Užkirsti kelią SMB srautui iš šoninių jungčių ir įvedant arba išeinant iš tinklo

Perimetro užkardos metodai

Perimetro aparatūra ir prietaisų užkardos, išdėstytos tinklo krašte, turi užblokuoti neužsakytus ryšius (iš interneto) ir išeinantį srautą (prie interneto) į šiuos prievadus.
 

Mažai tikėtina, kad visi SMB ryšiai, kilę iš interneto arba skirti internetui, yra teisėti. Pirminė byla gali būti taikoma nuotolinėmis duomenų saugyklomis pagrįstam serveriui arba tarnybai, pvz., "Azure" failams. Turite sukurti IP adresus pagrįstus apribojimus savo perimetro užkardoje, kad būtų galima atlikti tik konkrečius taškus. Organizacijos gali leisti "445" prieigą prie konkrečių "Azure Datacįveskite" ir "O365" IP diapazonų, kad būtų galima hibridiniams scenarijams, kuriuose vietiniai Klientai (už įmonės užkardos) naudoja SMB prievadą, kad galėtų kalbėtis su "Azure" failų saugykla. Taip pat turite leisti tik SMB 3.x Traffic ir REIKALAUTI SMB AES-128 šifravimą. Daugiau informacijos ieškokite skyriuje "nuorodos".

Pastaba "NetBIOS for SMB" naudojimas baigėsi "Windows Vista", "Windows Server 2008" ir visose paskesnėse "Microsoft" operacinėse sistemose, kai "Microsoft" pristatė SMB 2,02. Tačiau jūsų aplinkoje gali būti programinė įranga ir įrenginiai, išskyrus "Windows". Jei to dar nepadarėte, turite išjungti ir pašalinti SMB1 tipo, nes vis dar naudoja NetBIOS. Vėlesnės "Windows Server" versijos ir "Windows" nebediegia "SMB1 tipo" pagal numatytuosius numatytuosius ir automatiškai jas pašalins, jei leidžia.

"Windows" sargybos užkardos metodai

Visos palaikomos "Windows" ir "Windows Server" versijos apima "Windows" sargybos užkardą (anksčiau vadinta "Windows" užkarda). Šis užkarda suteikia papildomų įrenginių apsaugos, ypač kai įrenginiai perkeliami už tinklo ribų arba kai jie vykdomi per vieną.

"Windows" sargybos užkarda turi aiškius profilius tam tikrų tipų tinklams: domenas, privatus ir svečias/vieša. Pagal numatytuosius nustatymus svečio/viešojo tinklo parametrai paprastai būna daug griežtesni nei patikimesnis domenas ar privatūs tinklai. Galite susidurti su skirtingais SMB apribojimais šiems tinklams pagal jūsų grėsmių vertinimą ir naudojimo poreikius.

Atvykstamasis ryšys su kompiuteriu

"Windows" klientams ir serveriams, kurie nepalaiko SMB akcijų, galite užblokuoti visus gaunamus SMB srautus, naudodami "Windows" sargybos užkardą, kad išvengtumėte kenkėjiškų ar pavojų turinčių įrenginių nuotolinio ryšio. "Windows" sargybos užkardoje tai yra šios gavimo taisyklės.

Taip pat turite sukurti naują blokavimo taisyklę, kad nepaisytumėte kitų gaunamų užkardos taisyklių. Naudokite šiuos siūlomus parametrus visiems "Windows" klientams arba serveriams, kurie nepalaiko SMB akcijų:

• Pavadinimas: blokuoti visus gaunamus SMB 445

• Aprašas: blokuoja visas GAUNAMAS SMB TCP 445 srautas. Netaikomas domeno valdikliams arba kompiuteriams, kuriuose yra SMB akcijų.

