Applies ToWindows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

Povzetek

Strežniško sporočilo Block (SMB) je skupna raba omrežnih datotek in protokol za podatkovno strukturo. SMB uporablja več milijard naprav v različnih operacijskih sistemih, vključno s sistemi Windows, MacOS, iOS, Linux in Android. Odjemalci uporabljajo SMB za dostop do podatkov v strežnikih. S tem lahko omogočite skupno rabo datotek, centralizirano upravljanje podatkov in znižate potrebe kapacitete shrambe za prenosne naprave. Strežniki uporabljajo tudi SMB kot del programske opreme, ki jo določa programska oprema za delovne obremenitve, kot je gruča in replikacija.

Ker je SMB oddaljeni datotečni sistem, zahteva zaščito pred napadi, pri katerih je računalnik s sistemom Windows mogoče Prelisičiti, da se obrne na zlonamerni strežnik, ki se izvaja v zaupanja vrednem omrežju ali oddaljenem strežniku zunaj območja omrežja. Najboljše prakse in konfiguracije požarnega zidu lahko izboljšajo varnost preprečevanja škodljivega prometa iz računalnika ali omrežja.

Vpliv sprememb

Če blokirate povezljivost s storitvijo SMB, lahko preprečite delovanje različnih programov ali storitev. Če želite seznam programov in storitev Windows in Windows Server, ki lahko prenehajo delovati, preglejte pregled storitev in zahteve omrežnega vmesnika za Windows

Več informacij

Pristopi požarnega zidu območja

Požarni zidovi in naprave, ki so nameščeni na robu omrežja, morajo blokirati nenaročeno komunikacijo (iz interneta) in odhodni promet (v Internet) v ta vrata.  

Protokol programa

Protokola

Vrata

MALA

TCP

445

Ločljivost NetBIOS imena

UDP

137

Storitev NetBIOS Datagram

UDP

138

Storitev zasedanja NetBIOS

TCP

139

Ni verjetno, da je katera koli komunikacija SMB, ki izvira iz interneta ali je namenjena internetu, legitimna. Primarni primer je morda namenjen strežniku ali storitvi v oblaku, kot so datoteke Azure, in v požarnem zidu obsega lahko ustvarite omejitve, ki temeljijo na naslovih IP, da omogočite le določene končne točke. Organizacije lahko dovolijo dostop do vrat 445 do določenih podatkov v storitvi Azure Datacenter in O365 IP, da omogočijo hibridne scenarije, pri katerih stranke na mestu uporabe (za požarni zid podjetja) uporabljajo vrata SMB za pogovor z shrambo datotek Azure. Omogočiti morate tudi le SMB 3.x Traffic in zahtevajo šifriranje SMB-128. Če želite več informacij, glejte razdelek sklici spodaj.

Opomba Uporaba storitve NetBIOS za prenos SMB se je končala v sistemu Windows Vista, Windows Server 2008 in v vseh novejših Microsoftovih operacijskih sistemih, ko je Microsoft uvedel SMB 2,02. Vendar pa imate morda v okolju tudi drugo programsko opremo in naprave, kot je Windows. Če tega še niste naredili, onemogočite in odstranite SMB1, ker še vedno uporablja NetBIOS. Novejše različice sistema Windows Server in Windows ne morejo več namestiti SMB1 in bodo samodejno odstranjene, če je to dovoljeno.

Pristopi požarnega zidu Windows Defender

Vse podprte različice sistema Windows in sistema Windows Server vključujejo požarni zid Windows Defender (prej imenovan požarni zid Windows). Ta požarni zid zagotavlja dodatno zaščito naprav, še posebej, če se naprave premikajo zunaj omrežja ali ko se izvajajo v enem.

Požarni zid Windows Defender ima ločene profile za določene vrste omrežij: domena, zasebna in gost/javno. Gost/javno omrežje po navadi privzeto postane bolj omejevalne nastavitve, kot je bolj zaupanja vredna domena ali zasebna omrežja. Morda boste imeli različne omejitve SMB za ta omrežja, ki temeljijo na oceni grožnje v primerjavi z operativnimi potrebami.

