Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Blocul de mesaje server (SMB) este un protocol de partajare a fișierelor de rețea și de date. SMB este utilizat de miliarde de dispozitive într-un set divers de sisteme de operare, inclusiv Windows, MacOS, iOS, Linux și Android. Clienții utilizează SMB pentru a accesa date pe servere. Acest lucru permite partajarea fișierelor, gestionarea centralizată a datelor și necesitățile de capacitate de stocare redusă pentru dispozitivele mobile. De asemenea, serverele utilizează SMB ca parte a centrului de date definit de software pentru volumul de lucru, cum ar fi gruparea și reproducerea.

Deoarece SMB este un sistem de fișiere la distanță, necesită protecție împotriva atacurilor în care un computer Windows poate fi pacalit pentru a contacta un server rău intenționat care rulează într-o rețea de încredere sau pe un server la distanță din perimetrul rețelei. Cele mai bune practici și configurații pentru Paravanul de protecție pot îmbunătăți securitatea și împiedica traficul rău intenționat să părăsească computerul sau rețeaua.

Efectul modificărilor

Blocarea conectivității la SMB poate împiedica funcționarea diferitelor aplicații sau servicii. Pentru o listă de aplicații și servicii Windows și Windows Server care se pot opri din funcționare în această situație, consultați prezentarea generală a serviciilor și cerințele de portare de rețea pentru Windows

Mai multe informații

Abordări firewall de perimetru

Paravanele de protecție pentru hardware și dispozitive care sunt poziționate la marginea rețelei trebuie să blocheze comunicarea nesolicitată (de pe Internet) și traficul de ieșire (către Internet) în următoarele porturi.
 

Protocol de aplicație

Protocol

Port

SMB

TCP

445

Rezoluția numelui NetBIOS

UDP

137

Serviciul de datagrame NetBIOS

UDP

138

Serviciul de sesiune NetBIOS

TCP

139


Este puțin probabil ca orice comunicare SMB care provine de pe Internet sau destinată internetului să fie legitimă. Cauza principală poate fi pentru un server sau un serviciu bazat pe cloud, cum ar fi fișiere Azure. Ar trebui să creați restricții bazate pe adresă IP în Paravanul de protecție pentru perimetru, pentru a permite doar acele puncte finale specifice. Organizațiile pot permite ca portul 445 să aibă acces la anumite zone de date Azure și O365 pentru a activa scenarii hibride în care clienții locali (în spatele unui paravan de protecție pentru întreprinderi) să utilizeze portul SMB pentru a vorbi cu stocarea fișierelor Azure. De asemenea, ar trebui să permiteți numai SMB 3.x trafic și necesită criptare SMB AES-128. Consultați secțiunea "referințe" pentru mai multe informații.

Notă Utilizarea NetBIOS pentru transportul SMB s-a încheiat în Windows Vista, Windows Server 2008 și în toate sistemele de operare Microsoft ulterioare atunci când Microsoft a introdus SMB 2,02. Cu toate acestea, este posibil să aveți software și alte dispozitive decât Windows în mediul dvs. Trebuie să dezactivați și să eliminați SMB1 dacă nu ați făcut deja acest lucru, deoarece încă utilizează NetBIOS. Versiunile mai recente de Windows Server și Windows nu mai instalează SMB1 în mod implicit și îl vor elimina automat dacă este permis.

Se apropie Paravanul de protecție Windows Defender

Toate versiunile acceptate de Windows și Windows Server includ Paravanul de protecție Windows Defender (denumit anterior Paravanul de protecție Windows). Acest paravan de protecție oferă protecție suplimentară pentru dispozitive, mai ales atunci când dispozitivele se deplasează în afara unei rețele sau când rulează într-un singur loc.

Paravanul de protecție Windows Defender are profiluri distincte pentru anumite tipuri de rețele: domeniu, privat și invitat/public. Rețeaua de oaspeți/invitații este, de obicei, mai multe setări restrictive în mod implicit decât domeniul mai de încredere sau rețelele private. Este posibil să vă confruntați cu restricții SMB diferite pentru aceste rețele, pe baza evaluării amenințării față de necesitățile operaționale.

