Zabránenie prenosu SMB z bočných pripojení a zadaním alebo opustením siete

Prístupy s obvodovou bránou firewall

Hardvérové a spotrebičové brány firewall, ktoré sú umiestnené na okraji siete, by mali blokovať nevyžiadanú komunikáciu (z internetu) a odchádzajúce prenosy (na Internet) do nasledujúcich portov.
 

Je nepravdepodobné, že každá komunikácia SMB pochádzajúca z internetu alebo určenej na internet je legitímna. Primárna vec môže byť v prípade cloudového servera alebo služby, ako je napríklad Azure files. Ak chcete povoliť len tieto konkrétne koncové body, mali by ste vytvoriť obmedzenia IP adries v bráne firewall. Organizácie môžu povoliť prístup k portu 445 na konkrétne centrály Azure a služby O365 IP rozsahy, ktoré umožňujú hybridné scenáre, v ktorých Lokálni klienti (za podnikovou bránou firewall) používajú port SMB na konverzáciu s ukladacím priestorom súborov v službe Azure. Mali by ste tiež povoliť len SMB 3.x Traffic a vyžaduje sa šifrovanie SMB AES – 128. Ďalšie informácie nájdete v častiOdkazy.

Poznámka: Používanie rozhrania NetBIOS pre prenosy SMB ukončené vo Windowse Vista, Windows Server 2008 a vo všetkých novších operačných systémoch Microsoft, keď Microsoft predstavil SMB 2,02. Môže sa však stať, že máte v prostredí iný softvér a iné zariadenia než Windows. SMB1 by ste mali vypnúť a odstrániť, ak ste tak ešte neurobili, pretože stále používa protokol NetBIOS. Novšie verzie Windows servera a Windowsu už nie sú predvolene nainštalované SMB1 a automaticky sa odstránia, ak je to povolené.

Prístupy brány Windows Defender pre bránu firewall

Všetky podporované verzie Windowsu a Windows servera zahŕňajú bránu firewall pre Windows Defender (predtým s názvom brána firewall systému Windows). Táto brána firewall poskytuje dodatočnú ochranu pre zariadenia, najmä v prípade, keď sa zariadenia sťahujú mimo siete alebo sa spúšťajú v rámci jedného.

Brána firewall pre Windows Defender obsahuje odlišné profily pre určité typy sietí: doména, Súkromná a hosťovská/verejná. Hosťovská/verejná sieť zvyčajne na základe predvoleného nastavenia získa oveľa reštriktívnejšie nastavenia ako dôveryhodná doména alebo súkromné siete. Môžete sa stať, že pre tieto siete máte odlišné obmedzenia SMB, a to na základe vášho hodnotenia hrozieb v porovnaní s prevádzkovými potrebami.

Prichádzajúce pripojenia k počítaču

Pre klientov a servery Windows, ktoré nepoužívajú hostiteľa SMB, môžete blokovať všetky prichádzajúce prenosy SMB pomocou brány Windows Defender firewall, aby sa zabránilo vzdialeným pripojeniam zo škodlivých alebo ohrozených zariadení. V bráne firewall pre Windows Defender to zahŕňa nasledujúce pravidlá prichádzajúcej komunikácie.

Mali by ste tiež vytvoriť nové pravidlo blokovania na prepísanie iných pravidiel brány firewall pre prichádzajúce prenosy. Pomocou týchto navrhovaných nastavení pre všetkých klientov Windowsu alebo servery, ktoré nehosťujú akcie SMB:

• Name (názov): blokovanie všetkých prichádzajúcich SMB 445

• Popis: blokuje všetky PRICHÁDZAJÚCE SMB TCP 445 prevádzky. Nepoužiť na radiče domén ani na počítače, ktoré zdieľajú zdieľané položky SMB.

