Richtlijnen voor het blokkeren van bepaalde firewall-poorten om te voorkomen dat SMB-verkeer met het verlaten van de zakelijke omgeving

Van toepassing: Windows 10Windows 10, version 1511Windows 10, version 1607

Samenvatting


Kwaadwillende gebruikers kunnen het Server Message Block (SMB)-protocol gebruiken voor kwaadwillende doeleinden.

Aanbevolen procedures voor firewalls en firewall-configuraties kunnen netwerkbeveiliging verbeteren door te helpen voorkomen dat mogelijk schadelijke verkeer via het bedrijfsnetwerk.

Perimeterfirewalls onderneming dient ongevraagde communicatie (via Internet) en uitgaande verkeer (met Internet) op de volgende SMB-geassocieerde poorten te blokkeren:

137
138
139
445

Meer informatie


Deze poorten kunnen worden gebruikt om een verbinding met een potentieel schadelijke Internet gebaseerde SMB-server. SMB-verkeer moet worden beperkt tot particuliere netwerken of virtuele particuliere netwerken (VPN's).

Suggestie

Door deze poorten op de bedrijfsfirewall rand of een perimeternetwerk blokkeren beschermt systemen achter deze firewall geen aanvallen die gebruikmaken van SMB voor kwaadwillende doeleinden. Organisaties kunnen poort 445 toegang verlenen tot specifieke Azure Datacenter IP-bereiken (Zie de volgende verwijzing) hybride scenario's waar clients op gebouwen (achter een firewall voor bedrijven) met de SMB-poort Neem contact op met Azure opslaginschakelen.

Benaderingen

Perimeterfirewalls gebruiken meestal "Block aanbieding" of "Goedgekeurde aanbieding" regel methodieken of beide.

Aanbieding blokkeren
Verkeer is toegestaan tenzij een weigeren (blok weergegeven) deze regel kan.

Voorbeeld 1
Alles toestaan
137 naamservices weigeren
138 datagram services weigeren
139 session-service weigeren
445 session-service weigeren

Goedgekeurde aanbieding
Verkeer weigeren tenzij een regel voor toestaan dit toelaat.

U wordt aangeraden alle ongevraagde communicatie vanaf Internet te blokkeren om aanvallen te voorkomen waarvoor andere poorten worden gebruikt. We suggereren een raamcontract weigeren, staat met Regeluitzonderingen (goedgekeurde aanbieding).

Opmerking NetBIOS en SMB-verkeer blokkeert de lijst van erkende methode in deze sectie impliciet met een regel voor toestaan.

Voorbeeld 2
Alles weigeren
53 DNS toestaan
21 toestaan FTP
Toestaan dat 80 HTTP
HTTPS 443 toestaan
143 IMAP toestaan
123 NTP toestaan
110 POP3 toestaan
25 toestaan SMTP

Toestaan dat de lijst met poorten is niet limitatief. Afhankelijk van de zakelijke behoeften, extra firewall posten nodig zijn.

Gevolgen van de oplossing

Diverse Windows-services gebruiken de poorten waarvoor het probleem geldt. Verbinding met de poorten blokkeren werkt mogelijk niet verschillende toepassingen of services. Sommige van de toepassingen of services die kunnen worden beïnvloed, zijn de volgende:
  • Toepassingen die gebruikmaken van SMB (CIFS)
  • Toepassingen die het gebruik van mailslots of named pipes (RPC via SMB)
  • Server (bestands- en printerdeling)
  • Groepsbeleid
  • Net Logon
  • Distributed File System (DFS)
  • Terminal server-licentieverlening
  • Afdrukspooler
  • Computerbrowser
  • Remote procedure call locator
  • Fax-service
  • De Indexing-service
  • Prestatielogboeken en signalen
  • Systems Management Server
  • License logging-service

De tijdelijke oplossing ongedaan maken

Blokkering van de poorten op de firewall. Zie voor meer informatie over poorten toewijzingen voor TCP- en UDP-poort.

Referenties

Azure externe apps https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

Azure datacenter IPs- http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office- https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2