Riktlinjer för att blockera specifika brandväggsportar för att förhindra att SMB-trafik lämnar företagsmiljön

Gäller för: Windows 10Windows 10, version 1511Windows 10, version 1607 Mer

Sammanfattning


Illvilliga användare kan använda protokollet Server Message Block (SMB) för skadliga syften.

Metodtips för brandväggen och brandväggskonfigurationer kan öka säkerheten genom att förhindra att skadlig trafik korsar företaget.

Enterprise perimeter brandväggar bör Blockera oönskad kommunikation (från Internet) och utgående trafik (på Internet) till följande SMB-associerade portar:

137
138
139
445

Mer Information


Dessa portar kan användas för att upprätta en anslutning med en skadlig Internet-baserad SMB-servern. SMB-trafik bör begränsas till privata nätverk eller virtuella privata nätverk (VPN).

Förslag

Dessa portar blockeras i brandväggen enterprise kant eller perimeter skyddar datorer bakom brandväggen från försök att utnyttja SMB för skadliga ändamål. Organisationer kan aktivera hybrid scenarier där lokala klienter (bakom en brandvägg enterprise) använda SMB-port för att prata med Azure-fillagringport 445 åtkomst till specifika Azure Datacenter IP-intervall (se följande referens).

Tillvägagångssätt

Perimeter brandväggar används vanligtvis "Blockera lista" eller "Godkända lista" regel metoder eller båda.

Blockera lista
Tillåta trafik om inte neka (block visas) regel förhindrar den.

Exempel 1
Tillåt alla
Neka 137 för tjänster
Neka 138 datagram-tjänster
Neka 139 sessionstjänsten
Neka 445 sessionstjänsten

Godkänd lista
Om en Tillåt-regel kan neka-trafik.

För att förhindra attacker som kan använda andra portar, rekommenderar vi att du blockerar all oönskad kommunikation från Internet. Vi föreslår en avropsorder neka, ge regelundantag (godkänd lista).

Obs! NetBIOS- och SMB-trafik blockeras implicit i metoden godkänd lista i det här avsnittet genom att inte inkludera en Tillåt-regel.

Exempel 2
Neka alla
Tillåt 53 DNS
Tillåta 21 FTP
Tillåt 80 HTTP
Tillåt 443 för HTTPS
Tillåt 143 IMAP
Tillåt 123 NTP
Tillåt 110 POP3
Tillåt 25 SMTP

Listan över tillåta portar inte är uttömmande. Beroende på företagets i behov, ytterligare poster kan behövas en brandvägg.

Lösningens effekt

Flera Windows-tjänster använder de aktuella portarna. Blockera anslutning till portarna kanske olika program och tjänster att fungera. Vissa program eller tjänster som kan påverkas är följande:
  • Program som använder SMB (CIFS)
  • Program som använder mailslots eller namngivna pipes (RPC över SMB)
  • Server (fil- och skrivardelning)
  • Grupprincip
  • Net Logon
  • Distributed File System (DFS)
  • Terminal server-licensiering
  • Utskriftshanteraren
  • Datorlista
  • Remote procedure call locator
  • Faxtjänsten
  • Indexeringstjänsten
  • Prestandaloggar och prestandavarningar
  • Systems Management Server
  • Tjänsten License logging

Hur du ångra lösningen

Låsa upp portar i brandväggen. Mer information om portar finns i TCP- och UDP-porttilldelningar.

Referenser

Azure remote apps https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

Azure datacenter IPs http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2