Предотвращение трафика SMB из боковой подключений и вход в сеть и выход из нее

Применимо к: Windows Server version 1909Windows Server version 1903Windows Server 2019

Аннотация


SMB (Server Message Block) — это общий доступ к сетевым файлам и протоколу Data Fabric. Протокол SMB используется в разных наборах операционных систем, включая Windows, MacOS, iOS, Linux и Android. Клиенты используют протокол SMB для доступа к данным на серверах. Это позволяет предоставлять общий доступ к файлам, централизованному управлению данными и более низким требованиям к емкости хранилища для мобильных устройств. Кроме того, сервер использует SMB в рамках определенного программного центра обработки данных для рабочих нагрузок, таких как кластеризация и репликация.

Так как SMB — это Удаленная файловая система, необходима защита от атак, когда компьютер с Windows может общаться с вредоносным сервером, который работает в доверенной сети или на удаленном сервере за пределами периметра сети. Рекомендации и конфигурации брандмауэра могут улучшить безопасность, предотвращая небезопасный трафик выхода компьютера или его сети.

Влияние изменений

Блокировка подключения к SMB может препятствовать работе различных приложений и служб. Список приложений и служб Windows и Windows Server, которые могут перестать работать, просмотр обзора служб и требования к сетевому порту для Windows
 

Дополнительная информация


Подходы брандмауэра по периметру

Брандмауэры периметра оборудования и устройств, расположенные на границе сети, должны блокировать непредусмотренные коммуникации (из Интернета) и исходящий трафик (в Интернет) на следующие порты. 

Протокол приложений

Протокол

Порт

 SMB

 TCP

445

Разрешение имен NetBIOS

 UDP

137

Служба датаграмм NetBIOS

UDP

138

Служба сеансов NetBIOS

TCP

139

Маловероятно, что любой обмен данными по протоколу SMB, использующий Интернет или направленный на Интернет, является законным. Основной вариант может быть для облачного сервера или службы, таких как файлы Azure, и вы должны создать ограничения на основе IP-адресов в брандмауэре периметра, чтобы разрешить только указанные конечные точки. Организации могут предоставить доступ к определенным диапазонам IP-центров данных Azure и Office 365 для порта 445, чтобы включить гибридные сценарии, в которых локальные клиенты (за корпоративным брандмауэром) используют порт SMB для общения с хранилищем файлов Azure. Кроме того, следует разрешить только SMB 3.x трафик и требовать шифрование SMB AES-128. Для получения дополнительных сведений ознакомьтесь с разделом ссылки ниже.

Примечание. Использование транспорта NetBIOS для SMB завершено в Windows Vista, Windows Server 2008 и в более поздних версиях операционной системы Майкрософт, если корпорация Майкрософт предоставила SMB 2,02. Однако у вас могут быть другие программные продукты и устройства, чем Windows в вашей среде. Если вы еще не сделали этого, вы должны отключить и удалить SMB1, так как он по-прежнему использует NetBIOS. Более поздние версии Windows Server и Windows больше не устанавливают SMB1 по умолчанию, и они автоматически удаляются, если это разрешено.

Подходы брандмауэра защитника Windows

Все поддерживаемые версии Windows и Windows Server включают брандмауэр защитника Windows (ранее именуемый брандмауэром Windows). Этот брандмауэр обеспечивает дополнительную защиту для устройств, особенно когда устройства перемещаются за пределы сети или выполняются в одной из них.

Брандмауэр защитника Windows имеет индивидуальные профили для некоторых типов сетей: домен, частный, гость и общий. Гостевая сеть (public) обычно по умолчанию получает гораздо более строгие настройки, чем более надежные доменные и частные сети. Возможно, у вас есть различные ограничения по протоколу SMB для этих сетей, основываясь на оценке угроз и производственных требованиях.

Входящие подключения к компьютеру

Для клиентов и серверов Windows, на которых не размещены общие ресурсы SMB, вы можете заблокировать весь входящий трафик SMB с помощью брандмауэра защитника Windows, чтобы предотвратить удаленные подключения от вредоносных или скомпрометированных устройств. В брандмауэре защитника Windows есть следующие правила для входящих подключений.

Имя

Профиля

Включаем

Общий доступ к файлам и принтерам (входящий трафик SMB)

Весь

Нет

Служба Netlogon (NP-in)

Весь

Нет

Удаленное управление журналом событий (NP-in)

Весь

Нет

Удаленное управление службой (NP-in)

Весь

Нет

Кроме того, вы должны создать новое правило блокировки, чтобы переопределить любые другие правила брандмауэра для входящих подключений. Используйте указанные ниже Рекомендуемые параметры для всех клиентов или серверов Windows, на которых не размещены общие ресурсы SMB.

  • Name (имя): блокировать весь входящий протокол SMB 445
  • Описание: блокирует весь входящий трафик TCP 445 по протоколу SMB. Не следует применять к контроллерам домена или компьютерам, на которых размещается общий доступ к SMB.
  • Действие: блокировать подключение
  • Программы: все
  • Удаленные компьютеры: любые
  • Тип протокола: TCP
  • Локальный порт: 445
  • Удаленный порт: любой
  • Профили: все
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): Any
  • Обход по краям: блокировать обход по краям

Не следует глобально блокировать входящий трафик SMB для контроллеров домена или файловых серверов. Однако вы можете ограничить доступ к ним из доверенных диапазонов IP-адресов и устройств, чтобы уменьшить их поверхность для атак. Кроме того, они должны быть ограничены доменами или частными профилями брандмауэра и не допускают трафик гостя и общий доступ.

