Du er frakoblet, venter på at Internett skal koble til igjen

Retningslinjer for å blokkere bestemte firewall-porter for å hindre at SMB-trafikk forlater bedriftsmiljøet

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3185535
Sammendrag
Ondsinnede brukere kan bruke SMB (Servermeldingsblokk)-protokollen med onde hensikter.

Gode fremgangsmåter for brannmurer og brannmurkonfigurasjoner kan styrke sikkerheten på nettverket ved å forhindre at potensielt skadelige trafikk kryssende virksomhetsperimeteren.

Enterprise perimeterbrannmurer bør blokkeres uoppfordret kommunikasjon (fra Internett) og outgoingtraffic (på Internett) til følgende porter for SMB-forbindelse:

137
138
139
445
Mer informasjon
Disse portene kan brukes til å opprette en tilkobling til en potensielt skadelige Internett-baserte SMB-serveren. SMB-trafikk skal være begrenset til private nettverk eller virtuelle private nettverk (VPN).

Forslag

Blokkering av disse portene i enterprise kant eller ytre brannmuren bidrar til å beskytte systemer bak denne brannmuren forsøker å utnytte SMB for skadelige formål.

Nærmer seg

Perimeterbrannmurer bruker vanligvis blokk oppføring, godkjent liste regel metoder eller begge deler.

Blokkere liste
Tillate trafikk, med mindre en Nekt (blokk oppført) regel hindrer den.

Eksempel 1
Tillat alle
Avslå 137 Service
Avslå 138 datagram tjenester
Avslå 139 økt service
Avslå 445 økt service

Godkjent liste
Nekt trafikk, med mindre en regel for Tillat tillater det.

Vi anbefaler at du blokkerer all uoppfordret kommunikasjon fra Internett for å hindre angrep som kan bruke andre porter. Vi foreslår en rammebestilling Avslå, med Tillat unntak for regelen (godkjent liste).

Obs! Metoden godkjent liste i denne delen blokkerer NetBIOS og SMB-trafikk implisitt ved ikke å inkludere en regel for Tillat.

Eksempel 2
Avslå alle
Tillat 53 DNS
Tillat 21 FTP
Tillat 80 HTTP
Tillat 443-HTTPS
Tillat 143 IMAP
Tillat 123 NTP
Tillat 110 POP3
Tillat 25 SMTP

Listen over at portene ikke er fullstendig. Avhengig av bedriftens behov for ekstra brannmur oppføringer kan være nødvendig.

Hva løsningen kan føre

Flere Windows-tjenester bruker de berørte portene. Blokkering av tilkobling til portene kan hindre at flere programmer eller tjenester fungerer. Noen av programmene eller tjenestene som kan bli berørt, omfatter følgende:
  • Programmer som bruker SMB (CIFS)
  • Programmer som bruker mailslot eller navngitte kanaler (RPC over SMB)
  • Server (deling av filer og skrive ut)
  • Gruppepolicy
  • Net Logon
  • Distribuert filsystem (DFS)
  • Lisensiering for Terminal server
  • Utskriftskøen
  • Datamaskinleser
  • Remote procedure call locator
  • Fakstjeneste over Internett
  • Indekseringstjeneste
  • Ytelseslogger og -varsler
  • Systems Management Server
  • License logging-tjenesten

Slik angrer du løsningen

Fjerne blokkeringen av portene i brannmuren. Hvis du vil ha mer informasjon om porter, kan du se TCP- og UDP-porttildelinger.

Referanser

Azure eksterne programmer https://Azure.Microsoft.com/en-us/Documentation/articles/RemoteApp-PORTS/

Azure datacenter IPs http://go.Microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-us/article/Office-365-URLs-and-IP-address-Ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3185535 – Forrige gjennomgang: 08/27/2016 19:52:00 – Revisjon: 1.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtno
Tilbakemelding