Запрет трафика SMB от боковых подключений и входа в сеть или выхода из нее

Применяется к
Windows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

Сводка

Серверный блок сообщений (SMB) — это сетевой общий доступ к файлам и протокол структуры данных. SMB используется миллиардами устройств в различных операционных системах, включая Windows, MacOS, iOS, Linux и Android. Клиенты используют SMB для доступа к данным на серверах. Это обеспечивает общий доступ к файлам, централизованное управление данными и снижение потребностей в емкости хранилища для мобильных устройств. Серверы также используют SMB как часть программно-определяемого центра обработки данных для таких рабочих нагрузок, как кластеризация и репликация.

Так как SMB — это удаленная файловая система, ей требуется защита от атак, в которых компьютер с Windows может быть обманут, чтобы связаться с вредоносным сервером, работающим в доверенной сети, или с удаленным сервером за пределами периметра сети. Рекомендации и конфигурации брандмауэра могут повысить безопасность и предотвратить выход вредоносного трафика из компьютера или его сети.

Влияние изменений

Блокировка подключения к SMB может помешать работе различных приложений или служб. Список приложений и служб Windows и Windows Server, которые могут перестать работать в этой ситуации, см. в статье Общие сведения о службах и требования к сетевым портам для Windows.

Дополнительные сведения

Подходы к брандмауэру периметра

Оборудование периметра и брандмауэры (модуль), расположенные на границе сети, должны блокировать незапрошенную связь (из Интернета) и исходящий трафик (в Интернет) к следующим портам.
 

Протокол приложения Протокол Порт
Малый и средний бизнес TCP 445
Разрешение имен NetBIOS UDP 137
Служба datagram NetBIOS UDP 138
Служба сеансов NetBIOS TCP 139

Маловероятно, что какие-либо сообщения SMB, исходящие из Интернета или предназначенные для Интернета, являются законными. Основной вариант может быть для облачного сервера или службы, например Файлы Azure. Необходимо создать ограничения на основе IP-адресов в брандмауэре периметра, чтобы разрешить только эти конкретные конечные точки. Организации могут разрешить порту 445 доступ к определенным диапазонам IP-адресов Azure Datacenter и O365, чтобы обеспечить гибридные сценарии, в которых локальные клиенты (за брандмауэром предприятия) используют порт SMB для взаимодействия с хранилищем файлов Azure. Также следует разрешить только SMB 3. x трафик и требуется шифрование SMB AES-128. Дополнительные сведения см. в разделе "Ссылки".

Примечание Использование NetBIOS для транспорта SMB было прекращено в Windows Vista, Windows Server 2008 году, и во всех более поздних операционных системах Майкрософт, когда корпорация Майкрософт представила SMB 2.02. Однако в вашей среде может быть программное обеспечение и устройства, отличные от Windows. Вы должны отключить и удалить SMB1, если вы еще не сделали этого, так как он по-прежнему использует NetBIOS. Более поздние версии Windows Server и Windows больше не устанавливают SMB1 по умолчанию и автоматически удалит его, если это разрешено.

Подходы к брандмауэру в Защитнике Windows

Все поддерживаемые версии Windows и Windows Server включают брандмауэр Защитника Windows (ранее — Брандмауэр Windows). Этот брандмауэр обеспечивает дополнительную защиту для устройств, особенно при перемещении устройств за пределы сети или при выполнении в ней.

Брандмауэр Защитника Windows имеет отдельные профили для определенных типов сетей: доменных, частных, гостевых и общедоступных. Гостевая или общедоступная сеть обычно по умолчанию получает гораздо более строгие параметры, чем более надежные доменные или частные сети. Вы можете столкнуться с различными ограничениями SMB для этих сетей в зависимости от оценки угроз и операционных потребностей.

Входящие подключения к компьютеру

Для клиентов и серверов Windows, на которых не размещаются общие ресурсы SMB, можно заблокировать весь входящий трафик SMB с помощью брандмауэра Защитника Windows, чтобы предотвратить удаленные подключения с вредоносных или скомпрометированных устройств. В брандмауэре Защитника Windows сюда входят следующие правила для входящего трафика.

Имя Профиль Включено
Общий доступ к файлам и принтерам (SMB-In) Все Нет
Служба netlogon (NP-in) Все Нет
Удаленное управление журналами событий (NP-in) Все Нет
Удаленное управление службами (NP-in) Все Нет

Кроме того, необходимо создать новое правило блокировки, чтобы переопределить любые другие правила брандмауэра для входящих подключений. Используйте следующие рекомендуемые параметры для любых клиентов или серверов Windows, на которых не размещаются общие папки SMB:

  • Имя: Блокировать все входящие SMB 445
  • Описание. Блокирует весь входящий трафик TCP 445 SMB. Не применяется к контроллерам домена или компьютерам, на которых размещены общие папки SMB.
  • Действие. Блокировка подключения
  • Программы: Все
  • Удаленные компьютеры: Любой
  • Тип протокола: TCP
  • Локальный порт: 445
  • Удаленный порт: любой
  • Профили: Все
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): любой
  • Обход края: блокировка обхода ребер

Не следует глобально блокировать входящий трафик SMB к контроллерам домена или файловым серверам. Однако вы можете ограничить доступ к ним из доверенных диапазонов IP-адресов и устройств, чтобы уменьшить их область атаки. Они также должны быть ограничены доменами или частными профилями брандмауэра и не разрешать гостевой или общедоступный трафик.