Dohodne povezave z računalnikom

Za odjemalce in strežnike sistema Windows, ki ne gostujejo SMB delnic, lahko blokirate vse vhodne SMB prometne s požarnim zidom Windows Defender, da preprečite oddaljene povezave z zlonamernimi ali ogroženimi napravami. V požarnem zidu Windows Defender to vključuje ta dohodna pravila.

ime

Profil

Omogočeno

Skupna raba datotek in tiskalnikov (SMB-in)

Vse

Ne

Storitev Netlogon (NP-in)

Vse

Ne

Oddaljeno upravljanje dnevnika dogodkov (NP-in)

Vse

Ne

Oddaljeno upravljanje storitev (NP-in)

Vse

Ne

Ustvarite lahko tudi novo pravilo blokiranja, s katerim prepišete katero koli drugo dohodno pravila požarnega zidu. Uporabite te predlagane nastavitve za vse odjemalce sistema Windows ali strežnike, ki ne gostujejo SMB delnic:

  • Ime: Blokiraj vse dohodne SMB 445

  • Opis: blokira vse dohodne SMB TCP 445 prometa. Ni mogoče uporabiti za krmilnike domene ali računalnike, ki gostujejo SMB.

  • Dejanje: blokirajte povezavo

  • Programi: vsi

  • Oddaljeni računalniki: kateri koli

  • Vrsta protokola: TCP

  • Lokalna vrata: 445

  • Oddaljena vrata: kateri koli

  • Profili: vsi

  • Obseg (lokalni naslov IP): poljuben

  • Obseg (oddaljeni naslov IP): kateri koli

  • Rob: prečkanje roba bloka

Ne smete globalno blokirati vhodnih SMB prometa s krmilniki domene ali datotečnimi strežniki. Lahko pa omejite dostop do njih iz zaupanja vrednih IP obsegov in naprav, da zmanjšate njihovo površino napada. Prav tako bi morali biti omejeni na profile domene ali zasebni požarni zid in ne dovolijo gost/javni promet.

Opomba Požarni zid Windows je privzeto blokiral vse dohodne komunikacije SMB, saj je Windows XP SP2 in Windows Server 2003 SP1. Naprave s sistemom Windows bodo dovolili dohodno komunikacijo SMB le, če skrbnik ustvari SMB skupno rabo ali spremeni privzete nastavitve požarnega zidu. Ne smete zaupati privzete izkušnje iz polja, ki je še vedno na mestu naprav, ne glede na to. Vedno preverite in aktivno Upravljajte nastavitve in želeno stanje tako, da uporabite pravilnik skupine ali druga orodja za upravljanje.

Če želite več informacij, si oglejte načrtovanje požarnega zidu Windows Defender z napredno varnostno strategijo in požarnim zidom Windows Defender z naprednim vodnikom za uvajanje varnosti

Odhodne povezave iz računalnika

Odjemalci in strežniki sistema Windows zahtevajo odhodne povezave SMB, če želite uporabiti pravilnik skupine iz krmilnikov domene in za uporabnike in aplikacije za dostop do podatkov v datotečnih strežnikih, zato bodite pozorni pri ustvarjanju pravil požarnega zidu za preprečevanje zlonamernih stranskih ali internetne povezave. Privzeto ni izhodnih blokov v odjemalcu s sistemom Windows ali strežniku, ki se povezuje s SMB delnicami, zato boste morali ustvariti nova pravila blokiranja.

Ustvarite lahko tudi novo pravilo blokiranja, s katerim prepišete katero koli drugo dohodno pravila požarnega zidu. Uporabite te predlagane nastavitve za vse odjemalce sistema Windows ali strežnike, ki ne gostujejo SMB delnic.

