В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Правила для блокировки портов брандмауэров для предотвращения выхода из корпоративной среде трафик по протоколу SMB

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3185535
Аннотация
Пользователи-злоумышленники можно использовать протокол блока сообщений сервера (SMB) для злоумышленных целей.

Брандмауэром и конфигурации брандмауэра повышает безопасность сети, помогая предотвратить потенциально небезопасный трафик пересечения периметра.

Брандмауэры периметра сети предприятия следует блокировать непредусмотренные (из Интернета) и outgoingtraffic (в Интернете) на следующие порты на связанных SMB:

137
138
139
445
Дополнительная информация
Эти порты может использоваться для установки соединения с сервером SMB Интернет потенциально вредоносные. Трафик по протоколу SMB, необходимо ограничить к частной сети или виртуальные частные сети (VPN).

Предложение

Блокировка этих портов на брандмауэре края или периметра предприятия помогает защитить системы, защищённые брандмауэром, от попыток использовать SMB для злоумышленных целей.

Подходы

Брандмауэры периметра сети обычно используется список блокировки и список утвержденных методологий правила.

Список блокировки
Разрешить трафик, если не запретить (блок перечисленных) правило запрещает его.

Пример 1.
Разрешить все
Запретить 137 имя службы
Запретить 138 службы датаграмм
Запретить 139 сеанса службы
Запретить 445 сеанса службы

Список утвержденных
Если разрешающее правило позволяет запретите трафик.

Для предотвращения возможных атак через другие порты корпорация Майкрософт рекомендует блокировать весь непредусмотренный трафик из Интернета. Мы предложить запретить контракта, с разрешать исключения из правил (утвержденный список).

Примечание. Список утвержденных метод в этом разделе неявно блокирует трафик NetBIOS и SMB, не включая разрешающее правило.

Пример 2
Запретить все
Разрешить 53 DNS
Разрешить 21 FTP
Разрешить 80 HTTP
Разрешить 443 HTTPS
Разрешить 143 IMAP
Разрешить 123 NTP
Разрешить 110 POP3
Разрешить 25 SMTP

В списке разрешить порты не является исчерпывающим. В зависимости от организации требуется, дополнительный брандмауэр, операции могут быть необходимы.

Побочные эффекты

Некоторые службы Windows использовать уязвимые порты. Блокирование доступа к портам может помешать различные службы и приложения работают. Некоторые приложения или службы, которые могут быть затронуты следующие:
  • Приложения, использующие протокол SMB (CIFS)
  • Приложений, использующих слоты сообщений или именованные каналы (протокол RPC по SMB)
  • Сервер (общие файлы и принтеры)
  • Групповая политика
  • Сетевой вход в систему
  • Распределенная файловая система (DFS)
  • Лицензирование сервера терминалов
  • Диспетчер очереди печати
  • Обозреватель компьютеров
  • Локатор удаленного вызова процедур
  • Служба факсов
  • Служба индексирования
  • Журналы и оповещения производительности
  • Сервер Systems Management Server
  • Служба учета лицензий

Отмена изменений

Разблокировать порты на брандмауэре. Дополнительные сведения о портах см. TCP и UDP-порт назначения.

Ссылки

Azure удаленных приложений https://Azure.Microsoft.com/en-US/Documentation/articles/RemoteApp-Ports/

IP-адреса Azure центров обработки данных http://go.Microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-US/Article/Office-365-URLs-and-IP-Address-Ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3185535 — последний просмотр: 08/27/2016 19:03:00 — редакция: 1.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Service Pack 2 для Windows Vista

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtru
Отзывы и предложения
t.createElement("meta"); m.content = guid; m.name = "ms.dqid"; document.getElementsByTagName("head")[0].appendChild(m);