Аннотация
Блок сообщений сервера (SMB) — это протокол сетевого обмена файлами и тканью данных. МБ используется десятками устройств в разных операционных системах, включая Windows, MacOS, iOS, Linux и Android. Клиенты используют SMB для доступа к данным на серверах. Это позволяет делиться файлами, централизованное управление данными и снизить объем памяти для мобильных устройств. Серверы также используют SMB как часть программного центра обработки данных для таких рабочих нагрузок, как кластеризация и репликация.
Так как SMB — это удаленная файловая система, она требует защиты от атак, при которых компьютеры с Windows могут быть обмануты в контакты с вредоносным сервером, работающим в доверенной сети, или с удаленным сервером за пределами периметра сети. Правила и конфигурации брандмауэра повышают безопасность и предотвращают выход вредоносного трафика с компьютера или из его сети.
Эффект изменений
Блокировка подключения к SMB может помешать работе различных приложений или служб. Список приложений и служб Windows и Windows Server, которые могут перестать работать в этой ситуации, см. в обзоре служб и требованиях к сетевому порту для Windows
Дополнительная информация
Подходы брандмауэра периметра
Брандмауэры оборудования и устройств периметра, которые находятся в границе сети, должны блокировать нежелательные сообщения (из Интернета) и исходяющий трафик (через Интернет) к следующим портам.
Протокол приложений |
Протокол |
Порт |
SMB |
TCP |
445 |
Разрешение имен NetBIOS |
UDP |
137 |
Служба датаграмм NetBIOS |
UDP |
138 |
Служба сеансов NetBIOS |
TCP |
139 |
см. вразделе "Ссылки".
Маловероятно, что какие-либо SMB-сообщения, происходящие из Интернета или предназначенные для Интернета, являются законными. Основной случай может быть для облачного сервера или службы, например файлов Azure. В брандмауэре периметра следует создать ограничения на основе IP-адресов, чтобы разрешить только определенные конечные точки. Организации могут разрешить доступ через порт 445 к определенным центрам обработки данных Azure и диапазонам IP-адресов O365, чтобы включить гибридные сценарии, в которых клиенты локальной организации (за брандмауэром предприятия) используют порт SMB для разговора с хранилищем файлов Azure. Также следует разрешить только 3 МБ.x трафик и требуется шифрование SMB AES-128. Дополнительные сведенияПримечание. Использование транспорта NetBIOS для SMB прекратилось в Windows Vista, Windows Server 2008 и во всех более поздних операционных системах Майкрософт, когда корпорация Майкрософт представила SMB 2.02. Однако в вашей среде могут быть программное обеспечение и устройства, не в том числе Windows. Следует отключить и удалить SMB1, если вы еще не сделали этого, так как она по-прежнему использует NetBIOS. Более поздние версии Windows Server и Windows больше не устанавливают SMB1 по умолчанию и будут автоматически удалять его, если это разрешено.
Защитник Windows брандмауэра
Все поддерживаемые версии Windows и Windows Server включают брандмауэр Защитник Windows (ранее — брандмауэр Windows). Этот брандмауэр обеспечивает дополнительную защиту устройств, особенно если они перемещаются за пределы сети или запускаются в пределах одной из них.
Брандмауэр Защитник Windows имеет отдельные профили для определенных типов сетей: "Домен", "Частное" и "Гость/общедоступный". По умолчанию гостевой и общедоступный сети имеют гораздо более строгие параметры, чем для надежных доменных и частных сетей. Для этих сетей могут действовать различные ограничения SMB в зависимости от оценки угрозы и потребностей, необходимых для эксплуатации.
Входящие подключения к компьютеру
На клиентах и серверах Windows, на которые не были мб-серверы, можно заблокировать весь входящий трафик SMB с помощью брандмауэра Защитник Windows для предотвращения удаленного подключения от вредоносных или скомпрометнных устройств. В брандмауэре Защитник Windows правила для входящие данной службы.
Имя |
Профиль |
Включено |
Общий доступ к файлам и принтерам (SMB-in) |
Все |
Нет |
Служба Netlogon (NP-In) |
Все |
Нет |
Удаленное управление журналами событий (NP-In) |
Все |
Нет |
Удаленное управление службами (NP-In) |
Все |
Нет |
Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции:
-
Name: Блокировать все входящие SMB 445
-
Описание:блокирует весь входящий трафик TCP 445 для SMB. Этот стандарт не должен применяться к контроллерам доменов или компьютерам, на компьютерах с доступом к SMB-данным.
-
Действие:блокировка подключения
-
Программы:все
-
Удаленные компьютеры:any
-
Тип протокола:TCP
-
Локальный порт:445
-
Удаленный порт:любой
-
Профили:все
-
Область (локальный IP-адрес):any
-
Область (удаленный IP-адрес):любой
-
Edge Traversal: Block edge traversal
Не следует глобально блокировать входящий трафик SMB на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак. Кроме того, они должны быть ограничены профилями домена или частного брандмауэра и не позволяют использовать гостевой или общедоступный трафик.
