Uniemożliwianie połączeń lateral smb oraz wprowadzanie lub opuszczanie sieci

Metody zapory obwodowej

Zapory sprzętu i urządzenia obwodowego, które znajdują się na krawędzi sieci, powinny blokować niezamawianą komunikację (z Internetu) i ruch wychodzący (do Internetu) do następujących portów.
 

Jest mało prawdopodobne, że jakakolwiek komunikacja SMB pochodząca z Internetu lub przeznaczona do Internetu jest legalna. Podstawową sprawą może być serwer lub usługa oparta na chmurze, taka jak Azure Files. W zaporze obwodowej należy utworzyć ograniczenia oparte na adresach IP, aby zezwolić tylko na te konkretne punkty końcowe. Organizacje mogą zezwolić na dostęp portu 445 do określonych zakresów IP i centrum danych platformy Azure oraz usługi O365 w celu włączenia scenariuszy hybrydowych, w których klienci lokalni (za zaporą przedsiębiorstwa) używają portu SMB do rozmów z magazynem plików platformy Azure. Należy również zezwolić tylko na SMB 3.i wymagać szyfrowania SMB AES-128. Aby uzyskaćwięcejinformacji, zobacz sekcję "Odwołania".

Uwaga Użycie transportu NetBIOS dla SMB zakończyło się w systemach Windows Vista, Windows Server 2008 i wszystkich nowszych systemach operacyjnych firmy Microsoft, gdy firma Microsoft wprowadziła SMB 2.02. W środowisku może jednak być zainstalowane oprogramowanie i urządzenia inne niż windows. Jeśli jeszcze tego nie zrobiono, należy wyłączyć i usunąć SMB1, ponieważ nadal korzysta on z systemu NetBIOS. Nowsze wersje systemu Windows Server i Windows domyślnie nie instalują już SMB1 i zostaną automatycznie usuwane, jeśli jest to dozwolone.

Metody zapory usługi Windows Defender

Wszystkie obsługiwane wersje systemu Windows i Windows Server obejmują Zaporę Windows Defender (wcześniej o nazwie Zapora systemu Windows). Zapora zapewnia dodatkową ochronę urządzeń, zwłaszcza w sytuacji, gdy urządzenia poruszają się poza siecią lub gdy działają w obrębie jednej sieci.

Zapora Windows Defender ma osobne profile dla określonych typów sieci: Domena, Prywatny oraz Gość/Publiczna. Sieć gościa/publiczna zwykle otrzymuje znacznie bardziej restrykcyjne ustawienia niż bardziej zaufane sieci prywatne i domeny. W zależności od oceny zagrożeń i potrzeb operacyjnych może się okazać, że obowiązują różne ograniczenia dotyczące SMB dla tych sieci.

Połączenia przychodzące z komputerem

W przypadku klientów i serwerów systemu Windows, które nie hostują udziałów SMB, możesz zablokować cały ruch przychodzący przy użyciu Zapory usługi Windows Defender, aby zapobiec dostępowi zdalnym do złośliwych lub naruszonych urządzeń. W Zaporze usługi Windows Defender są następujące reguły ruchu przychodzącego.

Aby zastąpić inne reguły zapory przychodzącej, należy również utworzyć nową regułę blokowania. Użyj następujących sugerowanych ustawień dla wszystkich klientów lub serwerów systemu Windows, na których nie są hostowane udziały SMB:

• Nazwa:Blokowanie wszystkich przychodzących 445 mb

• Opis:Blokuje cały przychodzący ruch TCP 445 SMB. Nie należy stosować ich do kontrolerów domen ani komputerów hostowych udziały SMB.