Omrežja za goste/javno (nezaupanja)

  • Ime: Blokiraj odhodni gost/javni SMB 445

  • Opis: blokira vse odhodne SMB TCP 445 prometa, ko ste v nezaupljivem omrežju

  • Dejanje: blokirajte povezavo

  • Programi: vsi

  • Oddaljeni računalniki: kateri koli

  • Vrsta protokola: TCP

  • Lokalna vrata: kateri koli

  • Oddaljena vrata: 445

  • Profili: gost/javni

  • Obseg (lokalni naslov IP): poljuben

  • Obseg (oddaljeni naslov IP): kateri koli

  • Rob: prečkanje roba bloka

Opomba Uporabniki majhnih Officeovih in domačih uporabnikov ali mobilni Uporabniki, ki delajo v zaupanja vrednih omrežjih podjetja in vzpostavijo povezavo z domačimi omrežji, morajo biti previdni, preden blokirajo javno odhodno omrežje. S tem lahko preprečite dostop do svojih lokalnih naprav ali določenih tiskalnikov.

Zasebna/domena (zaupanja vredna) omrežja

  • Ime: dovoli odhodno domeno/zasebni SMB 445

  • Opis: omogoča odhodni SMB TCP 445 prometa le v DCs in datotečnih strežnikih, ko ste v zaupanja vrednem omrežju

  • Dejanje: Dovoli povezavo, če je varna

  • Prilagoditev dovoli, če so na voljo varne nastavitve: Izberite eno od možnosti, nastavite preglasi pravila bloka = vklopljeno

  • Programi: vsi

  • Vrsta protokola: TCP

  • Lokalna vrata: kateri koli

  • Oddaljena vrata: 445

  • Profili: zasebna/domena

  • Obseg (lokalni naslov IP): poljuben

  • Obseg (oddaljeni naslov IP): <seznam naslovov domenskega krmilnika in IP strežnika za strežnike v strežniku>

  • Rob: prečkanje roba bloka

Opomba Če zavarovana povezava uporablja preverjanje pristnosti, ki prenaša identiteto računalnika, lahko uporabite tudi oddaljene računalnike in ne obsega oddaljenih naslovov IP. Če želite več informacij o» Dovoli povezavo, če je varno «in možnosti oddaljenega računalnika, si oglejte dokumentacijo požarnega zidu Defender .

  • Ime: Blokiraj odhodno domeno/zasebni SMB 445

  • Opis: blokira odhodne SMB TCP 445 prometa. Preglasitev z uporabo pravila» dovoli odhodno domeno/zasebno SMB 445 «

  • Dejanje: blokirajte povezavo

  • Programi: vsi

  • Oddaljeni računalniki: N/A

  • Vrsta protokola: TCP

  • Lokalna vrata: kateri koli

  • Oddaljena vrata: 445

  • Profili: zasebna/domena

  • Obseg (lokalni naslov IP): poljuben

  • Obseg (oddaljeni naslov IP): N/A

  • Rob: prečkanje roba bloka

Ni treba, da globalno blokirate odhodni SMB promet iz računalnikov v krmilnike domene ali strežnike datotek. Lahko pa omejite dostop do njih iz zaupanja vrednih IP obsegov in naprav, da zmanjšate njihovo površino napada.

Če želite več informacij, si oglejte načrtovanje požarnega zidu Windows Defender z napredno varnostno strategijo in požarnim zidom Windows Defender z naprednim vodnikom za uvajanje varnosti

Windows Workstation in storitev strežnika

Za potrošnike ali zelo izolirane, upravljane računalnike, ki ne zahtevajo SMB, lahko onemogočite storitve Server ali Workstation. To lahko naredite ročno tako, da uporabite snap-in (Services. msc) in ukaz» cmdlet «za Nastavitev storitve PowerShell ali pa uporabite nastavitve pravilnika skupine. Ko zaustavite in onemogočite te storitve, SMB ne more več ustvariti odhodnih povezav ali prejemati dohodnih povezav.

Strežniške storitve v krmilnikih domene ali datotečnih strežnikih ne smete onemogočiti ali pa odjemalci ne bodo mogli uporabiti pravilnika skupine ali pa jih več povezati s podatki. Storitve Workstation ne smete onemogočiti v računalnikih, ki so člani domene imenika Active Directory, ali pa ne bodo več uporabljali pravilnika skupine.

Reference

Oblikovanje požarnega zidu Windows Defender z naprednim požarnim zidom Windows Defender Firewall z naprednim vodnikom za uvajanje varnostnega uvajanja Azure Remote app zaMicrosoft O365 naslovi IP

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.