Impedir o tráfego SMB de conexões laterais e entrar ou sair da rede

Abordagens de firewall de perímetro

Firewalls de hardware e dispositivos de perímetro posicionados na borda da rede devem bloquear a comunicação não solicitada (da Internet) e o tráfego de saída (para a Internet) para as portas a seguir.
 

É improvável que qualquer comunicação SMB proveniente da Internet ou destinada à Internet seja legítima. O caso principal pode ser para um servidor ou serviço baseado em nuvem, como arquivos do Azure. Você deve criar restrições baseadas em endereço IP no firewall de perímetro para permitir apenas esses pontos de extremidade específicos. As organizações podem permitir o acesso da porta 445 a intervalos de IP específicos do Azure Datacenter e do O365 para habilitar cenários híbridos nos quais os clientes locais (atrás de um firewall empresarial) usam a porta SMB para falar com o armazenamento de arquivos do Azure. Você também deve permitir apenas o SMB 3.x traffic and require SMB AES-128 encryption. Consulte a seção "References" para obter mais informações.

Observação O uso do NetBIOS para transporte SMB terminou no Windows Vista, Windows Server 2008 e em todos os sistemas operacionais Microsoft posteriores quando a Microsoft introduziu o SMB 2.02. No entanto, você pode ter softwares e dispositivos diferentes Windows em seu ambiente. Você deve desabilitar e remover o SMB1 se ainda não tiver feito isso porque ele ainda usa o NetBIOS. Versões posteriores do Windows Server e Windows não instalarão mais o SMB1 por padrão e o removerão automaticamente, se permitido.

Windows Defender de firewall

Todas as versões com suporte do Windows e Windows Server incluem o Windows Defender Firewall (anteriormente chamado Windows Firewall). Esse firewall fornece proteção adicional para dispositivos, especialmente quando os dispositivos se movem para fora de uma rede ou quando são executados em um.

O Windows Defender Firewall tem perfis distintos para determinados tipos de redes: Domínio, Privado e Convidado/Público. A rede Convidado/Pública geralmente obtém configurações muito mais restritivas por padrão do que as redes domínio ou privada mais confiáveis. Você pode ter restrições de SMB diferentes para essas redes com base na sua avaliação de ameaças versus necessidades operacionais.

Conexões de entrada para um computador

Para Windows clientes e servidores que não hospedam compartilhamentos SMB, você pode bloquear todo o tráfego SMB de entrada usando o Windows Defender Firewall para impedir conexões remotas de dispositivos mal-intencionados ou comprometidos. No Windows Defender Firewall, isso inclui as seguintes regras de entrada.

Você também deve criar uma nova regra de bloqueio para substituir outras regras de firewall de entrada. Use as seguintes configurações sugeridas para quaisquer clientes Windows ou servidores que não hospedam Compartilhamentos SMB:

• Nome: Bloquear todo o SMB de entrada 445

• Descrição: bloqueia todo o tráfego SMB TCP 445 de entrada. Não deve ser aplicado a controladores de domínio ou computadores que hospedam compartilhamentos SMB.

• Ação: bloquear a conexão

• Programas: Todos

• Computadores remotos: Qualquer

• Tipo de protocolo: TCP

• Porta Local: 445

• Porta Remota: Qualquer

• Perfis: Todos

• Escopo (Endereço IP local): Qualquer

• Escopo (Endereço IP Remoto): Qualquer

• Borda Atravessada: Bloquear a borda atravessada

Você não deve bloquear globalmente o tráfego SMB de entrada para controladores de domínio ou servidores de arquivos. No entanto, você pode restringir o acesso a eles de intervalos IP confiáveis e dispositivos para diminuir a superfície de ataque. Eles também devem ser restritos a perfis de firewall domínio ou privado e não permitir tráfego público/convidado.

Observação O Windows firewall bloqueou todas as comunicações SMB de entrada por padrão desde Windows XP SP2 e Windows Server 2003 SP1. Windows dispositivos permitirão a comunicação SMB de entrada somente se um administrador criar um compartilhamento SMB ou alterar as configurações padrão do firewall. Você não deve confiar que a experiência padrão fora do box ainda esteja in-locar em dispositivos, independentemente. Sempre verifique e gerencie ativamente as configurações e o estado desejado usando a Política de Grupo ou outras ferramentas de gerenciamento.

Para obter mais informações, consulte Designing a Windows Defender Firewall advanced security strategy and Windows Defender Firewall with Advanced Security Deployment Guide

Conexões de saída de um computador

Windows clientes e servidores exigem conexões SMB de saída para aplicar a política de grupo de controladores de domínio e para usuários e aplicativos acessarem dados em servidores de arquivos, portanto, é necessário ter cuidado ao criar regras de firewall para evitar conexões mal-intencionadas lateral ou de Internet. Por padrão, não há blocos de saída em um cliente Windows ou servidor se conectando a compartilhamentos SMB, portanto, você terá que criar novas regras de bloqueio.

