Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Server message Block (SMB) is een netwerkbestandsdeling en een data fabric-protocol. SMB wordt gebruikt door miljoenen apparaten in een diverse reeks besturingssystemen, waaronder Windows, MacOS, iOS, Linux en Android. Clients gebruiken SMB om toegang te krijgen tot gegevens op servers. Hierdoor kunnen bestanden, gecentraliseerde gegevensbeheer en lagere opslagcapaciteitbehoeften voor mobiele apparaten worden gedeeld. Voor werkbelastingen zoals clustering en replicatie wordt ook SMB gebruikt als onderdeel van het software-gedefinieerde datacenter.

Omdat SMB een extern bestandssysteem is, is beveiliging vereist tegen aanvallen waarin een Windows-computer mogelijk wordt gedimd om contact op te nemen met een schadelijke server die wordt uitgevoerd in een vertrouwd netwerk of op een externe server buiten de netwerkperimeter. Best practices en configuraties van firewalls kunnen de beveiliging verbeteren en voorkomen dat schadelijk verkeer de computer of het netwerk verlaat.

Effect van wijzigingen

Het blokkeren van de verbinding met SMB kan verhinderen dat verschillende toepassingen of services functioneren. Zie Serviceoverzicht en netwerkpoortvereisten voor Windows voor een lijst met Windows- en Windows Server-toepassingen en -services die in deze situatie mogelijk niet meer werken.

Meer informatie

Perimeterfirewalls

Perimeterhardware en firewalls die aan de rand van het netwerk zijn geplaatst, moeten ongevraagde communicatie (van internet) en uitgaand verkeer (naar internet) naar de volgende poorten blokkeren.
 

Toepassingsprotocol

Protocol

Poort

SMB

TCP

445

NetBIOS-naamomzetting

UDP

137

NetBIOS-datagramservice

UDP

138

NetBIOS-sessieservice

TCP

139


Het is zeer onwaarschijnlijk dat communicatie met SMB die afkomstig is van internet of bestemd voor internet, legitiem is. De primaire zaak is mogelijk voor een cloudserver of service, zoals Azure-bestanden. U moet beperkingen op basis van IP-adressen maken in de perimeterfirewall om alleen die specifieke eindpunten toe te staan. Organisaties kunnen poort 445-toegang verlenen tot specifieke Azure Datacenter- en O365-IP-bereiken om hybride scenario's mogelijk te maken waarin on-premises clients (achter een bedrijfsfirewall) de SMB-poort gebruiken om met de Azure-bestandsopslag te praten. U mag ook alleen SMB 3 toestaan.x-verkeer en SMB AES-128-versleuteling vereisen. Zie desectie 'Verwijzingen'voor meer informatie.

Opmerking Het gebruik van NetMICROS voor SMB-transport is beëindigd in Windows Vista, Windows Server 2008 en in alle latere Microsoft-besturingssystemen bij de introductie van SMB 2.02. Mogelijk hebt u echter andere software en apparaten dan Windows in uw omgeving. Schakel SMB1 uit en verwijder dit als u dat nog niet hebt gedaan, omdat er nog steeds NetDES wordt gebruikt. In nieuwere versies van Windows Server en Windows wordt SMB1 niet meer standaard geïnstalleerd en wordt dit automatisch verwijderd als dit wordt toegestaan.

Windows Defender-firewall dichterbij

Alle ondersteunde versies van Windows en Windows Server bevatten Windows Defender Firewall (voorheen Windows Firewall). Deze firewall biedt extra beveiliging voor apparaten, met name wanneer apparaten buiten een netwerk worden verplaatst of als ze binnen één netwerk worden uitgevoerd.

Windows Defender Firewall heeft verschillende profielen voor bepaalde typen netwerken: Domein, Privé en Gast/Openbaar. Het gast-/openbare netwerk krijgt standaard veel meer beperkende instellingen dan het meer betrouwbare domein of privénetwerken. Mogelijk hebt u te maken met verschillende beperkingen voor SMB's voor deze netwerken op basis van uw risicoanalyse en operationele behoeften.

Binnenkomende verbindingen met een computer

Voor Windows-clients en -servers die geen SMB-shares hosten, kunt u al het binnenkomende SMB-verkeer blokkeren door windows Defender Firewall te gebruiken om externe verbindingen van schadelijke of gekromde apparaten te voorkomen. In Windows Defender Firewall bevat dit de volgende binnenkomende regels.