• Akcja:blokowanie połączenia

• Programy:Wszystkie

• Komputery zdalne:dowolne

• Typ protokołu:TCP

• Port lokalny:445

• Port zdalny:dowolny

• Profile:Wszystkie

• Zakres (lokalny adres IP): dowolne

• Zakres (zdalny adres IP): dowolne

• Edge Traversal:Block edge traversal

Nie można globalnie blokować przychodzącego ruchu SMB do kontrolerów domen lub serwerów plików. Możesz jednak ograniczyć dostęp do nich z zaufanych zakresów adresów IP i urządzeń, aby obniżyć poziom ich ataków. Powinny one również zostać ograniczone do profilów zapory prywatnej lub domeny i nie zezwalać na ruch gościa/publiczny.

Uwaga Od czasu systemu Windows XP z dodatkiem SP2 i Windows Server 2003 z dodatkiem SP1 Zapora systemu Windows domyślnie blokowała całą komunikację przychodzących plików SMB. Urządzenia z systemem Windows zezwalają na przychodzące wiadomości SMB tylko wtedy, gdy administrator utworzy udział SMB lub zmieni ustawienia domyślne zapory. Nie ufaj domyślnemu, nieuważnemu systemowi obsługi, które będzie nadal w miejscu na urządzeniach. Zawsze sprawdzaj ustawienia i ich żądany stan oraz zarządzaj nimi, używając zasady grupy innych narzędzi do zarządzania.

Aby uzyskać więcej informacji, zobacz Projektowanie Zapory programu Windows Defender z zaawansowaną strategią zabezpieczeń i Zaporą programu Windows Defender z przewodnikiem zaawansowanego wdrażania zabezpieczeń

Połączenia wychodzące z komputera

Klienci i serwery systemu Windows wymagają połączeń wychodzących SMB w celu zastosowania zasad grupy z kontrolerów domen oraz zapewnienia użytkownikom i aplikacjom dostępu do danych na serwerach plików, dlatego podczas tworzenia reguł zapory należy zadbać o to, aby zapobiec złośliwym połączeń lateralnych lub internetowych. Domyślnie klient lub serwer systemu Windows nie ma żadnych bloków ruchu wychodzącego łączących się z udziałami SMB, więc będzie trzeba utworzyć nowe reguły blokowania.

Aby zastąpić inne reguły zapory przychodzącej, należy również utworzyć nową regułę blokowania. Użyj poniższych sugerowanych ustawień dla wszystkich klientów lub serwerów systemu Windows, na których nie są hostowane udziały SMB.

Sieci gości/publiczne (niezaufane)

• Nazwa:Blokowanie ruchu wychodzącego gość/publicznych 445 mb

• Opis:blokuje cały wychodzący ruch TCP 445 SMB w niezaufanej sieci

• Akcja:blokowanie połączenia

• Programy:Wszystkie

• Komputery zdalne:dowolne

• Typ protokołu:TCP

• Port lokalny:dowolny

• Port zdalny:445

• Profile:Gość/Publiczna

• Zakres (lokalny adres IP): dowolne

• Zakres (zdalny adres IP): dowolne

• Edge Traversal:Block edge traversal

Uwaga Użytkownicy małych biur i biur domowych lub użytkownicy urządzeń przenośnych, którzy pracują w zaufanych sieciach firmowych, a następnie łączą się ze swoimi sieciami domowymi, powinni zachować ostrożność przed zablokowaniem publicznej sieci wychodzącej. Może to uniemożliwić dostęp do lokalnych urządzeń NAS lub określonych drukarek.

Sieci prywatne/domeny (zaufane)

• Nazwa:zezwalaj na domenę ruchu wychodzącego/prywatną 445 mb

• Opis:Umożliwia wychodzący ruch TCP 445 SMB tylko do komputerów I serwerów plików w zaufanej sieci

• Akcja:zezwalaj na połączenie, jeśli jest bezpieczne

• Dostosowywanie opcji Zezwalaj, jeśli ustawienia bezpieczne: wybierz jedną z opcji, ustaw opcję Zastąp reguły blokowania = WŁ.

