Ukupne
Blok poruka sa serverom (SMB) je Mrežno deljenje datoteka i protokol za materijale podataka. SMB koriste milijarde uređaja u različitim skupom operativnih sistema, uključujući Windows, MacOS, iOS, Linux i android. Klijenti koriste SMB za pristup podacima na serverima. To omogućava deljenje datoteka, centralizovano upravljanje podacima i smanjene kapacitete skladištenja za mobilne uređaje. Serveri takođe koriste SMB kao deo softversko-definisani centar za podatke za radna opterećenja kao što su grupisanja i replikacije.
Zato što je SMB sistem udaljenog sistema datoteka zahteva zaštitu od napada u kojima je Windows računar možda prevaren da kontaktira zlonamernog servera koji radi unutar pouzdane mreže ili na udaljenom serveru izvan oblasti mreže. Najbolji načini i konfiguracije zaštitnog zida mogu da unaprede bezbednost i spreče zlonameran promet od napuљtanja računara ili mreže.
Efekat promena
Blokiranje povezivanja sa SMB može sprečiti rad raznih aplikacija ili usluga. Za listu Windows i Windows Server aplikacija i usluga koje mogu da prestanu da funkcionišu u ovoj situaciji, potražite u članku Pregled usluga i zahtevi mrežnog priključka za Windows
Više informacija
Zaštitni zid se približava
Zaštitni zidovi hardverske i alatnice koji su postavljeni na ivicu mreže trebalo bi da blokiraju neћeljene komunikacije (sa Interneta) i odlazni saobraćaj (na Internetu) na sledeće portove.
Protokol aplikacije |
Mrtvi |
Mac |
SMB |
PROTO |
445 |
NetBIOS rezolucija imena |
UDP |
137 |
Usluge NetBIOS Datagram |
UDP |
138 |
NetBIOS usluga sesije |
PROTO |
139 |
Nije vjerovatno da bilo koja SMB komunikacija iz Interneta ili namenjena za Internet bude legitimna. Primarni slučaj može biti za server ili uslugu zasnovan na oblaku, kao što su Azure datoteke. Trebalo bi da kreirate ograničenja zasnovana na IP adresama u okviru zaštitnog zida da biste dopustili samo tim određenim krajnjim tačkama. Organizacije mogu da dozvole port 445 pristupu određenim Azure Datacenter i O365 IP opsezima za omogućavanje hibridnog scenarija u kojima lokalni klijenti (iza poslovnog zaštitnog zida) koriste SMB port da bi razgovarali sa Azure datotekom za skladištenje. Trebalo bi da omogućite samo SMB 3.x saobraćaj i ZAHTIJEVA SMB AES-128 šifrovanje. Više informacija potražite u odeljku "reference".
Cedu Upotreba NetBIOS for SMB transporta završena je u operativnom sistemu Windows Vista, Windows Server 2008 i u svim kasnijim operativnim sistemima Microsoft operating kada je Microsoft uveo SMB 2,02. Međutim, možda imate softver i uređaje koje nisu Windows u okruženju. Trebalo bi da onemogućite i uklonite SMB1 ako to već niste uradili zato što on i dalje koristi NetBIOS. Novije verzije operativnog sistema Windows Server i Windows više ne instaliraju SMB1 po podrazumevanoj vrednosti i automatski je uklanjaju ako je to dozvoljeno.
Bliži se zaštitni zid Windows zaštitnik
Sve podržane verzije operativnog sistema Windows i Windows Server uključuju zaštitni zid Windows zaštitnika (prethodno imenovani Windows zaštitni zid). Ovaj zaštitni zid pruža dodatnu zaštitu za uređaje, naročito kada se uređaji pomeraju izvan mreže ili kada se pokreću unutar jedne.
Zaštitni zid Windows zaštitnik ima zasebne profile za određene tipove mreža: Domain, Private i Guest/Public. Gosti/javne mreže obično dobijaju mnogo restriktivnije postavke podrazumevano od domena poverenja ili privatne mreže. Možda ćete dobiti različita ograničenja SMB za ove mreže na osnovu procene pretnje u okviru operativnih potreba.
Dolazne veze sa računarom
Za Windows klijente i servere koji ne koriste SMB deonice, možete blokirati sav dolazni SMB saobraćaj pomoću zaštitnog zida programa Windows zaštitnik kako biste sprečili daljinske veze od zlonamernog ili kompromitovanim uređajima. U zaštitnom zidu programa Windows zaštitnik to uključuje sledeća dolazna pravila.