Naam

Profiel

Ingeschakeld

Bestanden en printers delen (SMB-In)

Alles

Nee

Netlogon Service (NP-In)

Alles

Nee

Remote Event Log Management (NP-In)

Alles

Nee

Remote Service Management (NP-In)

Alles

Nee


U moet ook een nieuwe blokkeringsregel maken om andere binnenkomende firewallregels te vervangen. Gebruik de volgende voorgestelde instellingen voor Windows-clients of -servers die geen SMB-shares hosten:

  • Naam:alle binnenkomende SMB 445 blokkeren

  • Beschrijving:Blokkeert alle binnenkomende SMB TCP 445-verkeer. Niet van toepassing op domeincontrollers of computers waarop SMB-shares worden host.

  • Actie:de verbinding blokkeren

  • Programma's:Alles

  • Externe computers:alle

  • Protocoltype:TCP

  • Lokale poort:445

  • Externe poort:Any

  • Profielen:Alle

  • Bereik (lokaal IP-adres): Alle

  • Bereik (extern IP-adres): Alle

  • Edge Traversal: Block edge traversal

U mag binnenkomende SMB-verkeer naar domeincontrollers of bestandsservers niet globaal blokkeren. U kunt echter de toegang tot deze bereiken en apparaten beperken tot vertrouwde IP-bereiken en -apparaten om hun aanvalsoppervlak te verlagen. Ze moeten ook worden beperkt tot domein- of privéfirewallprofielen en gast-/openbaar verkeer niet toestaan.

Opmerking Windows Firewall heeft alle binnenkomende SMB-communicatie standaard geblokkeerd sinds Windows XP SP2 en Windows Server 2003 SP1. Windows-apparaten staan binnenkomende SMB-communicatie alleen toe als een beheerder een SMB-share maakt of de standaardinstellingen van de firewall wijzigt. U moet de standaard gebruikservaring niet vertrouwen om altijd op apparaten te staan, ongeacht de standaardinstelling. Controleer en beheer altijd actief de instellingen en de gewenste status met behulp van groepsbeleid of andere beheerhulpprogramma's.

Zie voor meer informatie het ontwerpen van een Windows Defender-firewall met Geavanceerde beveiligingsstrategie en Windows Defender Firewall met gids voor geavanceerde beveiligingsimplementatie

Uitgaande verbindingen vanaf een computer

Voor Windows-clients en -servers zijn uitgaande SMB-verbindingen vereist om groepsbeleid toe te passen van domeincontrollers en om ervoor te zorgen dat gebruikers en toepassingen toegang hebben tot gegevens op bestandsservers. Daarom moet u bij het maken van firewallregels zorgen om schadelijke laterale of internetverbindingen te voorkomen. Standaard zijn er geen uitgaande blokken op een Windows-client of -server die verbinding maakt met SMB-shares, dus moet u nieuwe blokkeringsregels maken.

U moet ook een nieuwe blokkeringsregel maken om andere binnenkomende firewallregels te vervangen. Gebruik de volgende voorgestelde instellingen voor Windows-clients of -servers die geen SMB-shares hosten.

Gast/openbare (niet-vertrouwde) netwerken

  • Naam:uitgaande gast/openbare SMB 445 blokkeren

  • Beschrijving:blokkeert al het uitgaande SMB TCP 445-verkeer op een niet-vertrouwd netwerk

  • Actie:de verbinding blokkeren

  • Programma's:Alles

  • Externe computers:alle

  • Protocoltype:TCP

  • Lokale poort:any

  • Externe poort:445

  • Profielen:Gast/Openbaar

  • Bereik (lokaal IP-adres): Alle

  • Bereik (extern IP-adres): Alle

  • Edge Traversal: Block edge traversal

Opmerking Kleine office- en thuisgebruikers, of mobiele gebruikers die in vertrouwde netwerken van het bedrijf werken en vervolgens verbinding maken met hun thuisnetwerken, moeten voorzichtig zijn voordat ze het openbare uitgaande netwerk blokkeren. Hierdoor is de toegang tot de lokale NAS-apparaten of bepaalde printers mogelijk niet mogelijk.

