Impedir o tráfego de SMB de ligações laterais e entrar ou sair da rede

Aproxima-se a firewall do perímetro

As firewalls de hardware e aparelhos do perímetro que estejam posicionadas na borda da rede devem bloquear a comunicação não solicitada (da internet) e o tráfego de saída (para a internet) para as seguintes portas.
 

É pouco provável que qualquer comunicação SMB originária da internet ou destinada à internet seja legítima. O caso principal pode ser para um servidor ou serviço baseado na nuvem, como ficheiros Azure. Deve criar restrições baseadas em endereços IP na firewall do seu perímetro para permitir apenas esses pontos finais específicos. As organizações podem permitir o acesso do porto 445 a gamas ip específicas do Azure Datacenter e O365 para permitir cenários híbridos em que os clientes no local (atrás de uma firewall da empresa) usam a porta SMB para falar com o armazenamento de ficheiros Azure. Também deve permitir apenas SMB 3.x tráfego e requer encriptação SMB AES-128. Consulte a secção "Referências" para obter mais informações.

Nota A utilização do NetBIOS para transporte SMB terminou no Windows Vista, Windows Server 2008 e em todos os sistemas operativos da Microsoft quando a Microsoft introduziu o SMB 2.02. No entanto, pode ter software e dispositivos que não o Windows no seu ambiente. Deve desativar e remover o SMB1 se ainda não o fez porque ainda utiliza o NetBIOS. As versões posteriores do Windows Server e Windows deixarão de instalar o SMB1 por predefinição e irão removê-lo automaticamente se for permitido.

Firewall do Windows Defender aproxima-se

Todas as versões suportadas do Windows e do Windows Server incluem o Firewall do Windows Defender (anteriormente denominado Firewall do Windows). Esta firewall fornece proteção adicional para dispositivos, especialmente quando os dispositivos se deslocam para fora de uma rede ou quando funcionam dentro de um.

O Windows Defender Firewall tem perfis distintos para certos tipos de redes: Domínio, Privado e Convidado/Público. A rede Guest/Public normalmente obtém configurações muito mais restritivas por padrão do que as redes de Domínio ou Private mais confiáveis. Poderá encontrar-se com diferentes restrições SMB para estas redes com base na sua avaliação de ameaças versus necessidades operacionais.

Ligações de entrada a um computador

Para clientes e servidores windows que não acolhem ações SMB, é possível bloquear todo o tráfego SMB de entrada utilizando o Windows Defender Firewall para evitar ligações remotas de dispositivos maliciosos ou comprometidos. No Windows Defender Firewall, isto inclui as seguintes regras de entrada.

Também deve criar uma nova regra de bloqueio para anular quaisquer outras regras de firewall de entrada. Utilize as seguintes definições sugeridas para quaisquer clientes ou servidores do Windows que não acolhem Ações SMB:

• Nome: Bloquear todos os SMB 445 de entrada

• Descrição: Bloqueia todo o tráfego SMB TCP 445. Não ser aplicado a controladores de domínio ou computadores que acolhem ações SMB.

• Ação: Bloquear a ligação

• Programas: Todos

• Computadores Remotos: Qualquer

• Tipo de Protocolo: TCP

• Porto Local: 445

• Porta Remota: Qualquer

• Perfis: Todos

• Âmbito (Endereço IP local): Qualquer

• Âmbito (Endereço IP remoto): Qualquer

• Edge Traversal: Block edge traversal

Não deve bloquear globalmente o tráfego SMB de entrada para controladores de domínio ou servidores de ficheiros. No entanto, é possível restringir o acesso aos mesmos a partir de gamas ip e dispositivos fidedignos para diminuir a sua superfície de ataque. Também devem ser restritos aos perfis de firewall de Domínio ou Privado e não permitir o tráfego de hóspedes/públicos.

Nota O Windows Firewall bloqueou todas as comunicações SMB de entrada por padrão desde o Windows XP SP2 e Windows Server 2003 SP1. Os dispositivos Windows só permitirão a entrada de comunicações SMB se um administrador criar uma partilha SMB ou alterar as definições padrão de firewall. Não deve confiar na experiência fora da caixa por defeito para ainda estar no lugar em dispositivos, independentemente disso. Verifique e gere ativamente as definições e o estado pretendido utilizando a Política de Grupo ou outras ferramentas de gestão.

Para obter mais informações, consulte a conceção de uma firewall do Windows Defender com estratégia de segurança avançada e firewall do Windows Defender com Guia de Implementação de Segurança Avançada

Ligações de saída de um computador

Os clientes e servidores do Windows necessitam de ligações SMB de saída para aplicar a política de grupo dos controladores de domínio e para que os utilizadores e aplicações acedam a dados em servidores de ficheiros, pelo que deve ser tomado o cuidado ao criar regras de firewall para evitar ligações laterais ou internet maliciosas. Por padrão, não existem blocos de saída num cliente windows ou servidor que se conectem a ações SMB, pelo que terá de criar novas regras de bloqueio.