Imen |
Profila |
Omoguж |
Deljenje datoteka i štampača (SMB-unutra) |
Sve |
ne |
Netlogon usluga (NP-unutra) |
Sve |
ne |
Daljinsko upravljanje evidencijom događaja (NP-unutra) |
Sve |
ne |
Daljinsko upravljanje uslugama (NP-unutra) |
Sve |
ne |
Trebalo bi da kreirate i novo pravilo za blokiranje da biste zamenili ostala pravila dolaznog zaštitnog zida. Koristite sledeće predložene postavke za sve Windows klijente ili servere koji ne koriste SMB deonice:
-
Ime: Blokiraj sve dolazne smb 445
-
Opis: blokira sve dolazne SMB TCP 445 saobraćaja. Ne treba da se primeni na kontrolore domena ili računare koji će biti host SMB deonica.
-
Radnja: blokiranje veze
-
Programi: sve
-
Udaljeni računari: bilo koji
-
Tip protokola: TCP
-
Lokalni port: 445
-
Udaljeni port: bilo koji
-
Profili: sve
-
Opseg (lokalna IP adresa): bilo koji
-
Opseg (UDALJENA IP adresa): bilo koji
-
Trnasta ivica: prelaz na ivicu ivice
Ne smete da globalno blokirate ulazni SMB saobraćaj za kontrolore domena ili servere datoteka. Međutim, možete da im ograničite pristup iz pouzdanih opsega IP opsega i uređaja da bi smanjili njihovu površinu napada. Trebalo bi da budu ograničeni i na domen ili privatne profile zaštitnog zida i ne dozvoljavanje gostima/javnom saobraćaju.
Cedu Zaštitni zid Windows je podrazumevano blokirao sve dolazne SMB komunikacije sa operativnim sistemima Windows XP SP2 i Windows Server 2003 SP1. Windows uređaji će omogućiti dolaznu SMB komunikaciju samo ako administrator kreira SMB deljeni resurs ili menja podrazumevane postavke zaštitnog zida. Ne bi trebalo da vjerujete podrazumevanim iskustvom koje se nalazi izvan polja i dalje na uređajima, bez obzira na uređaje. Uvek Verifikujte i aktivno upravljate postavkama i željenom stanju pomoću smernica grupe ili drugih alatki za upravljanje.
Više informacija potražite u članku Dizajniranje zaštitnog zida programa Windows zaštitnik sa naprednim bezbednosnim strategijama i zaštitnim zidom Windows zaštitnik pomoću napredne smernice za bezbednost
Odlazne veze sa računara
Windows klijenti i serveri zahtevaju izlazne SMB veze da bi se primenile smernice grupe iz kontrolera domena i za korisnike i aplikacije za pristup podacima na serverima datoteka, zato briga mora da se uzme prilikom kreiranja pravila zaštitnog zida kako bi se sprečilo zlonamerne ili Internet veze. Podrazumevano nema izlaznih blokova na Windows klijentu ili serveru koji se povezuje sa SMB akcijama, tako da ćete morati da kreirate nova pravila blokiranja.
Trebalo bi da kreirate i novo pravilo za blokiranje da biste zamenili ostala pravila dolaznog zaštitnog zida. Koristite sledeće predložene postavke za sve Windows klijente ili servere koji ne koriste SMB deonice.
Gosti/javne (nepouzdane) mreže
-
Ime: Blokiraj odlazni gost/Public smb 445
-
Opis: blokira promet izlaznog SMB TCP 445 saobraćaja kada se na nepouzdanoj mreži
-
Radnja: blokiranje veze
-
Programi: sve
-
Udaljeni računari: bilo koji
-
Tip protokola: TCP
-
Lokalni port: bilo koji
-
Udaljeni port: 445
-
Profili: gost/Public
-
Opseg (lokalna IP adresa): bilo koji
-
Opseg (UDALJENA IP adresa): bilo koji
-
Trnasta ivica: prelaz na ivicu ivice
Cedu Mali Office i kućni korisnici sistema Office ili mobilni korisnici koji rade u pouzdanim mrežama koje se zatim povežu sa kućnim mrežama, trebalo bi da budu oprezni pre blokiranja javne odlazne mreže. To može sprečiti pristup lokalnim nam uređajima ili određenim štampačima.