Примечание. Брандмауэр Windows по умолчанию блокирует все входящие SMB-сообщения, так как windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). Устройства с Windows позволяют входящие средства связи с SMB только в том случае, если администратор создает долю SMB или изменяет параметры брандмауэра по умолчанию. Не следует доверять, что стандартный стандартный режим остается на месте на устройствах. Всегда проверять параметры и их состояние, а также управлять ими можно с помощью групповой политики или других средств управления.
Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment
Исходящие подключения с компьютера
Клиентам и серверам Windows требуются исходящие подключения к SMB, чтобы применить групповую политику с контроллеров домена, пользователей и приложений для доступа к данным на файловых серверах, поэтому необходимо соблюдать правила брандмауэра для предотвращения вредоносных подключений через Интернет или через Интернет. По умолчанию в клиенте Windows или на сервере, подключающихся к SMB-серверам, нет исходящие блоки, поэтому вам придется создавать новые правила блокирования.
Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции.
Гостевых и общедоступных (неподтверщенных) сетей
-
Name: Block outbound guest/Public SMB 445
-
Описание:блокирует весь исходящие трафик TCP 445 для SMB в ненаверщенной сети
-
Действие:блокировка подключения
-
Программы:все
-
Удаленные компьютеры:any
-
Тип протокола:TCP
-
Локальный порт:любой
-
Удаленный порт:445
-
Профили:гость/общедоступный
-
Область (локальный IP-адрес):any
-
Область (удаленный IP-адрес):любой
-
Edge Traversal: Block edge traversal
Примечание. Небольшие пользователи office и office для дома, а также мобильные пользователи, которые работают в корпоративных доверенных сетях и подключаются к своим домашним сетям, следует соблюдать осторожность, прежде чем блокировать общедоступные исходящие сети. Это может препятствовать доступу к локальным naS-устройствам или определенным принтерам.
Частные/доменные (доверенные) сети
-
Name: Allow outbound Domain/Private SMB 445
-
Описание:позволяет исходящие трафик SMB TCP 445 только на DCS и файловые серверы в надежной сети
-
Действие:разрешить подключение, если оно защищено
-
Настройка параметра "Разрешить", если параметрыбезопасности: выберите один из вариантов, задайте правила блокировки переопределения = ON
-
Программы:все
-
Тип протокола:TCP
-
Локальный порт:any
-
Удаленный порт:445
-
Профили:частный/домен
-
Область (локальный IP-адрес):any
-
Область (удаленный IP-адрес):<список IP-адресов контроллера домена и файлового>
-
Edge Traversal: Block edge traversal
Примечание. Вы также можете использовать удаленные компьютеры вместо областей удаленных IP-адресов, если защищенное подключение использует проверку подлинности, которая содержит удостоверение компьютера. Дополнительные сведения о параметрах "Разрешить подключение, если безопасно" и "Удаленный компьютер" можно получить в документации брандмауэра Защитника.
-
Name: Block outbound Domain/Private SMB 445
-
Описание:блокирует исходящие SMB-трафик TCP 445. Переопределять с помощью правила "Разрешить исходящие домены и частные SMB 445"
-
Действие:блокировка подключения
-
Программы:все
-
Удаленные компьютеры:Н/П
-
Тип протокола:TCP
-
Локальный порт:any
-
Удаленный порт:445
-
Профили:частный/домен
-
Область (локальный IP-адрес):any
-
Область (удаленный IP-адрес):Н/П
-
Edge Traversal: Block edge traversal
Не следует блокировать глобальный трафик SMB с компьютеров на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак.
Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment
Правила подключения к безопасности
Правило подключения к безопасности необходимо использовать для реализации исключений из правил брандмауэра для правил "Разрешить подключение, если оно безопасно" и "Разрешить подключение использовать Инкапсуляцию NULL". Если это правило не задалось на всех компьютерах на базе Windows и Windows Server, проверка подлинности будет невозможна и для SMB будет заблокирован исходящие исходящие точки.
Например, требуются следующие параметры:
-
Тип правила:Изоляция
-
Требования:запрос проверки подлинности для входящие и исходящие подключения
-
Способ проверки подлинности:компьютер и пользователь (Kerberos V5)
-
Профиль:домен, частный, общедоступный
-
Name: Isolation ESP Authentication for SMB overrides
Дополнительные сведения о правилах подключения к безопасности см. в следующих статьях:
Windows Workstation и Server Service
Для компьютеров с ограниченными возможностями или с высокой изолированной работой, на которые вообще не требуются SMB-серверы, можно отключить службы Сервера или Рабочей станции. Это можно сделать вручную с помощью оснастки Services (Services.msc) и cmdlet PowerShell Set-Service или с помощью настроек групповой политики. Если остановить и отключить эти службы, SMB больше не сможет делать исходящие подключения или получать входящие подключения.
Вы не должны отключать службу "Сервер" на контроллерах доменов или файловых серверах, иначе клиенты больше не смогут применять групповую политику или подключаться к своим данным. Вы не должны отключать службу Workstation на компьютерах, которые являются членами домена Active Directory, или они больше не будут применять групповую политику.
Ссылки
Разработка брандмауэра Защитник Windows с помощью стратегии расширенных мер безопасности Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Удаленные приложения Azure IP-адреса центра обработки данных Azure IP-адреса Microsoft O365