Também deve criar uma nova regra de bloqueio para anular quaisquer outras regras de firewall de entrada. Utilize as seguintes definições sugeridas para quaisquer clientes ou servidores do Windows que não acolhem Ações SMB.

Redes de hóspedes/públicas (não fided quantos)

• Nome: Block outbound Guest/Public SMB 445

• Descrição: Bloqueia todo o tráfego SMB TCP 445 quando numa rede não fideditada

• Ação: Bloquear a ligação

• Programas: Todos

• Computadores Remotos: Qualquer

• Tipo de Protocolo: TCP

• Porto Local: Qualquer

• Porta Remota: 445

• Perfis: Convidado/Público

• Âmbito (Endereço IP local): Qualquer

• Âmbito (Endereço IP remoto): Qualquer

• Edge Traversal: Block edge traversal

Nota Os utilizadores de escritórios e escritórios domésticos, ou utilizadores móveis que trabalham em redes de confiança corporativa e depois se conectam às suas redes domésticas, devem ter cuidado antes de bloquearem a rede pública de saída. Isto pode impedir o acesso aos seus dispositivos NAS locais ou a determinadas impressoras.

Redes privadas/de domínio (fidedignas)

• Nome: Permitir domínio de saída/SMB privado 445

• Descrição: Permite tráfego SMB TCP 445 de saída apenas para DCs e servidores de ficheiros quando em uma rede de confiança

• Ação: Permitir a ligação se estiver segura

• Personalizar Permitir se configurações seguras: escolha uma das opções, defina regras de blocos de substituição = ON

• Programas: Todos

• Tipo de Protocolo: TCP

• Porto Local: Qualquer

• Porta Remota: 445

• Perfis: Privado/Domínio

• Âmbito (Endereço IP local): Qualquer

• Âmbito (Endereço IP remoto): <lista de endereços IP do controlador de domínio e do servidor de ficheiros>

• Edge Traversal: Block edge traversal

Nota Também pode utilizar os Computadores Remotos em vez de endereços IP remotos do Scope, se a ligação segura utilizar a autenticação que transporta a identidade do computador. Reveja a documentação do Defender Firewall para obter mais informações sobre "Permitir a ligação se for segura" e as opções do Computador Remoto.

• Nome: Bloco de saída Domínio/SMB Privado 445

• Descrição: Bloqueia o tráfego SMB TCP 445. Sobreposição utilizando a regra "Permitir domínio de saída/SMB privado 445"

• Ação: Bloquear a ligação

• Programas: Todos

• Computadores remotos: N/A

• Tipo de Protocolo: TCP

• Porto Local: Qualquer

• Porta Remota: 445

• Perfis: Privado/Domínio

• Âmbito (Endereço IP local): Qualquer

• Âmbito (Endereço IP remoto): N/A

• Edge Traversal: Block edge traversal

Não deve bloquear globalmente o tráfego SMB de saída de computadores para controladores de domínio ou servidores de ficheiros. No entanto, é possível restringir o acesso aos mesmos a partir de gamas ip e dispositivos fidedignos para diminuir a sua superfície de ataque.

Para obter mais informações, consulte a conceção de uma firewall do Windows Defender com estratégia de segurança avançada e firewall do Windows Defender com Guia de Implementação de Segurança Avançada

Regras de ligação de segurança

Tem de utilizar uma regra de ligação de segurança para implementar as exceções à regra de firewall de saída para as definições "Permitir a ligação se estiver segura" e "Permitir que a ligação utilize configurações de encapsulamento nulo". Se não definir esta regra em todos os computadores baseados no Windows e no Windows Server, a autenticação falhará e o SMB será bloqueado de saída. 

Por exemplo, são necessárias as seguintes definições:

• Tipo de regra: Isolamento

• Requisitos: Solicitar autenticação para ligações de entrada e saída

• Método de autenticação: Computador e utilizador (Kerberos V5)

• Perfil: Domínio, Privado, Público

• Nome: Autenticação esp de isolamento para substituições de SMB

Para obter mais informações sobre as regras de ligação à segurança, consulte os seguintes artigos:

• Conceber uma firewall do Windows Defender com estratégia avançada de segurança

• Lista de verificação: Configurar regras para uma zona de servidor isolada

Windows Workstation e Serviço de Servidor

Para computadores geridos de consumo ou altamente isolados que não necessitem de SMB, pode desativar os serviços do Server ou workstation. Pode fazê-lo manualmente utilizando o snap-in "Services" (Services.msc) e o cmdlet powerShell Set-Service, ou utilizando as Preferências de Política de Grupo. Quando para e desativa estes serviços, a SMB já não pode fazer ligações de saída ou receber ligações de entrada.

Não deve desativar o serviço Server em controladores de domínio ou servidores de ficheiros ou nenhum cliente poderá aplicar a política de grupo ou ligar-se aos seus dados. Não deve desativar o serviço workstation em computadores que sejam membros de um domínio ative directory ou deixarão de aplicar a política de grupo.