• Akcia: blokovanie pripojenia

• Programy: všetky

• Vzdialené počítače: ľubovoľné

• Typ protokolu: TCP

• Lokálny port: 445

• Vzdialený port: ľubovoľné

• Profily: všetky

• Rozsah (miestna IP adresa): ľubovoľné

• Rozsah (vzdialená IP adresa): ľubovoľné

• Prechádzajúce okraje: prechod na blokový okraj

Nemusíte globálne blokovať prichádzajúce prenosy SMB na radiče domén ani súborové servery. Prístup k nim však môžete obmedziť z dôveryhodných rozsahov IP adries a zariadení, aby sa znížil ich povrch útoku. Mali by sa obmedziť aj na domény alebo súkromné profily brány firewall a neumožňujú hosťom alebo verejným prenosom.

Poznámka: Brána Windows firewall predvolene zablokoval všetky prichádzajúce komunikácie cez SMB, pretože Windows XP SP2 a Windows Server 2003 SP1. Zariadenia s Windowsom umožnia prichádzajúcu komunikáciu SMB iba v prípade, že správca vytvorí zdieľanie SMB alebo zmení predvolené nastavenie brány firewall. Nemali by ste dôverovať predvolenému zastaveniu mimo pracoviska, aby ste sa mohli naďalej nachádzať v zariadeniach, bez ohľadu na to. Vždy overiť a aktívne spravovať nastavenia a ich požadovaný stav pomocou skupinovej politiky alebo iných nástrojov na správu.

Ďalšie informácie nájdete v téme návrh brány firewall pre Windows Defender s rozšírenou stratégiou zabezpečenia a bránou firewall pre Windows Defender s rozšíreným návodom na nasadenie zabezpečenia .

Odchádzajúce pripojenia z počítača

Klienti a servery Windowsu vyžadujú odchádzajúce pripojenia SMB s cieľom použiť skupinovú politiku z radičov domény a používateľov a aplikácie na prístup k údajom na súborových serveroch, preto je potrebné dbať pri vytváraní pravidiel brány firewall, aby sa predišlo nebezpečným bočným alebo internetovým pripojením. Na základe predvoleného nastavenia nie sú žiadne odchádzajúce bloky na klientskom systéme Windows ani na serveri, ktorý sa pripája k zdieľaným SMB, takže budete musieť vytvoriť nové pravidlá blokovania.

Mali by ste tiež vytvoriť nové pravidlo blokovania na prepísanie iných pravidiel brány firewall pre prichádzajúce prenosy. Použite nasledujúce navrhované nastavenia pre všetkých klientov Windowsu alebo servery, ktoré nehosťujú zdieľané akcie SMB.

Hosťovské alebo verejné (nedôveryhodné) siete

• Názov: blokovanie odchádzajúcich hostí/verejné SMB 445

• Popis: blokuje všetky odchádzajúce TCP 445 prenosy SMB v nedôveryhodnej sieti

• Akcia: blokovanie pripojenia

• Programy: všetky

• Vzdialené počítače: ľubovoľné

• Typ protokolu: TCP

• Lokálny port: ľubovoľné

• Vzdialený port: 445

• Profily: hosť/verejný

• Rozsah (miestna IP adresa): ľubovoľné

• Rozsah (vzdialená IP adresa): ľubovoľné

• Prechádzajúce okraje: prechod na blokový okraj

Poznámka: Malí Používatelia balíka Office a domácnosti alebo Mobilní používatelia, ktorí pracujú v podnikových dôveryhodných sieťach a potom sa pripoja k svojim domácim sieťam, by mali pred zablokovaním verejnej odchádzajúcej siete použiť opatrnosť. Môže to zabrániť prístupu k lokálnym zariadeniam NAS alebo niektorým tlačiarňam.