Примечание Брандмауэр Windows по умолчанию заблокировал все входящие подключения по протоколу SMB, начиная с Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). Устройства Windows разрешают входящий обмен данными по протоколу SMB, только если администратор создает общую папку SMB или изменяет параметры брандмауэра по умолчанию. Вы не должны доверять стандартному интерфейсу по умолчанию, чтобы он по-прежнему был на месте на устройствах, независимо от того. Всегда проверяйте параметры и их требуемое состояние и активно управляйте ими с помощью групповая политика или других средств управления.

Дополнительные сведения см. в статье Проектирование брандмауэра Защитника Windows с расширенной стратегией безопасности и руководство по развертыванию брандмауэра Защитника Windows с расширенной безопасностью.

Исходящие подключения с компьютера

Клиенты и серверы Windows требуют исходящих подключений SMB, чтобы применять групповую политику от контроллеров домена, а пользователям и приложениям получать доступ к данным на файловых серверах, поэтому при создании правил брандмауэра необходимо соблюдать осторожность, чтобы предотвратить вредоносные боковые подключения или подключения к Интернету. По умолчанию исходящие блоки на клиенте Или сервере Windows, подключающемся к общим папкам SMB, отсутствуют, поэтому вам придется создать новые правила блокировки.

Кроме того, необходимо создать новое правило блокировки, чтобы переопределить любые другие правила брандмауэра для входящих подключений. Используйте следующие рекомендуемые параметры для всех клиентов Или серверов Windows, на которых не размещаются общие папки SMB.

Гостевые и общедоступные (ненадежные) сети

  • Имя: Блокировать исходящий гостевой или общедоступный SMB 445
  • Описание. Блокирует весь исходящий трафик TCP 445 SMB в недоверенной сети
  • Действие. Блокировка подключения
  • Программы: Все
  • Удаленные компьютеры: Любой
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: гостевой/общедоступный
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): любой
  • Обход края: блокировка обхода ребер

Примечание Пользователи малого офиса и домашнего офиса или мобильные пользователи, которые работают в корпоративных доверенных сетях, а затем подключаются к своим домашним сетям, следует соблюдать осторожность, прежде чем блокировать общедоступную исходящую сеть. Это может помешать доступу к локальным устройствам NAS или определенным принтерам.

Частные или доменные (доверенные) сети

  • Имя: разрешить исходящий домен/частный SMB 445
  • Описание. Разрешает исходящий трафик SMB TCP 445 только контроллерам домена и файловым серверам в доверенной сети.
  • Действие: разрешить подключение, если оно безопасно
  • Настройка параметра Разрешить, если безопасные параметры: выберите один из параметров, установите правила переопределения блоков = ON
  • Программы: Все
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: частный/домен
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес):<список IP-адресов контроллера домена и файлового> сервера
  • Обход края: блокировка обхода ребер

Примечание Вы также можете использовать удаленные компьютеры вместо области удаленных IP-адресов, если защищенное подключение использует проверку подлинности, которая содержит удостоверение компьютера. Дополнительные сведения о параметрах "Разрешить подключение, если безопасно" и параметрах удаленного компьютера, см. в документации по брандмауэру Defender .

  • Имя: блокировать исходящий домен/частный SMB 445
  • Описание. Блокирует исходящий трафик SMB TCP 445. Переопределение с помощью правила "Разрешить исходящий домен/частный SMB 445"
  • Действие. Блокировка подключения
  • Программы: Все
  • Удаленные компьютеры: N/A
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: частный/домен
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): Н/Д
  • Обход края: блокировка обхода ребер

Не следует глобально блокировать исходящий трафик SMB от компьютеров к контроллерам домена или файловым серверам. Однако вы можете ограничить доступ к ним из доверенных диапазонов IP-адресов и устройств, чтобы уменьшить их область атаки.

Дополнительные сведения см. в статье Проектирование брандмауэра Защитника Windows с расширенной стратегией безопасности и руководство по развертыванию брандмауэра Защитника Windows с расширенной безопасностью.

Правила подключения безопасности

Необходимо использовать правило подключения безопасности, чтобы реализовать исключения правил брандмауэра для исходящих подключений для параметров "Разрешить подключение, если оно безопасно" и "Разрешить подключению использовать инкапсуляцию null". Если это правило не задано на всех компьютерах под управлением Windows и Windows Server, проверка подлинности завершится ошибкой, а исходящий трафик SMB будет заблокирован.

Например, требуются следующие параметры:

  • Тип правила: изоляция
  • Требования: запрос проверки подлинности для входящих и исходящих подключений
  • Метод проверки подлинности: компьютер и пользователь (Kerberos версии 5)
  • Профиль: Домен, Частный, Общедоступный
  • Имя: проверка подлинности ESP изоляции для переопределений SMB

Дополнительные сведения о правилах подключения безопасности см. в следующих статьях:

Windows Workstation and Server Service

Для потребительских или высокоизолированных управляемых компьютеров, которым вообще не требуется SMB, можно отключить службы сервера или рабочей станции. Это можно сделать вручную с помощью оснастки "Службы" (Services.msc) и командлета PowerShell Set-Service или с помощью групповая политика параметров. При остановке и отключении этих служб SMB больше не сможет устанавливать исходящие подключения или получать входящие подключения.

Не следует отключать службу сервера на контроллерах домена или файловых серверах, иначе клиенты больше не смогут применять групповую политику или подключаться к своим данным. Не следует отключать службу рабочей станции на компьютерах, которые являются членами домена Active Directory, иначе они больше не будут применять групповую политику.

Ссылки

Разработка стратегии брандмауэра Защитника Windows с расширенной безопасностью
Руководство по развертыванию брандмауэра Защитника Windows с расширенной безопасностью
Azure удаленных приложений
AZURE IP-адреса центра обработки данных
IP-адреса Microsoft O365