• Veiksmas: blokuoti jungtį

• Programos: visos

• Nuotoliniai kompiuteriai: bet koks

• Protokolo tipas: TCP

• Vietinis prievadas: 445

• Nuotolinis prievadas: bet koks

• Profiliai: visi

• Aprėptis (vietinis IP adresas): bet koks

• Aprėptis (Nuotolinis IP adresas): bet koks

• Edge Traversal: Block Edge Traversal

Negalite visame pasaulyje blokuoti gaunamų SMB srauto į domeno valdiklius arba failų serverius. Tačiau galite apriboti prieigą prie jų iš patikimų IP diapazonų ir įrenginių, kad būtų mažesnis jų atakos paviršius. Jos taip pat turėtų būti apribotos iki domeno arba privačių užkardos profilių, o ne leisti svečiams/viešajam eismui.

Pastaba "Windows" užkarda blokuoja visus gaunamus SMB ryšius pagal numatytuosius, nes "Windows XP" SP2 ir "Windows Server" 2003 SP1. "Windows" įrenginiai leis gaunamiems SMB ryšiams tik tuo atveju, jei administratorius sukurs SMB dalį arba keičia užkardos numatytuosius parametrus. Nepasitikėkite numatytosios "out-of-Box" funkcijos, kurios turi būti įdiegtos įrenginiuose, neatsižvelgiant į. Visada patikrinkite ir aktyviai tvarkykite parametrus ir jų pageidaujamas būseną naudodami grupės strategiją arba kitus valdymo įrankius.

Daugiau informacijos ieškokite "Windows" sargybos užkardos kūrimas naudojant išplėstinę saugos strategiją ir "Windows" sargybos užkardą naudojant išplėstinį saugos diegimo vadovą

Siunčiami ryšiai iš kompiuterio

"Windows" klientams ir serveriams reikia siuntimo SMB ryšių, kad būtų galima taikyti grupės strategiją iš domeno valdiklių ir vartotojams bei programoms pasiekti duomenis failų serveriuose, todėl reikia imtis atsargumo priemonių kuriant užkardos taisykles, kad būtų išvengta kenkėjiškų ar internetinių ryšių. Pagal numatytuosius "Windows" kliento arba serverio, jungiančio su SMB akcijomis, siuntimo blokus nėra, todėl turėsite sukurti naujas blokavimo taisykles.

Taip pat turite sukurti naują blokavimo taisyklę, kad nepaisytumėte kitų gaunamų užkardos taisyklių. Naudokite šiuos siūlomus parametrus visiems "Windows" klientams arba serveriams, kurie nepalaiko SMB akcijų.

Svečias/vieši (nepatikimi) tinklai

• Pavadinimas: blokuoti išeinančius Svečių/viešieji SMB 445

• Aprašas: blokuoja visus IŠEINANČIUS SMB TCP 445 srautą, kai nepatikimame tinkle

• Veiksmas: blokuoti jungtį

• Programos: visos

• Nuotoliniai kompiuteriai: bet koks

• Protokolo tipas: TCP

• Vietinis prievadas: bet koks

• Nuotolinis prievadas: 445

• Profiliai: svečias/viešasis

• Aprėptis (vietinis IP adresas): bet koks

• Aprėptis (Nuotolinis IP adresas): bet koks

• Edge Traversal: Block Edge Traversal

Pastaba Maži "Office" ir namų "Office" vartotojai arba Mobilieji Vartotojai, kurie dirba įmonės patikimuose tinkluose, o tada jungiasi prie jų namų tinklų, turėtų būti atsargūs prieš užblokuokite viešąjį siuntimo tinklą. Tai padarę galite uždrausti prieigą prie savo vietinių nano įrenginių arba tam tikrų spausdintuvų.

Privatūs/domeno (patikimi) tinklai

• Pavadinimas: leisti siuntimo domeną/privatų SMB 445

• Aprašas: leidžia siuntimo SMB TCP 445 srautą tik DCS ir failų serveriuose patikimame tinkle

• Veiksmas: Leiskite ryšiui, jei jis yra saugus

• Tinkinti leisti jei apsaugoti parametrai: pasirinkite vieną iš parinkčių, nustatykite nepaisyti bloko taisyklių = įjungta

• Programos: visos

• Protokolo tipas: TCP

• Vietinis prievadas: bet koks

• Nuotolinis prievadas: 445

• Profiliai: privatus/domenas

• Aprėptis (vietinis IP adresas): bet koks

• Aprėptis (Nuotolinis IP adresas): <domenų valdiklio ir failų serverio IP adresų sąrašas>

