 규칙을 사용하여 재배치
-
작업: 연결 차단
-
프로그램: 모두
-
원격 컴퓨터: N/A
-
프로토콜 유형: TCP
-
로컬 포트: 모든 포트
-
원격 포트: 445
-
프로필: 개인/도메인
-
범위(로컬 IP 주소): 모든
-
범위(원격 IP 주소): N/A
-
Edge Traversal: 블록 에지 트래버스
컴퓨터에서 도메인 컨트롤러 또는 파일 서버로 아웃바운드 SMB 트래픽을 전역적으로 차단하면 안 됩니다. 그러나 신뢰할 수 있는 IP 범위 및 디바이스에서 액세스 권한을 제한하여 공격 표면을 낮출 수 있습니다.
자세한 내용은 고급 보안 Windows Defender 방화벽 및 고급 보안 배포 가이드를 통해 Windows Defender 방화벽 디자인 을 참조하세요.
보안 연결 규칙
보안 연결 규칙을 사용하여 "안전한 경우 연결 허용" 및 "null 캡슐화 사용 허용" 설정에 대한 아웃바운드 방화벽 규칙 예외를 구현해야 합니다. 모든 서버 기반 및 Windows 및 Windows 설정하지 않은 경우 인증이 실패하고 SMB가 아웃바운드로 차단됩니다.
예를 들어 다음 설정이 필요합니다.
-
규칙 형식: 고리
-
요구사항 : 인바운드 및 아웃바운드 연결에 대한 인증 요청
-
인증 방법: 컴퓨터 및 사용자(Kerberos V5)
-
프로필: 도메인, 개인, 공용
-
이름: SMB를 오버라이드하기 위한 ESP 인증
보안 연결 규칙에 대한 자세한 내용은 다음 문서를 참조하세요.
Windows Workstation 및 Server Service
SMB가 필요하지 않은 소비자 또는 고립된 관리되는 컴퓨터의 경우 서버 또는 Workstation 서비스를 사용하지 않도록 설정할 수 있습니다. "서비스" 스냅인(Services.msc) 및 PowerShell Set-Service cmdlet을 사용하거나 그룹 정책 기본 설정을 사용하여 수동으로 이 작업을 할 수 있습니다. 이러한 서비스를 중지하고 사용하지 않도록 설정하면 SMB는 더 이상 아웃바운드 연결을 만들거나 인바운드 연결을 받을 수 없습니다.
도메인 컨트롤러 또는 파일 서버에서 서버 서비스를 사용하지 않도록 설정하면 안 되거나 더 이상 클라이언트가 그룹 정책을 적용하거나 데이터에 연결할 수 없습니다. Active Directory 도메인의 구성원이거나 그룹 정책을 더 이상 적용하지 않는 컴퓨터에서 Workstation 서비스를 사용하지 않도록 설정하면 안 됩니다.
참조
고급 보안 Windows Defender 방화벽 설계
Windows Defender 방화벽 보안 배포 가이드를 통해 지원
Azure 원격 앱
Azure 데이터 센터 IP 주소
Microsoft O365 IP 주소