Você também deve criar uma nova regra de bloqueio para substituir outras regras de firewall de entrada. Use as configurações sugeridas a seguir para quaisquer clientes Windows ou servidores que não hospedam Compartilhamentos SMB.

Redes de convidado/público (não falsas)

• Nome: Bloquear convidado de saída/SMB público 445

• Descrição: bloqueia todo o tráfego TCP 445 SMB de saída quando em uma rede não confiança

• Ação: bloquear a conexão

• Programas: Todos

• Computadores remotos: Qualquer

• Tipo de protocolo: TCP

• Porta Local: Qualquer

• Porta Remota: 445

• Perfis: Convidado/Público

• Escopo (Endereço IP local): Qualquer

• Escopo (Endereço IP Remoto): Qualquer

• Borda Atravessada: Bloquear a borda atravessada

Observação Os usuários de escritório pequeno e home office ou usuários móveis que trabalham em redes confiáveis corporativas e se conectam às suas redes internas devem ter cuidado antes de bloquear a rede de saída pública. Isso pode impedir o acesso a seus dispositivos NAS locais ou a determinadas impressoras.

Redes privadas/domínios (confiáveis)

• Nome: Permitir domínio de saída/SMB particular 445

• Descrição: permite o tráfego TCP 445 SMB de saída apenas para DCs e servidores de arquivos quando em uma rede confiável

• Ação: Permitir a conexão se ela estiver segura

• Personalizar Permitir se segurança Configurações: escolha uma das opções, de definir Regras de bloqueio de substituição = ON

• Programas: Todos

• Tipo de protocolo: TCP

• Porta Local: Qualquer

• Porta Remota: 445

• Perfis: Privado/Domínio

• Escopo (Endereço IP local): Qualquer

• Escopo (Endereço IP remoto):<lista de endereços IP do controlador de domínio e do servidor de arquivos>

• Borda Atravessada: Bloquear a borda atravessada

Observação Você também pode usar os Computadores Remotos em vez de endereços IP remotos do Escopo, se a conexão protegida usar a autenticação que carrega a identidade do computador. Revise a documentação do Firewall do Defender para obter mais informações sobre "Permitir a conexão se estiver segura" e as opções de Computador Remoto.

• Nome: Bloquear domínio de saída/SMB particular 445

• Descrição: bloqueia o tráfego SMB TCP 445 de saída. Substituir usando a regra "Permitir domínio de saída/SMB particular 445"

• Ação: bloquear a conexão

• Programas: Todos

• Computadores remotos: N/A

• Tipo de protocolo: TCP

• Porta Local: Qualquer

• Porta Remota: 445

• Perfis: Privado/Domínio

• Escopo (Endereço IP local): Qualquer

• Escopo (Endereço IP remoto): N/A

• Borda Atravessada: Bloquear a borda atravessada

Você não deve bloquear globalmente o tráfego SMB de saída de computadores para controladores de domínio ou servidores de arquivos. No entanto, você pode restringir o acesso a eles de intervalos IP confiáveis e dispositivos para diminuir a superfície de ataque.

Para obter mais informações, consulte Designing a Windows Defender Firewall advanced security strategy and Windows Defender Firewall with Advanced Security Deployment Guide

Regras de conexão de segurança

Você deve usar uma regra de conexão de segurança para implementar as exceções de regra de firewall de saída para as configurações "Permitir a conexão se estiver segura" e "Permitir que a conexão use encapsulamento nulo". Se você não definir essa regra em todos os computadores baseados em Windows e Windows baseados em servidor, a autenticação falhará e o SMB será bloqueado na saída. 

Por exemplo, as seguintes configurações são necessárias:

• Tipo de regra: Isolamento

• Requisitos: Solicitar autenticação para conexões de entrada e saída

• Método de autenticação: Computador e usuário (Kerberos V5)

• Perfil: Domínio, Privado, Público

• Nome: Autenticação ESP de isolamento para substituições de SMB

Para obter mais informações sobre regras de conexão de segurança, consulte os seguintes artigos:

• Projetando uma Windows Defender Firewall com Estratégia de Segurança Avançada

• Lista de verificação: configurando regras para uma zona de servidor isolado

Windows Workstation and Server Service

Para computadores gerenciados de consumo ou altamente isolados que não exigem SMB, você pode desabilitar os serviços de Servidor ou Estação de Trabalho. Você pode fazer isso manualmente usando o snap-in "Services" (Services.msc) e o cmdlet Set-Service do PowerShell ou usando Preferências de Política de Grupo. Quando você para e desabilita esses serviços, o SMB não pode mais fazer conexões de saída ou receber conexões de entrada.

Você não deve desabilitar o serviço server em controladores de domínio ou servidores de arquivos ou nenhum cliente poderá aplicar a política de grupo ou se conectar mais aos seus dados. Você não deve desabilitar o serviço de Estação de Trabalho em computadores que são membros de um domínio do Active Directory ou eles não aplicarão mais a política de grupo.