Conexiuni de intrare la un computer

Pentru clienții Windows și serverele care nu găzduiesc partajări SMB, puteți bloca toate traficul SMB de intrare utilizând Paravanul de protecție Windows Defender pentru a împiedica conexiunile la distanță de pe dispozitive rău-intenționate sau compromise. În Paravanul de protecție Windows Defender, aceasta include următoarele reguli de intrare.

nume

Profilul

Activat

Partajarea fișierelor și a imprimantelor (SMB-in)

Toate

Nu

Serviciul Netlogon (NP-in)

Toate

Nu

Gestionarea jurnalului de evenimente la distanță (NP-in)

Toate

Nu

Gestionare servicii la distanță (NP-in)

Toate

Nu


De asemenea, ar trebui să creați o nouă regulă de blocare pentru a anula orice alte reguli de paravan de protecție de intrare. Utilizați următoarele setări sugerate pentru orice clienți sau servere Windows care nu găzduiesc partajări SMB:

  • Nume: blocarea tuturor 445 SMB de intrare

  • Descriere: blochează toate traficul SMB TCP de intrare în 445. Nu se aplică la controlerele de domeniu sau la computerele care găzduiesc partajări SMB.

  • Acțiune: blocarea conexiunii

  • Programe: toate

  • Computere la distanță: orice

  • Tip de protocol: TCP

  • Port local: 445

  • Port la distanță: orice

  • Profiluri: toate

  • Domeniu (adresă IP locală): orice

  • Domeniu (adresă IP la distanță): orice

  • Margine traversal: bloc margine traversal

Nu trebuie să blocați global traficul SMB de intrare la controlerele de domeniu sau la serverele de fișiere. Cu toate acestea, puteți restricționa accesul la acestea de la intervale IP de încredere și dispozitive pentru a reduce suprafața de atac. Acestea trebuie, de asemenea, să fie restricționate la profilurile de domeniu sau de paravan de protecție privat și nu permit traficul invitat/public.

Notă Paravanul de protecție Windows a blocat în mod implicit toate comunicațiile SMB de intrare, deoarece Windows XP SP2 și Windows Server 2003 SP1. Dispozitivele Windows vor permite comunicarea SMB de intrare doar dacă un administrator creează o partajare SMB sau modifică setările implicite pentru firewall. Nu trebuie să aveți încredere în opțiunea implicită de ieșire din casetă pentru a fi încă în locație pe dispozitive, indiferent. Verificați întotdeauna și gestionați în mod activ setările și starea dorită prin utilizarea politicii de grup sau a altor instrumente de gestionare.

Pentru mai multe informații, consultați proiectarea unui paravan de protecție Windows Defender cu o strategie de securitate avansată și Paravanul de protecție Windows Defender cu Ghidul de implementare avansată a securității

Conexiuni de ieșire de pe un computer

Clienții și serverele Windows necesită conexiuni SMB de ieșire pentru a aplica politica de grup de la controlerele de domeniu și pentru utilizatori și aplicații pentru a accesa date pe serverele de fișiere, așadar, trebuie să aveți grijă atunci când creați reguli de paravan de protecție pentru a împiedica conexiunile laterale sau Internet rău intenționate. În mod implicit, nu există blocări de ieșire pe un client sau server Windows care se conectează la partajări SMB, deci va trebui să creați noi reguli de blocare.

De asemenea, ar trebui să creați o nouă regulă de blocare pentru a anula orice alte reguli de paravan de protecție de intrare. Utilizați următoarele setări sugerate pentru orice clienți sau servere Windows care nu găzduiesc partajări SMB.

Rețele invitat/public (netrusted)

  • Nume: Block outbound Guest/Public SMB 445

  • Descriere: blochează toate traficul SMB TCP de ieșire din 445 atunci când sunteți într-o rețea neîncredere

  • Acțiune: blocarea conexiunii

  • Programe: toate

  • Computere la distanță: orice

  • Tip de protocol: TCP

  • Port local: orice

  • Port la distanță: 445

  • Profiluri: invitat/public

  • Domeniu (adresă IP locală): orice

  • Domeniu (adresă IP la distanță): orice

  • Margine traversal: bloc margine traversal

Notă Mici utilizatori Office și Office pentru acasă sau utilizatori mobili care lucrează în rețele de încredere în corporații, apoi se conectează la rețelele de domiciliu, ar trebui să utilizeze prudență înainte de a bloca rețeaua publică de ieșire. Acest lucru poate împiedica accesul la dispozitivele locale ale SNC sau la anumite imprimante.