Privé/domeinnetwerken (vertrouwde netwerken)

  • Naam:uitgaande domein/privé-SMB 445 toestaan

  • Beschrijving:Hiermee wordt uitgaand SMB TCP 445-verkeer naar alleen DCs- en bestandsservers mogelijk gemaakt in een vertrouwd netwerk

  • Actie:de verbinding toestaan als deze veilig is

  • Allow if Secure Settingsaanpassen: kies een van de opties, stel Blokkeringsregels overschrijven in = AAN

  • Programma's:Alles

  • Protocoltype:TCP

  • Lokale poort:any

  • Externe poort:445

  • Profielen:privé/domein

  • Bereik (lokaal IP-adres): Alle

  • Bereik (Extern IP-adres):<lijst met IP-adressen van domeincontrollers en bestandsservers>

  • Edge Traversal: Block edge traversal

Opmerking U kunt ook de externe computers gebruiken in plaats van ip-adressen voor het bereik, als voor de beveiligde verbinding verificatie wordt gebruikt die de identiteit van de computer bevat. Lees de documentatie van Defender Firewall voor meer informatie over 'De verbinding toestaan als deze veilig is' en de opties van externe computer.

  • Naam:uitgaande domein/privé-SMB 445 blokkeren

  • Beschrijving:Blokkeert uitgaand SMB TCP 445-verkeer. Vervangen door de regel 'Uitgaande domein/privé-SMB 445 toestaan' te gebruiken

  • Actie:de verbinding blokkeren

  • Programma's:Alles

  • Externe computers:N.b.t.

  • Protocoltype:TCP

  • Lokale poort:any

  • Externe poort:445

  • Profielen:privé/domein

  • Bereik (lokaal IP-adres): Alle

  • Bereik (extern IP-adres): N.v.t.

  • Edge Traversal: Block edge traversal

U mag uitgaand SMB-verkeer van computers naar domeincontrollers of bestandsservers niet globaal blokkeren. U kunt echter de toegang tot deze bereiken en apparaten beperken tot vertrouwde IP-bereiken en -apparaten om hun aanvalsoppervlak te verlagen.

Zie voor meer informatie het ontwerpen van een Windows Defender-firewall met Geavanceerde beveiligingsstrategie en Windows Defender Firewall met gids voor geavanceerde beveiligingsimplementatie

Verbindingsregels voor beveiliging

U moet een beveiligingsverbindingsregel gebruiken om uitzonderingen voor uitgaande firewallregelen te implementeren voor de instellingen 'De verbinding toestaan als deze veilig is' en 'De verbinding toestaan null-inkapsulatie te gebruiken'. Als u deze regel niet in stelt op alle windows- en Windows Server-computers, mislukt de verificatie en wordt uitgaande SMB geblokkeerd. 

De volgende instellingen zijn bijvoorbeeld vereist:

  • Type regel:Isolatie

  • Vereisten:verificatie aanvragen voor binnenkomende en uitgaande verbindingen

  • Verificatiemethode:Computer en gebruiker (Kerberos V5)

  • Profiel:Domein, Privé, Openbaar

  • Name:Isolation ESP-verificatie voor SMB wordt overschrijven

Zie de volgende artikelen voor meer informatie over regels voor beveiligingsverbindingen:

Windows Workstation en Server Service

Voor consumenten of in hoog geïsoleerd beheerde computers waarvoor geen SMB is vereist, kunt u de server- of werkstationservices uitschakelen. U kunt dit handmatig doen met behulp van de module Services (Services.msc) en de PowerShell Set-Service-cmdlet, of met behulp van groepsbeleidsvoorkeuren. Als u deze services stopt en uit schakelen, kan SMB geen uitgaande verbindingen meer maken of binnenkomende verbindingen ontvangen.

U moet de serverservice niet uitschakelen op domeincontrollers of bestandsservers, anders kunnen er geen clients meer groepsbeleid toepassen of verbinding maken met hun gegevens. U mag de Workstation-service niet uitschakelen op computers die lid zijn van een Active Directory-domein, anders wordt er geen groepsbeleid meer toegepast.

Verwijzingen

Een Windows Defender Firewall ontwerpen met geavanceerde beveiligingsstrategie
Windows Defender Firewall met gids voor geavanceerde beveiligingsimplementatie
Externe Azure-apps
IP-adressen voor Azure-datacenter
IP-adressen voor Microsoft O365

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×