Orientações para bloquear as portas de firewall específicas para impedir que o tráfego SMB deixar o ambiente empresarial

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3185535
Sumário
Utilizadores mal intencionados podem utilizar o protocolo de bloco de mensagem de servidor (SMB) para fins maliciosos.

Procedimentos recomendados de firewall e as configurações de firewall podem melhorar a segurança de rede, ajudando a impedir que o tráfego potencialmente malicioso passagem do perímetro da empresa.

Firewalls de perímetro da empresa devem bloquear comunicações não solicitadas (a partir da Internet) e outgoingtraffic (para a Internet) para as seguintes portas associada de SMB:

137
138
139
445
Mais Informação
Estas portas podem ser utilizadas para iniciar uma ligação com um servidor SMB baseados na Internet potencialmente malicioso. Tráfego SMB deve ser restringido a redes privadas ou redes privadas virtuais (VPN).

Sugestão

O bloqueio destas portas na firewall de extremidade ou do perímetro da empresa ajuda a proteger os sistemas que essa firewall sejam atacados por tentativas de tirar partido de que SMB para purposes.Organizations mal intencionado pode permitir o acesso de porta 445 para intervalos IP de Datacenter Azure específicos (ver a seguinte referência) para permitir cenários de híbridos onde os clientes locais (por trás de uma firewall empresarial) utilizam a porta SMB para falar comArmazenamento de ficheiros Azure.

Abordagens

Firewalls de perímetro normalmente utilizam "Bloquear listagem" ou "Aprovado listar" regra metodologias, ou ambos.

Bloquear lista
Permitir tráfego, a menos que um negar (bloco listado) regra impede que o mesmo.

Exemplo 1
Permitir tudo
Negar 137 de nomes de serviços
Negar 138 datagrama serviços
Negar o serviço de sessão 139
Negar 445 de sessão de serviço

Listagem de aprovado
Negar tráfego, a menos que uma regra de permissão permite-lhe.

Para ajudar a impedir ataques que possam utilizar outras portas, recomendamos que bloqueie todas as comunicações não solicitadas da Internet. Vamos sugerir um negar abertas, com permitir excepções de regras (listagem de aprovado).

Nota O método de listagem de aprovado nesta secção bloqueia o tráfego NetBIOS e SMB implicitamente através da não inclusão de uma regra de permissão.

Exemplo 2
Negar tudo
Permitir os 53 DNS
Permitir 21 FTP
Permitir 80 HTTP
Permitir que a 443 HTTPS
Permitir 143 IMAP
Permitir 123 NTP
Permitir que o 110 POP3
Permitir 25 SMTP

A lista de permitir portas não é exaustiva. Dependendo da empresa necessidades, firewall adicional entradas podem ser necessárias.

Impacto da solução alternativa

Vários serviços do Windows utilizam as portas afectadas. Bloquear a ligação às portas pode impedir diversas aplicações ou serviços de funcionamento. Algumas das aplicações ou serviços que poderiam ser afectados incluem o seguinte:
  • Aplicações que utilizam SMB (CIFS)
  • Aplicações que utilizam mailslots ou pipes nomeados (RPC sobre SMB)
  • Servidor (partilha de ficheiros e impressão)
  • Política de grupo
  • Sessão de rede
  • Sistema de ficheiros distribuído (DFS)
  • Licenciamento do servidor de terminais
  • Spooler de impressão
  • Browser de computador
  • Localizador de chamada de procedimento remoto
  • Serviço de fax
  • Serviço de indexação
  • Alertas e registos de desempenho
  • Systems Management Server
  • Serviço de registo de licenças

Como anular esta solução alternativa

Desbloquear as portas no firewall. Para mais informações sobre portas, consulte Atribuições de portas TCP e UDP.

Referências

Aplicações remotos Azure https://Azure.microsoft.com/en-us/Documentation/articles/RemoteApp-Ports/

Azure datacenter IPs http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3185535 - Última Revisão: 09/01/2016 12:32:00 - Revisão: 2.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtpt
Comentários
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)