Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Ukupne

Blok poruka sa serverom (SMB) je Mrežno deljenje datoteka i protokol za materijale podataka. SMB koriste milijarde uređaja u različitim skupom operativnih sistema, uključujući Windows, MacOS, iOS, Linux i android. Klijenti koriste SMB za pristup podacima na serverima. To omogućava deljenje datoteka, centralizovano upravljanje podacima i smanjene kapacitete skladištenja za mobilne uređaje. Serveri takođe koriste SMB kao deo softversko-definisani centar za podatke za radna opterećenja kao što su grupisanja i replikacije.

Zato što je SMB sistem udaljenog sistema datoteka zahteva zaštitu od napada u kojima je Windows računar možda prevaren da kontaktira zlonamernog servera koji radi unutar pouzdane mreže ili na udaljenom serveru izvan oblasti mreže. Najbolji načini i konfiguracije zaštitnog zida mogu da unaprede bezbednost i spreče zlonameran promet od napuљtanja računara ili mreže.

Efekat promena

Blokiranje povezivanja sa SMB može sprečiti rad raznih aplikacija ili usluga. Za listu Windows i Windows Server aplikacija i usluga koje mogu da prestanu da funkcionišu u ovoj situaciji, potražite u članku Pregled usluga i zahtevi mrežnog priključka za Windows

Više informacija

Zaštitni zid se približava

Zaštitni zidovi hardverske i alatnice koji su postavljeni na ivicu mreže trebalo bi da blokiraju neћeljene komunikacije (sa Interneta) i odlazni saobraćaj (na Internetu) na sledeće portove.
 

Protokol aplikacije

Mrtvi

Mac

SMB

PROTO

445

NetBIOS rezolucija imena

UDP

137

Usluge NetBIOS Datagram

UDP

138

NetBIOS usluga sesije

PROTO

139


Nije vjerovatno da bilo koja SMB komunikacija iz Interneta ili namenjena za Internet bude legitimna. Primarni slučaj može biti za server ili uslugu zasnovan na oblaku, kao što su Azure datoteke. Trebalo bi da kreirate ograničenja zasnovana na IP adresama u okviru zaštitnog zida da biste dopustili samo tim određenim krajnjim tačkama. Organizacije mogu da dozvole port 445 pristupu određenim Azure Datacenter i O365 IP opsezima za omogućavanje hibridnog scenarija u kojima lokalni klijenti (iza poslovnog zaštitnog zida) koriste SMB port da bi razgovarali sa Azure datotekom za skladištenje. Trebalo bi da omogućite samo SMB 3.x saobraćaj i ZAHTIJEVA SMB AES-128 šifrovanje. Više informacija potražite u odeljku "reference".

Cedu Upotreba NetBIOS for SMB transporta završena je u operativnom sistemu Windows Vista, Windows Server 2008 i u svim kasnijim operativnim sistemima Microsoft operating kada je Microsoft uveo SMB 2,02. Međutim, možda imate softver i uređaje koje nisu Windows u okruženju. Trebalo bi da onemogućite i uklonite SMB1 ako to već niste uradili zato što on i dalje koristi NetBIOS. Novije verzije operativnog sistema Windows Server i Windows više ne instaliraju SMB1 po podrazumevanoj vrednosti i automatski je uklanjaju ako je to dozvoljeno.

Bliži se zaštitni zid Windows zaštitnik

Sve podržane verzije operativnog sistema Windows i Windows Server uključuju zaštitni zid Windows zaštitnika (prethodno imenovani Windows zaštitni zid). Ovaj zaštitni zid pruža dodatnu zaštitu za uređaje, naročito kada se uređaji pomeraju izvan mreže ili kada se pokreću unutar jedne.

Zaštitni zid Windows zaštitnik ima zasebne profile za određene tipove mreža: Domain, Private i Guest/Public. Gosti/javne mreže obično dobijaju mnogo restriktivnije postavke podrazumevano od domena poverenja ili privatne mreže. Možda ćete dobiti različita ograničenja SMB za ove mreže na osnovu procene pretnje u okviru operativnih potreba.

Dolazne veze sa računarom

Za Windows klijente i servere koji ne koriste SMB deonice, možete blokirati sav dolazni SMB saobraćaj pomoću zaštitnog zida programa Windows zaštitnik kako biste sprečili daljinske veze od zlonamernog ili kompromitovanim uređajima. U zaštitnom zidu programa Windows zaštitnik to uključuje sledeća dolazna pravila.