• Edge Traversal: Block Edge Traversal

Pastaba Taip pat galite naudoti nuotolinius kompiuterius, o ne aprėpties nuotolinius IP adresus, jei apsaugotas prisijungimas naudoja autentifikavimą, kuris atlieka kompiuterio tapatybę. Peržiūrėkite sargybos užkardos dokumentaciją , jei norite gauti daugiau informacijos apie "leisti jungtis, jei yra saugi" ir nuotolinių kompiuterio parinkčių.

• Pavadinimas: blokuoti siuntimo domeną/privatų SMB 445

• Aprašas: blokuoja siuntimo SMB TCP 445 srautą. Nepaisyti naudojant taisyklę "leisti siuntimo domeną/privačią SMB 445"

• Veiksmas: blokuoti jungtį

• Programos: visos

• Nuotoliniai kompiuteriai: netaikoma

• Protokolo tipas: TCP

• Vietinis prievadas: bet koks

• Nuotolinis prievadas: 445

• Profiliai: privatus/domenas

• Aprėptis (vietinis IP adresas): bet koks

• Aprėptis (Nuotolinis IP adresas): N/A

• Edge Traversal: Block Edge Traversal

Negalite visuotinai blokuoti siuntimo SMB srauto iš kompiuterių į domeno valdiklius arba failų serverius. Tačiau galite apriboti prieigą prie jų iš patikimų IP diapazonų ir įrenginių, kad būtų mažesnis jų atakos paviršius.

Daugiau informacijos ieškokite "Windows" sargybos užkardos kūrimas naudojant išplėstinę saugos strategiją ir "Windows" sargybos užkardą naudojant išplėstinį saugos diegimo vadovą

Saugos ryšių taisyklės

Turite naudoti saugos ryšio taisyklę, kad įdiegtumėte siuntimo užkardos taisyklės išimtis, skirtas "leisti ryšiui, jei jis yra saugus" ir "leisti ryšiui naudoti NULL Encapsulation" parametrus. Jei nenustatėte šios taisyklės visuose kompiuteriuose, kuriuose yra "Windows" ir "Windows Server", autentifikavimas nepavyks ir SMB bus užblokuotas siuntimas. 

Pvz., būtini šie parametrai:

• Taisyklės tipas: išskyrimas

• Reikalavimai: gaunamų ir siunčiamų ryšių užklausos autentifikavimas

• Autentifikavimo metodas: kompiuteris ir vartotojas (Kerberos V5)

• Profilis: domenas, privatus, viešasis

• Pavadinimas: "SMB" perrašymų izoliavimo ESP autentifikavimas

Daugiau informacijos apie saugos ryšių taisykles rasite šiuose straipsniuose:

• "Windows" sargybos užkardos projektavimas naudojant išplėstinę saugos strategiją

• Kontrolinis sąrašas: atskiros serverio zonoshttps://docs.microsoft.com/windows/security/threat-protection/windows-firewall/checklist-configuring-rules-for-an-isolated-server-zonetaisyklių konfigūravimas

"Windows" darbo vieta ir serverio tarnyba

Jei vartotojai arba labai izoliuoti valdomi kompiuteriai, kuriems nereikia visų SMB, galite išjungti serverio arba darbo vietos tarnybas. Tai galite atlikti rankiniu būdu naudodami "Services" pridėtinį įrankį (Services. msc) ir "PowerShell" Set – Service cmdlet arba naudodami grupės strategijos nuostatas. Kai sustabdysite ir išjungsite šias tarnybas, SMB nebegali atlikti siuntimo ryšių arba gauti gaunamų ryšių.

Negalite išjungti serverio tarnybos domeno valdikliuose arba failų serveriuose arba jokie klientai negalės taikyti grupės strategijos arba prisijungti prie savo duomenų daugiau. Negalite išjungti darbo vietos tarnybos kompiuteriuose, kurie yra "Active Directory" domeno nariai arba jie nebetaiko grupės strategijos.