Примечание. Брандмауэр Windows заблокировал все входящие сообщения по протоколу SMB по умолчанию, начиная с Windows XP с пакетом обновления 2 и Windows Server 2003 SP1. Устройства с Windows разрешают входящую связь по протоколу SMB только в том случае, если администратор создает общий доступ к SMB или изменяет параметры брандмауэра по умолчанию. Вы не можете доверять встроенному по умолчанию интерфейсу, чтобы по-прежнему размещаться на устройствах, независимо от того, где они находятся. Вы всегда можете проверять и активно управлять параметрами и их состояние с помощью групповой политики или других средств управления.

Для получения дополнительных сведений ознакомьтесь с разработкой брандмауэра защитника Windows с помощью стратегии расширенной безопасности и брандмауэра защитника Windows в руководстве по развертыванию Advanced Security .

Исходящие подключения с компьютера

Клиенты и серверы Windows требуют исходящих подключений по протоколу SMB для применения групповой политики с контроллерами домена, а также для пользователей и приложений для доступа к данным на файловом сервере, поэтому следует соблюдать осторожность при создании правил брандмауэра для предотвращения вредоносных боковой или подключения к Интернету. По умолчанию в клиенте Windows или сервере не подключены к общим ресурсам SMB нет исходящих блоков, поэтому вам потребуется создать новые правила блокировки.

Кроме того, вы должны создать новое правило блокировки, чтобы переопределить любые другие правила брандмауэра для входящих подключений. Используйте указанные ниже Рекомендуемые параметры для всех клиентов или серверов Windows, на которых не размещены общие ресурсы SMB.

Гостевые и общедоступные (недоверенные) сети

  • Name (имя): блокировать исходящие гостевые и общедоступные SMB 445
  • Описание: блокирует трафик по ПРОТОКОЛу SMB 445, если в сети нет доверия
  • Действие: блокировать подключение
  • Программы: все
  • Удаленные компьютеры: любые
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: гость и Public
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): Any
  • Обход по краям: блокировать обход по краям

Примечание. Домашние и мобильные пользователи Office, работающие в корпоративной доверенной сети и подключающиеся к своим домашним сетям, должны соблюдать осторожность, прежде чем они будут блокировать общедоступную исходящую сеть. Это может препятствовать доступу к своим местным устройствам NAS и некоторым принтерам.

Закрытые и доменные (доверенные) сети

  • Name (имя): разрешить исходящие домены или частный протокол SMB 445
  • Описание: разрешает исходящий трафик по ПРОТОКОЛу SMB 445 только для контроллеров домена и файлов серверов в доверенной сети.
  • Действие: Разрешение подключения, если оно безопасно
  • Настройка разрешения: выберите один из вариантов, а затем установите для параметра "переопределить правила блокировки" значение on
  • Программы: все
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: частный или доменный
  • Область (локальный IP-адрес): любой
  • Scope (удаленный IP-адрес): <список контроллеров домена и IP-адресов файлов сервера>
  • Обход по краям: блокировать обход по краям

Примечание. Вы также можете использовать удаленные компьютеры вместо удаленных IP-адресов области, если безопасное подключение использует проверку подлинности, которая несет идентификацию компьютера. Дополнительные сведения о параметрах "разрешить подключение, если безопасно" и на удаленном компьютере можно узнать в документации по брандмауэру защитника .

  • Name (имя): блокировать исходящие домены или частные SMB 445
  • Описание: блокирует трафик TCP 445, исходящие по протоколу SMB. Переопределение с помощью правила "разрешить исходящие домены/частные SMB 445"
  • Действие: блокировать подключение
  • Программы: все
  • Удаленные компьютеры: н/д
  • Тип протокола: TCP
  • Локальный порт: любой
  • Удаленный порт: 445
  • Профили: частный или доменный
  • Область (локальный IP-адрес): любой
  • Область (удаленный IP-адрес): н/д
  • Обход по краям: блокировать обход по краям

Вы не должны глобально блокировать трафик по протоколу SMB с компьютеров на контроллеры домена или на файловые серверы. Однако вы можете ограничить доступ к ним из доверенных диапазонов IP-адресов и устройств, чтобы уменьшить их поверхность для атак.

Для получения дополнительных сведений ознакомьтесь с разработкой брандмауэра защитника Windows с помощью стратегии расширенной безопасности и брандмауэра защитника Windows в руководстве по развертыванию Advanced Security .

Рабочая станция и служба сервера Windows

Для пользователей и компьютеров с высокой четкой изоляцией, которым не требуется SMB, вы можете отключить службы сервера или рабочей станции. Это можно сделать вручную с помощью оснастки "службы" (Services. msc) и командлета Set-Service для PowerShell либо с помощью настроек групповой политики. При остановке и отключении этих служб протокол SMB больше не сможет принимать исходящие и принимать входящие подключения.

Не отключайте службу сервера на контроллерах домена или на файловом сервере, и никакие клиенты не смогут применять групповую политику или подключаться к данным. Не отключайте службу рабочей станции на компьютерах, которые являются членами домена Active Directory, или они больше не будут применять групповую политику.