Imen

Profila

Omoguж

Deljenje datoteka i štampača (SMB-unutra)

Sve

ne

Netlogon usluga (NP-unutra)

Sve

ne

Daljinsko upravljanje evidencijom događaja (NP-unutra)

Sve

ne

Daljinsko upravljanje uslugama (NP-unutra)

Sve

ne


Trebalo bi da kreirate i novo pravilo za blokiranje da biste zamenili ostala pravila dolaznog zaštitnog zida. Koristite sledeće predložene postavke za sve Windows klijente ili servere koji ne koriste SMB deonice:

  • Ime: Blokiraj sve dolazne smb 445

  • Opis: blokira sve dolazne SMB TCP 445 saobraćaja. Ne treba da se primeni na kontrolore domena ili računare koji će biti host SMB deonica.

  • Radnja: blokiranje veze

  • Programi: sve

  • Udaljeni računari: bilo koji

  • Tip protokola: TCP

  • Lokalni port: 445

  • Udaljeni port: bilo koji

  • Profili: sve

  • Opseg (lokalna IP adresa): bilo koji

  • Opseg (UDALJENA IP adresa): bilo koji

  • Trnasta ivica: prelaz na ivicu ivice

Ne smete da globalno blokirate ulazni SMB saobraćaj za kontrolore domena ili servere datoteka. Međutim, možete da im ograničite pristup iz pouzdanih opsega IP opsega i uređaja da bi smanjili njihovu površinu napada. Trebalo bi da budu ograničeni i na domen ili privatne profile zaštitnog zida i ne dozvoljavanje gostima/javnom saobraćaju.

Cedu Zaštitni zid Windows je podrazumevano blokirao sve dolazne SMB komunikacije sa operativnim sistemima Windows XP SP2 i Windows Server 2003 SP1. Windows uređaji će omogućiti dolaznu SMB komunikaciju samo ako administrator kreira SMB deljeni resurs ili menja podrazumevane postavke zaštitnog zida. Ne bi trebalo da vjerujete podrazumevanim iskustvom koje se nalazi izvan polja i dalje na uređajima, bez obzira na uređaje. Uvek Verifikujte i aktivno upravljate postavkama i željenom stanju pomoću smernica grupe ili drugih alatki za upravljanje.

Više informacija potražite u članku Dizajniranje zaštitnog zida programa Windows zaštitnik sa naprednim bezbednosnim strategijama i zaštitnim zidom Windows zaštitnik pomoću napredne smernice za bezbednost

Odlazne veze sa računara

Windows klijenti i serveri zahtevaju izlazne SMB veze da bi se primenile smernice grupe iz kontrolera domena i za korisnike i aplikacije za pristup podacima na serverima datoteka, zato briga mora da se uzme prilikom kreiranja pravila zaštitnog zida kako bi se sprečilo zlonamerne ili Internet veze. Podrazumevano nema izlaznih blokova na Windows klijentu ili serveru koji se povezuje sa SMB akcijama, tako da ćete morati da kreirate nova pravila blokiranja.

Trebalo bi da kreirate i novo pravilo za blokiranje da biste zamenili ostala pravila dolaznog zaštitnog zida. Koristite sledeće predložene postavke za sve Windows klijente ili servere koji ne koriste SMB deonice.

Gosti/javne (nepouzdane) mreže

  • Ime: Blokiraj odlazni gost/Public smb 445

  • Opis: blokira promet izlaznog SMB TCP 445 saobraćaja kada se na nepouzdanoj mreži

  • Radnja: blokiranje veze

  • Programi: sve

  • Udaljeni računari: bilo koji

  • Tip protokola: TCP

  • Lokalni port: bilo koji

  • Udaljeni port: 445

  • Profili: gost/Public

  • Opseg (lokalna IP adresa): bilo koji

  • Opseg (UDALJENA IP adresa): bilo koji

  • Trnasta ivica: prelaz na ivicu ivice

Cedu Mali Office i kućni korisnici sistema Office ili mobilni korisnici koji rade u pouzdanim mrežama koje se zatim povežu sa kućnim mrežama, trebalo bi da budu oprezni pre blokiranja javne odlazne mreže. To može sprečiti pristup lokalnim nam uređajima ili određenim štampačima.

