Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Sammendrag

Server Message Block (SMB) er en nettverksfildelings- og datalagringsprotokoll. SMB brukes av millioner av enheter i et diverse sett med operativsystemer, inkludert Windows, MacOS, iOS, Linux og Android. Klienter bruker SMB til å få tilgang til data på servere. Dette gjør det mulig å dele filer, sentralisert databehandling og senket lagringskapasitetsbehov for mobile enheter. Servere bruker også SMB som en del av det programvaredefinerte datasenteret for arbeidsbelastninger som gruppering og replikering.

Siden SMB er et eksternt filsystem, krever det beskyttelse mot angrep der en Windows-datamaskin kan bli lurt til å kontakte en ondsinnet server som kjører i et klarert nettverk, eller til en ekstern server utenfor nettverksperimeteren. Anbefalte fremgangsmåter og konfigurasjoner for brannmur kan forbedre sikkerheten og forhindre ondsinnet trafikk fra å forlate datamaskinen eller nettverket.

Effekt av endringer

Blokkering av tilkobling til SMB kan hindre at ulike programmer eller tjenester fungerer. Hvis du vil se en liste over Windows- og Windows Server-programmer og -tjenester som kan slutte å fungere i denne situasjonen, kan du se Oversikt over tjeneste og krav til nettverksport for Windows

Mer informasjon

Fremgangsmåter for perimeterbrannmur

Maskinvare- og utstyrsbrannmurer for perimeter som er plassert i kanten av nettverket, bør blokkere uoppfordret kommunikasjon (fra Internett) og utgående trafikk (til Internett) til følgende porter.
 

Programprotokoll

Protokoll

Port

SMB

TCP

445

Net NETT.RENTE navneløsing

UDP

137

NetBETJENTS-datagramtjeneste

UDP

138

NetBETJENTS-økttjeneste

TCP

139


Det er usannsynlig at all SMB-kommunikasjon som kommer fra Internett eller som er bestemt for Internett, er legitim. Det primære tilfellet kan være for en skybasert server eller tjeneste, for eksempel Azure-filer. Du bør opprette IP-adressebaserte begrensninger i din perimeterbrannmur for å tillate bare de bestemte endepunktene. Organisasjoner kan tillate port 445-tilgang til bestemte Azure-datasenter og O365 IP-områder for å aktivere hybridscenarier der lokale klienter (bak en bedriftsbrannmur) bruker SMB-porten til å snakke med Azures fillagring. Du bør også bare tillate SMB 3.x-trafikk og krever SMB AES-128-kryptering. Se avsnittetReferanser hvisdu vil ha mer informasjon.

Obs! Bruken av NetTEMPERATURS for SMB-transport ble avsluttet i Windows Vista, Windows Server 2008 og i alle senere Microsoft-operativsystemer da Microsoft introduserte SMB 2.02. Det kan imidlertid hende at du har annen programvare og andre enheter enn Windows i miljøet. Du bør deaktivere og fjerne SMB1 hvis du ikke allerede har gjort det, fordi den fremdeles bruker Net BRUK. Nyere versjoner av Windows Server og Windows installerer ikke lenger SMB1 som standard, og fjerner den automatisk hvis det er tillatt.

Fremgangsmåter for Windows Defender-brannmur

Alle støttede versjoner av Windows og Windows Server inkluderer Windows Defender-brannmuren (tidligere kalt Windows-brannmuren). Denne brannmuren gir ekstra beskyttelse for enheter, spesielt når enheter flyttes utenfor et nettverk eller når de kjører innenfor ett.

Windows Defender-brannmuren har spesifikke profiler for bestemte typer nettverk: Domene, privat og gjest/offentlig. Det gjeste-/offentlige nettverket får vanligvis mye mer restriktive innstillinger som standard enn de mer pålitelige domenene eller private nettverkene. Det kan hende at du har ulike begrensninger i SMB for disse nettverkene basert på trusselvurdering i forhold til operasjonelle behov.