Rețele private/domain (Trusted)

  • Nume: permiteți domeniul de ieșire/SMB 445

  • Descriere: permite traficul SMB TCP 445 de ieșire doar la DCS și la serverele de fișiere atunci când sunteți într-o rețea de încredere

  • Acțiune: permiteți conexiunea dacă este securizată

  • Particularizare setări permise dacă sunt securizate: Alegeți una dintre opțiuni, setați înlocuire reguli blocare = activat

  • Programe: toate

  • Tip de protocol: TCP

  • Port local: orice

  • Port la distanță: 445

  • Profiluri: privat/domeniu

  • Domeniu (adresă IP locală): orice

  • Domeniu (adresă IP la distanță): <listă de controlere de domeniu și adrese IP server de fișiere>

  • Margine traversal: bloc margine traversal

Notă De asemenea, puteți utiliza computerele la distanță în loc să utilizați adresele IP la distanță, dacă conexiunea securizată utilizează autentificarea care poartă identitatea computerului. Revizuiți documentația firewall Defender pentru mai multe informații despre "permiteți conexiunea dacă este securizată" și opțiunile pentru computerul la distanță.

  • Nume: bloc de ieșire domeniu/privat SMB 445

  • Descriere: blochează traficul SMB TCP de ieșire din 445. Înlocuire utilizând regula "se permite ieșirea din domeniul/privat SMB 445"

  • Acțiune: blocarea conexiunii

  • Programe: toate

  • Computere la distanță: N/A

  • Tip de protocol: TCP

  • Port local: orice

  • Port la distanță: 445

  • Profiluri: privat/domeniu

  • Domeniu (adresă IP locală): orice

  • Domeniu (adresă IP la distanță): N/A

  • Margine traversal: bloc margine traversal

Nu trebuie să blocați global traficul SMB de ieșire de pe computere la controlerele de domeniu sau serverele de fișiere. Cu toate acestea, puteți restricționa accesul la acestea de la intervale IP de încredere și dispozitive pentru a reduce suprafața de atac.

Pentru mai multe informații, consultați proiectarea unui paravan de protecție Windows Defender cu o strategie de securitate avansată și Paravanul de protecție Windows Defender cu Ghidul de implementare avansată a securității

Regulile conexiunii de securitate

Trebuie să utilizați o regulă de conexiune de securitate pentru a implementa excepțiile regulii de paravan de protecție de ieșire pentru "permiteți conexiunea dacă este sigură" și "Permiteți ca conexiunea să utilizeze setările de încapsulare null". Dacă nu setați această regulă pe toate computerele bazate pe Windows și Windows Server, autentificarea nu va reuși și SMB va fi blocat de ieșire. 

De exemplu, sunt necesare următoarele setări:

  • Tip regulă: izolare

  • Cerințe: solicitarea autentificării pentru conexiunile de intrare și de ieșire

  • Metoda de autentificare: computer și utilizator (Kerberos V5)

  • Profil: domeniu, privat, public

  • Nume: izolarea ESP autentificare pentru suprascrie SMB

Pentru mai multe informații despre regulile de conexiune de securitate, consultați următoarele articole:

Serviciul Windows Workstation și Server

Pentru computere de consum sau foarte izolate, gestionate care nu necesită SMB deloc, puteți dezactiva serviciile Server sau workstation. Puteți face acest lucru manual utilizând utilitarul de completare snap-in (Services. msc) și cmdletul set-Service PowerShell sau utilizând preferințe de politică de grup. Atunci când opriți și dezactivați aceste servicii, SMB nu mai poate să efectueze conexiuni de ieșire sau să primească conexiuni de intrare.

Nu trebuie să dezactivați serviciul Server pe controlerele de domeniu sau pe serverele de fișiere sau niciun client nu va putea să aplice politica de grup sau să se conecteze la datele lor. Nu trebuie să dezactivați serviciul Workstation pe computerele care sunt membri ai unui domeniu Active Directory sau nu vor mai aplica politica de grup.

Referințe

Proiectarea unui paravan de protecție Windows Defender cu o strategie
de securitate avansată Paravanul de protecție Windows Defender cu Ghidul
de implementare avansată a securității Aplicații Azure la distanță
Adresele IP pentru Centrul de date Azure
Adresele IP Microsoft O365

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×