Private/Domain (pouzdani) mreže

  • Ime: omogući izlazni domen/Private smb 445

  • Opis: omogućava ODLAZNI SMB TCP 445 saobraćaj na DCS i servere datoteka kada se nalazi na pouzdanoj mreži

  • Radnja: omogućavanje veze ako je bezbedna

  • Prilagođavanje omogući ako imate bezbedne postavke: Izaberite jednu od opcija, podesite stavku Zameni pravila bloka = na

  • Programi: sve

  • Tip protokola: TCP

  • Lokalni port: bilo koji

  • Udaljeni port: 445

  • Profili: privatan/domen

  • Opseg (lokalna IP adresa): bilo koji

  • Opseg (UDALJENA IP adresa): <listu KONTROLORA domena i IP adresa servera datoteka>

  • Trnasta ivica: prelaz na ivicu ivice

Cedu Možete da koristite i udaljene računare umesto udaljenog IP adresa za opseg, ako osigurana veza koristi potvrdu identiteta koja nosi identitet računara. Pregledajte dokumentaciju zaštitnog zida zaštitnika za više informacija o "Omogući vezu ako je bezbedna" i opcijama udaljenog računara.

  • Ime: Blokiraj izlazni domen/Private smb 445

  • Opis: blokiraju izlazni SMB TCP 445 saobraćaj. Zameni pomoću pravila "Omogući izlazni domen/Private SMB 445"

  • Radnja: blokiranje veze

  • Programi: sve

  • Udaljeni računari: N/A

  • Tip protokola: TCP

  • Lokalni port: bilo koji

  • Udaljeni port: 445

  • Profili: privatan/domen

  • Opseg (lokalna IP adresa): bilo koji

  • Opseg (DALJINSKA IP adresa): N/A

  • Trnasta ivica: prelaz na ivicu ivice

Ne morate da koristite globalno blokiranje izlaznog SMB saobraćaja sa računara na kontroleri domena ili servere datoteka. Međutim, možete da im ograničite pristup iz pouzdanih opsega IP opsega i uređaja da bi smanjili njihovu površinu napada.

Više informacija potražite u članku Dizajniranje zaštitnog zida programa Windows zaštitnik sa naprednim bezbednosnim strategijama i zaštitnim zidom Windows zaštitnik pomoću napredne smernice za bezbednost

Pravila bezbednosti veze

Da biste primenili izuzetke za pravila izlaznog zaštitnog zida, morate da koristite pravilo bezbednosne veze za primenu izuzetaka "Omogući vezu" Ako je bezbedna "i" Omogući povezivanje sa pomoću postavki Null ". Ako ne podesite ovo pravilo na računare zasnovane na operativnom sistemu Windows i operativnom sistemu Windows Server, potvrda identiteta neće uspeti i SMB će biti blokiran odlazni. 

Na primer, potrebne su sledeće postavke:

  • Tip pravila: izolacija

  • Zahtevi: zahtijeva potvrdu identiteta za dolazne i odlazne veze

  • Metod potvrde identiteta: računar i korisnik (Kerberos V5)

  • Profil: domen, privatno, javno

  • Ime: izolacija ESP potvrda identiteta za SMB zamene

Više informacija o pravilima bezbednosne veze potražite u sledećim člancima:

Windows radna stanica i usluga servera

Za potrošače ili visoko izolovane, kontrolisane računare koji ne zahtevaju SMB, možete da onemogućite usluge servera ili radne stanice. To možete da uradite ručno pomoću konzole "usluge" (Services. msc) i programskog dodatka PowerShell setu ili pomoću željenih opcija smernica grupe. Kada prestanete i onemogućite ove usluge, SMB više ne može da pravi odlazne veze ili prima dolazne veze.

Ne smete da onemogućite uslugu servera na kontrolorima domena ili serverima datoteka ili nijedan klijent neće moći da primenjuje smernice grupe ili da se ponovo poveže sa podacima. Ne smete da onemogućite uslugu radne stanice na računarima koji su članovi aktivnog direktorijuma domena ili više neće primenjujte smernice grupe.

Insinu

Dizajniranje zaštitnog zida Windows zaštitnika uz napredne strategije bezbednosti
Zaštitni zid Windows zaštitnik sa naprednim vodičem
za primenu bezbednosti Azure udaljene aplikacije
Azure centra podataka IP adrese
Microsoft O365 IP adrese

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×