Предотвращение неавтериальных подключений для трафика МБ, а также вход в сеть или выход из нее

Подходы брандмауэра периметра

Брандмауэры оборудования и устройств периметра, которые находятся в границе сети, должны блокировать нежелательные сообщения (из Интернета) и исходяющий трафик (через Интернет) к следующим портам.
 

Маловероятно, что какие-либо SMB-сообщения, происходящие из Интернета или предназначенные для Интернета, являются законными. Основной случай может быть для облачного сервера или службы, например файлов Azure. В брандмауэре периметра следует создать ограничения на основе IP-адресов, чтобы разрешить только определенные конечные точки. Организации могут разрешить доступ через порт 445 к определенным центрам обработки данных Azure и диапазонам IP-адресов O365, чтобы включить гибридные сценарии, в которых клиенты локальной организации (за брандмауэром предприятия) используют порт SMB для разговора с хранилищем файлов Azure. Также следует разрешить только 3 МБ.x трафик и требуется шифрование SMB AES-128. Дополнительные сведениясм. вразделе "Ссылки".

Примечание. Использование транспорта NetBIOS для SMB прекратилось в Windows Vista, Windows Server 2008 и во всех более поздних операционных системах Майкрософт, когда корпорация Майкрософт представила SMB 2.02. Однако в вашей среде могут быть программное обеспечение и устройства, не в том числе Windows. Следует отключить и удалить SMB1, если вы еще не сделали этого, так как она по-прежнему использует NetBIOS. Более поздние версии Windows Server и Windows больше не устанавливают SMB1 по умолчанию и будут автоматически удалять его, если это разрешено.

Защитник Windows брандмауэра

Все поддерживаемые версии Windows и Windows Server включают брандмауэр Защитник Windows (ранее — брандмауэр Windows). Этот брандмауэр обеспечивает дополнительную защиту устройств, особенно если они перемещаются за пределы сети или запускаются в пределах одной из них.

Брандмауэр Защитник Windows имеет отдельные профили для определенных типов сетей: "Домен", "Частное" и "Гость/общедоступный". По умолчанию гостевой и общедоступный сети имеют гораздо более строгие параметры, чем для надежных доменных и частных сетей. Для этих сетей могут действовать различные ограничения SMB в зависимости от оценки угрозы и потребностей, необходимых для эксплуатации.

Входящие подключения к компьютеру

На клиентах и серверах Windows, на которые не были мб-серверы, можно заблокировать весь входящий трафик SMB с помощью брандмауэра Защитник Windows для предотвращения удаленного подключения от вредоносных или скомпрометнных устройств. В брандмауэре Защитник Windows правила для входящие данной службы.

Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции:

• Name: Блокировать все входящие SMB 445

• Описание:блокирует весь входящий трафик TCP 445 для SMB. Этот стандарт не должен применяться к контроллерам доменов или компьютерам, на компьютерах с доступом к SMB-данным.

• Действие:блокировка подключения

• Программы:все

• Удаленные компьютеры:any

• Тип протокола:TCP

• Локальный порт:445

• Удаленный порт:любой

• Профили:все

• Область (локальный IP-адрес):any

• Область (удаленный IP-адрес):любой

• Edge Traversal: Block edge traversal

Не следует глобально блокировать входящий трафик SMB на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак. Кроме того, они должны быть ограничены профилями домена или частного брандмауэра и не позволяют использовать гостевой или общедоступный трафик.

Примечание. Брандмауэр Windows по умолчанию блокирует все входящие SMB-сообщения, так как windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). Устройства с Windows позволяют входящие средства связи с SMB только в том случае, если администратор создает долю SMB или изменяет параметры брандмауэра по умолчанию. Не следует доверять, что стандартный стандартный режим остается на месте на устройствах. Всегда проверять параметры и их состояние, а также управлять ими можно с помощью групповой политики или других средств управления.

Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment

Исходящие подключения с компьютера

Клиентам и серверам Windows требуются исходящие подключения к SMB, чтобы применить групповую политику с контроллеров домена, пользователей и приложений для доступа к данным на файловых серверах, поэтому необходимо соблюдать правила брандмауэра для предотвращения вредоносных подключений через Интернет или через Интернет. По умолчанию в клиенте Windows или на сервере, подключающихся к SMB-серверам, нет исходящие блоки, поэтому вам придется создавать новые правила блокирования.

Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции.

Гостевых и общедоступных (неподтверщенных) сетей

• Name: Block outbound guest/Public SMB 445

• Описание:блокирует весь исходящие трафик TCP 445 для SMB в ненаверщенной сети

• Действие:блокировка подключения

• Программы:все

• Удаленные компьютеры:any

• Тип протокола:TCP

• Локальный порт:любой

• Удаленный порт:445

• Профили:гость/общедоступный

• Область (локальный IP-адрес):any

• Область (удаленный IP-адрес):любой

• Edge Traversal: Block edge traversal

Примечание. Небольшие пользователи office и office для дома, а также мобильные пользователи, которые работают в корпоративных доверенных сетях и подключаются к своим домашним сетям, следует соблюдать осторожность, прежде чем блокировать общедоступные исходящие сети. Это может препятствовать доступу к локальным naS-устройствам или определенным принтерам.

Частные/доменные (доверенные) сети

• Name: Allow outbound Domain/Private SMB 445

• Описание:позволяет исходящие трафик SMB TCP 445 только на DCS и файловые серверы в надежной сети

• Действие:разрешить подключение, если оно защищено

• Настройка параметра "Разрешить", если параметрыбезопасности: выберите один из вариантов, задайте правила блокировки переопределения = ON

• Программы:все

• Тип протокола:TCP

• Локальный порт:any

• Удаленный порт:445

• Профили:частный/домен

• Область (локальный IP-адрес):any

• Область (удаленный IP-адрес):<список IP-адресов контроллера домена и файлового>

• Edge Traversal: Block edge traversal

Примечание. Вы также можете использовать удаленные компьютеры вместо областей удаленных IP-адресов, если защищенное подключение использует проверку подлинности, которая содержит удостоверение компьютера. Дополнительные сведения о параметрах "Разрешить подключение, если безопасно" и "Удаленный компьютер" можно получить в документации брандмауэра Защитника.

• Name: Block outbound Domain/Private SMB 445

• Описание:блокирует исходящие SMB-трафик TCP 445. Переопределять с помощью правила "Разрешить исходящие домены и частные SMB 445"

• Действие:блокировка подключения

• Программы:все

• Удаленные компьютеры:Н/П

• Тип протокола:TCP

• Локальный порт:any

• Удаленный порт:445

• Профили:частный/домен

• Область (локальный IP-адрес):any

• Область (удаленный IP-адрес):Н/П

• Edge Traversal: Block edge traversal

Не следует блокировать глобальный трафик SMB с компьютеров на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак.

Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment

Правила подключения к безопасности

Правило подключения к безопасности необходимо использовать для реализации исключений из правил брандмауэра для правил "Разрешить подключение, если оно безопасно" и "Разрешить подключение использовать Инкапсуляцию NULL". Если это правило не задалось на всех компьютерах на базе Windows и Windows Server, проверка подлинности будет невозможна и для SMB будет заблокирован исходящие исходящие точки. 

Например, требуются следующие параметры:

• Тип правила:Изоляция

• Требования:запрос проверки подлинности для входящие и исходящие подключения

• Способ проверки подлинности:компьютер и пользователь (Kerberos V5)

• Профиль:домен, частный, общедоступный

• Name: Isolation ESP Authentication for SMB overrides

Дополнительные сведения о правилах подключения к безопасности см. в следующих статьях:

• Разработка брандмауэра Защитник Windows с помощью стратегии

• Контрольный список: настройка правил для изолированной зоны сервераhttps://docs.microsoft.com/windows/security/threat-protection/windows-firewall/checklist-configuring-rules-for-an-isolated-server-zone

Windows Workstation и Server Service

Для компьютеров с ограниченными возможностями или с высокой изолированной работой, на которые вообще не требуются SMB-серверы, можно отключить службы Сервера или Рабочей станции. Это можно сделать вручную с помощью оснастки Services (Services.msc) и cmdlet PowerShell Set-Service или с помощью настроек групповой политики. Если остановить и отключить эти службы, SMB больше не сможет делать исходящие подключения или получать входящие подключения.

Вы не должны отключать службу "Сервер" на контроллерах доменов или файловых серверах, иначе клиенты больше не смогут применять групповую политику или подключаться к своим данным. Вы не должны отключать службу Workstation на компьютерах, которые являются членами домена Active Directory, или они больше не будут применять групповую политику.