Inngående tilkoblinger til en datamaskin

For Windows-klienter og -servere som ikke er vert for delte SMB-delinger, kan du blokkere all inngående SMB-trafikk ved å bruke Windows Defender-brannmuren til å forhindre eksterne tilkoblinger fra skadelige eller kompromitterte enheter. I Windows Defender-brannmuren omfatter dette følgende inngående regler.

navn

Profil

Aktivert

Fil- og skriverdeling (SMB-in)

Alle

Nei

Netlogon Service (NP-In)

Alle

Nei

Ekstern behandling av hendelseslogg (NP-in)

Alle

Nei

Administrasjon av ekstern tilkobling (NP-in)

Alle

Nei


Du bør også opprette en ny blokkeringsregel for å overstyre andre innkommende brannmurregler. Bruk følgende foreslåtte innstillinger for Windows-klienter eller -servere som ikke er vert for SMB-delinger:

  • Navn:Blokker alle innkommende SMB 445

  • Beskrivelse:Blokkerer all inngående SMB TCP 445-trafikk. Skal ikke brukes på domenekontrollere eller datamaskiner som er vert for SMB-delinger.

  • Handling:Blokkere tilkoblingen

  • Programmer:Alle

  • Eksterne datamaskiner:Alle

  • Protokolltype:TCP

  • Lokal port:445

  • Ekstern port:Alle

  • Profiler:Alle

  • Omfang (lokal IP-adresse): Alle

  • Omfang (ekstern IP-adresse): Alle

  • Edge-krysseren:Blokker kanttraversering

Du må ikke blokkere inngående SMB-trafikk globalt til domenekontrollere eller filservere. Du kan imidlertid begrense tilgangen til dem fra klarerte IP-områder og enheter for å redusere angrepsoverflaten. De må også være begrenset til domene- eller private brannmurprofiler og ikke tillate gjeste-/offentlig trafikk.

Obs! Windows-brannmuren har blokkert all innkommende SMB-kommunikasjon som standard siden Windows XP SP2 og Windows Server 2003 SP1. Windows-enheter tillater bare inngående SMB-kommunikasjon hvis en administrator oppretter en delt SMB-deling eller endrer standardinnstillingene for brannmuren. Du bør ikke stole på at standard kasseopplevelse fremdeles er på plass på enheter, uansett. Kontroller alltid og administrer aktivt innstillingene og den ønskede tilstanden ved hjelp av gruppepolicy eller andre administrasjonsverktøy.

Hvis du vil ha mer informasjon, kan du se Utforme en Windows Defender-brannmur med avansert sikkerhetsstrategi og Windows Defender-brannmur med distribusjonsveiledning for avansert sikkerhet

Utgående tilkoblinger fra en datamaskin

Windows-klienter og -servere krever utgående SMB-tilkoblinger for å bruke gruppepolicy fra domenekontrollere og for at brukere og programmer skal få tilgang til data på filservere, så du må være forsiktig når du oppretter brannmurregler for å forhindre ondsinnede laterale tilkoblinger eller Internett-tilkoblinger. Som standard er det ingen utgående blokker på en Windows-klient eller server som kobler til delte SMB-delinger, så du må opprette nye blokkeringsregler.

Du bør også opprette en ny blokkeringsregel for å overstyre andre innkommende brannmurregler. Bruk følgende foreslåtte innstillinger for Windows-klienter eller -servere som ikke er vert for SMB-delinger.

Gjeste-/offentlige nettverk (ikke-klarerte) nettverk

  • Navn:Blokkere utgående gjest/offentlig SMB 445

  • Beskrivelse:Blokkerer all utgående SMB TCP 445-trafikk når du er på et uklarert nettverk

  • Handling:Blokkere tilkoblingen

  • Programmer:Alle

  • Eksterne datamaskiner:Alle

  • Protokolltype:TCP

  • Lokal port:Alle

  • Ekstern port:445

  • Profiler:Gjest/offentlig

  • Omfang (lokal IP-adresse): Alle

  • Omfang (ekstern IP-adresse): Alle

  • Edge-krysseren:Blokker kanttraversering

Obs! Små office- og hjemmekontorbrukere, eller mobile brukere som arbeider i bedriftens klarerte nettverk og deretter kobler til hjemmenettverkene sine, bør være forsiktig før de blokkerer det offentlige utgående nettverket. Dette kan hindre tilgang til de lokale NAS-enhetene eller bestemte skrivere.