Private/Domain (pouzdani) mreže
-
Ime: omogući izlazni domen/Private smb 445
-
Opis: omogućava ODLAZNI SMB TCP 445 saobraćaj na DCS i servere datoteka kada se nalazi na pouzdanoj mreži
-
Radnja: omogućavanje veze ako je bezbedna
-
Prilagođavanje omogući ako imate bezbedne postavke: Izaberite jednu od opcija, podesite stavku Zameni pravila bloka = na
-
Programi: sve
-
Tip protokola: TCP
-
Lokalni port: bilo koji
-
Udaljeni port: 445
-
Profili: privatan/domen
-
Opseg (lokalna IP adresa): bilo koji
-
Opseg (UDALJENA IP adresa): <listu KONTROLORA domena i IP adresa servera datoteka>
-
Trnasta ivica: prelaz na ivicu ivice
Cedu Možete da koristite i udaljene računare umesto udaljenog IP adresa za opseg, ako osigurana veza koristi potvrdu identiteta koja nosi identitet računara. Pregledajte dokumentaciju zaštitnog zida zaštitnika za više informacija o "Omogući vezu ako je bezbedna" i opcijama udaljenog računara.
-
Ime: Blokiraj izlazni domen/Private smb 445
-
Opis: blokiraju izlazni SMB TCP 445 saobraćaj. Zameni pomoću pravila "Omogući izlazni domen/Private SMB 445"
-
Radnja: blokiranje veze
-
Programi: sve
-
Udaljeni računari: N/A
-
Tip protokola: TCP
-
Lokalni port: bilo koji
-
Udaljeni port: 445
-
Profili: privatan/domen
-
Opseg (lokalna IP adresa): bilo koji
-
Opseg (DALJINSKA IP adresa): N/A
-
Trnasta ivica: prelaz na ivicu ivice
Ne morate da koristite globalno blokiranje izlaznog SMB saobraćaja sa računara na kontroleri domena ili servere datoteka. Međutim, možete da im ograničite pristup iz pouzdanih opsega IP opsega i uređaja da bi smanjili njihovu površinu napada.
Više informacija potražite u članku Dizajniranje zaštitnog zida programa Windows zaštitnik sa naprednim bezbednosnim strategijama i zaštitnim zidom Windows zaštitnik pomoću napredne smernice za bezbednost
Pravila bezbednosti veze
Da biste primenili izuzetke za pravila izlaznog zaštitnog zida, morate da koristite pravilo bezbednosne veze za primenu izuzetaka "Omogući vezu" Ako je bezbedna "i" Omogući povezivanje sa pomoću postavki Null ". Ako ne podesite ovo pravilo na računare zasnovane na operativnom sistemu Windows i operativnom sistemu Windows Server, potvrda identiteta neće uspeti i SMB će biti blokiran odlazni.
Na primer, potrebne su sledeće postavke:
-
Tip pravila: izolacija
-
Zahtevi: zahtijeva potvrdu identiteta za dolazne i odlazne veze
-
Metod potvrde identiteta: računar i korisnik (Kerberos V5)
-
Profil: domen, privatno, javno
-
Ime: izolacija ESP potvrda identiteta za SMB zamene
Više informacija o pravilima bezbednosne veze potražite u sledećim člancima:
Windows radna stanica i usluga servera
Za potrošače ili visoko izolovane, kontrolisane računare koji ne zahtevaju SMB, možete da onemogućite usluge servera ili radne stanice. To možete da uradite ručno pomoću konzole "usluge" (Services. msc) i programskog dodatka PowerShell setu ili pomoću željenih opcija smernica grupe. Kada prestanete i onemogućite ove usluge, SMB više ne može da pravi odlazne veze ili prima dolazne veze.
Ne smete da onemogućite uslugu servera na kontrolorima domena ili serverima datoteka ili nijedan klijent neće moći da primenjuje smernice grupe ili da se ponovo poveže sa podacima. Ne smete da onemogućite uslugu radne stanice na računarima koji su članovi aktivnog direktorijuma domena ili više neće primenjujte smernice grupe.
Insinu
Dizajniranje zaštitnog zida Windows zaštitnika uz napredne strategije bezbednosti
Zaštitni zid Windows zaštitnik sa naprednim vodičem
za primenu bezbednosti Azure udaljene aplikacije
Azure centra podataka IP adrese
Microsoft O365 IP adrese