Súkromné alebo doménové (dôveryhodné) siete

• Názov: Povoliť odchádzajúce domény alebo súkromné SMB 445

• Popis: povoľuje odchádzajúce prenosy TCP 445 SMB iba na DCS a súborové servery v dôveryhodnej sieti

• Akcia: povolenie pripojenia, ak je zabezpečené

• Prispôsobiť povoliť ak je zabezpečené nastavenie: Vyberte niektorú z možností, nastavte položku prepísať blokové pravidlá = zapnuté

• Programy: všetky

• Typ protokolu: TCP

• Lokálny port: ľubovoľné

• Vzdialený port: 445

• Profily: Private/Domain

• Rozsah (miestna IP adresa): ľubovoľné

• Rozsah (vzdialená IP adresa): <zoznam radičov domény a IP adries pre súborový server>

• Prechádzajúce okraje: prechod na blokový okraj

Poznámka: Ak zabezpečené pripojenie používa overenie, ktoré prenáša identitu počítača, môžete použiť aj vzdialené počítače namiesto vzdialených IP adries. Pozrite si dokumentáciu k bráne firewall pre ďalšie informácie o možnostiach povoliť pripojenie, ak je zabezpečená, a možnosti vzdialeného počítača.

• Názov: blokovanie odchádzajúcich domén/súkromných SMB 445

• Popis: blokuje odchádzajúce prenosy TCP 445 SMB. Prepísať pomocou pravidla povoliť odchádzajúce domény/súkromné SMB 445

• Akcia: blokovanie pripojenia

• Programy: všetky

• Vzdialené počítače: N/A

• Typ protokolu: TCP

• Lokálny port: ľubovoľné

• Vzdialený port: 445

• Profily: Private/Domain

• Rozsah (miestna IP adresa): ľubovoľné

• Rozsah (vzdialená IP adresa): nie je k dispozícii

• Prechádzajúce okraje: prechod na blokový okraj

Nie je nutné globálne blokovať odchádzajúce prenosy SMB z počítačov na radiče domény ani súborové servery. Prístup k nim však môžete obmedziť z dôveryhodných rozsahov IP adries a zariadení, aby sa znížil ich povrch útoku.

Ďalšie informácie nájdete v téme návrh brány firewall pre Windows Defender s rozšírenou stratégiou zabezpečenia a bránou firewall pre Windows Defender s rozšíreným návodom na nasadenie zabezpečenia .

Pravidlá pripojenia zabezpečenia

Na implementáciu výnimiek pravidla pre odchádzajúce brány firewall pre "Povoliť pripojenie, ak je to bezpečné" a "Povoliť pripojenie na používanie nastavenia null zapuzdrenia" je nutné použiť pravidlo pripojenia zabezpečenia. Ak toto pravidlo nenastavujete vo všetkých počítačoch so systémom Windows a Windows Server, overovanie zlyhá a SMB bude blokovaný odchádzajúce. 

Vyžaduje sa napríklad nasledovné nastavenie:

• Typ pravidla: izolácia

• Požiadavky: overenie požiadaviek na prichádzajúce a odchádzajúce pripojenia

• Spôsob overovania: počítač a používateľ (Kerberos V5)

• Profil: doména, súkromné, verejné

• Názov: izolácia ESP overovanie pre SMB prepíše

Ďalšie informácie o pravidlách pripojenia zabezpečenia nájdete v nasledujúcich článkoch:

• Návrh brány firewall pre Windows Defender s rozšírenou stratégiou zabezpečenia

• Kontrolný zoznam: Konfigurácia pravidiel pre izolovanú zónu servera

Pracovná stanica a server služby Windows

Pre spotrebiteľov alebo vysoko izolované spravované počítače, ktoré nevyžadujú SMB vôbec, môžete vypnúť služby servera alebo pracovnej stanice. Môžete to urobiť manuálne pomocou modulu "služby" (Services. msc) a rutiny typu cmdlet set-Service (služba ) prostredia PowerShell alebo pomocou predvolieb skupinovej politiky. Keď tieto služby zastavíte a vypnete, SMB už neumožňuje odchádzajúce pripojenia ani prijímanie prichádzajúcich pripojení.

Službu Server nesmiete vypnúť na radičoch domény ani na serveroch s súbormi alebo žiadny z klientov nebude môcť použiť skupinovú politiku alebo pripojiť k svojim údajom už. Službu Pracovná stanica nesmiete vypnúť v počítačoch, ktoré sú členmi domény služby Active Directory, alebo sa už nebudú vzťahovať na politiku skupiny.