Private/domene (klarerte) nettverk

  • Navn:Tillat utgående domene/privat SMB 445

  • Beskrivelse:Tillater utgående SMB TCP 445-trafikk til bare PC-er og filservere når du er på et klarert nettverk

  • Handling:Tillat tilkoblingen hvis den er sikker

  • Tilpass Tillat hvis sikre innstillinger: velg ett av alternativene, angi overstyringsblokkregler = PÅ

  • Programmer:Alle

  • Protokolltype:TCP

  • Lokal port:Alle

  • Ekstern port:445

  • Profiler:Privat/domene

  • Omfang (lokal IP-adresse): Alle

  • Omfang (ekstern IP-adresse):<over domenekontroller og IP-adresser for filserveren>

  • Edge-krysseren:Blokker kanttraversering

Obs! Du kan også bruke eksterne datamaskiner i stedet for Angi omfang for eksterne IP-adresser hvis den sikrede tilkoblingen bruker godkjenning som bærer datamaskinens identitet. Se gjennom dokumentasjonen for Defender-brannmuren for mer informasjon om «Tillat tilkoblingen hvis den er sikker» og alternativene for ekstern datamaskin.

  • Navn:Blokkere utgående domene/privat SMB 445

  • Beskrivelse:Blokkerer utgående SMB TCP 445-trafikk. Overstyre ved hjelp av regelen Tillat utgående domene/privat SMB 445

  • Handling:Blokkere tilkoblingen

  • Programmer:Alle

  • Eksterne datamaskiner:I/T

  • Protokolltype:TCP

  • Lokal port:Alle

  • Ekstern port:445

  • Profiler:Privat/domene

  • Omfang (lokal IP-adresse): Alle

  • Omfang (ekstern IP-adresse): I/A

  • Edge-krysseren:Blokker kanttraversering

Du må ikke blokkere utgående SMB-trafikk globalt fra datamaskiner til domenekontrollere eller filservere. Du kan imidlertid begrense tilgangen til dem fra klarerte IP-områder og enheter for å redusere angrepsoverflaten.

Hvis du vil ha mer informasjon, kan du se Utforme en Windows Defender-brannmur med avansert sikkerhetsstrategi og Windows Defender-brannmur med avansert sikkerhetsdistribusjonsveiledning

Regler for sikkerhetstilkobling

Du må bruke en regel for sikkerhetstilkobling til å implementere unntakene for utgående brannmurregel for innstillingene «Tillat tilkoblingen hvis den er sikker» og «Tillat tilkoblingen å bruke null-encapsulering». Hvis du ikke angir denne regelen på alle Windows-baserte og Windows Server-baserte datamaskiner, vil godkjenning mislykkes, og SMB blokkeres utgående. 

Følgende innstillinger er for eksempel obligatoriske:

  • Regeltype:Isolering

  • Krav:Be om godkjenning for inngående og utgående tilkoblinger

  • Godkjenningsmetode:Datamaskin og bruker (Kerberos V5)

  • Profil:Domene, privat, offentlig

  • Navn:Isolation ESP-godkjenning for SMB-overstyringer

Hvis du vil ha mer informasjon om regler for sikkerhetstilkobling, kan du se følgende artikler:

Windows Arbeidsstasjon og servertjeneste

For forbrukere eller svært isolerte, administrerte datamaskiner som ikke krever SMB i det hele tatt, kan du deaktivere server- eller arbeidsstasjonstjenestene. Du kan gjøre dette manuelt ved hjelp av snapin-modulene Tjenester (Services.msc) og PowerShell Set-Service-cmdleten, eller ved hjelp av gruppepolicyinnstillinger. Når du stopper og deaktiverer disse tjenestene, kan ikke SMB lenger opprette utgående tilkoblinger eller motta inngående tilkoblinger.

Du må ikke deaktivere servertjenesten på domenekontrollere eller filservere, ellers vil ingen klienter kunne bruke gruppepolicy eller koble til dataene lenger. Du må ikke deaktivere arbeidsstasjonstjenesten på datamaskiner som er medlemmer av et Active Directory-domene, ellers vil de ikke lenger bruke gruppepolicy.

Referanser

Utforme en Windows Defender-brannmur med avansert sikkerhetsstrategi
Windows Defender Brannmur med distribusjonsveiledning for avansert sikkerhet
Azure-eksterne apper
IP-adresser for Azure-datasenter
IP-adresser for Microsoft O365

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×