• Programy:Wszystkie

• Typ protokołu:TCP

• Port lokalny:dowolny

• Port zdalny:445

• Profile:Prywatna/Domena

• Zakres (lokalny adres IP): dowolne

• Zakres (zdalny adres IP): <z listą adresów IP kontrolera domeny i serwera plików>

• Edge Traversal:Block edge traversal

Uwaga Możesz również użyć komputerów zdalnych zamiast funkcji Zakres zdalnych adresów IP, jeśli w połączeniu zabezpieczonym jest używane uwierzytelnianie, które przenosi tożsamość komputera. Zapoznaj się z dokumentacją Zapory programu Defender, aby uzyskać więcej informacji na temat "Zezwalaj na połączenie, jeśli jest bezpieczne" i opcji komputera zdalnego.

• Nazwa:Blokowanie domeny wychodzącej/prywatnego konta SMB 445

• Opis:Blokuje ruch wychodzący SMB TCP 445. Zastępowanie przy użyciu reguły "Zezwalaj na domenę ruchu wychodzącego/prywatną 445"

• Akcja:blokowanie połączenia

• Programy:Wszystkie

• Komputery zdalne:nie z o.o.

• Typ protokołu:TCP

• Port lokalny:dowolny

• Port zdalny:445

• Profile:Prywatna/Domena

• Zakres (lokalny adres IP): dowolne

• Zakres (zdalny adres IP): nie dotyczy

• Edge Traversal:Block edge traversal

Nie można globalnie blokować ruchu wychodzącego SMB z komputerów do kontrolerów domen lub serwerów plików. Możesz jednak ograniczyć dostęp do nich z zaufanych zakresów adresów IP i urządzeń, aby obniżyć poziom ich ataków.

Aby uzyskać więcej informacji, zobacz Projektowanie Zapory programu Windows Defender z zaawansowaną strategią zabezpieczeń i Zaporą programu Windows Defender z przewodnikiem zaawansowanego wdrażania zabezpieczeń

Reguły połączenia zabezpieczeń

Za pomocą reguły połączenia zabezpieczeń należy zaimplementować wyjątki od reguły zapory ruchu wychodzącego dla ustawień "Zezwalaj na połączenie, jeśli jest bezpieczne" i "Zezwalaj na używanie przez połączenie wartości null encapsulation". Jeśli nie ustawisz tej reguły na wszystkich komputerach z systemem Windows i Windows Server, uwierzytelnianie nie powiedzie się, a usługa SMB zostanie zablokowana na połączenia wychodzące. 

Wymagane są na przykład następujące ustawienia:

• Typ reguły:Isolation

• Wymagania:żądanie uwierzytelniania dla połączeń przychodzących i wychodzących

• Metoda uwierzytelniania:komputer i użytkownik (Kerberos V5)

• Profil:Domena, Prywatna, Publiczna

• Nazwa:Isolation ESP Authentication for SMB overrides

Aby uzyskać więcej informacji na temat reguł połączenia zabezpieczeń, zobacz następujące artykuły:

• Projektowanie Zapory programu Windows Defender z zaawansowaną strategią zabezpieczeń

• Lista kontrolna: konfigurowanie reguł dla strefy

Usługa Windows Workstation i Server

W przypadku komputerów zarządzanych z komputerami konsumenckimi lub komputerami o wysokiej izolacji, które w ogóle nie wymagają SMB, możesz wyłączyć usługi Serwer lub Stacja robocza. Możesz to zrobić ręcznie, używając przystawki "Services" (Services.msc) i polecenia cmdlet Set-Service programu PowerShell lub przy użyciu zasady grupy preferencjach. Po zatrzymaniu i wyłączeniu tych usług SMB nie może już rób połączeń wychodzących ani odbierać połączeń przychodzących.

Nie można wyłączać usługi serwera na kontrolerach domen lub serwerach plików, a klienci nie będą już mogli stosować zasad grupy ani łączyć się z ich danymi. Nie można wyłączyć usługi Stacja robocza na komputerach, które są członkami domeny usługi Active Directory, ponieważ nie będą one już stosować zasad grupy.