Riktlinjer för att blockera specifika brandväggsportar för att förhindra att SMB-trafik lämnar företagsmiljön

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 3185535
Sammanfattning
Illvilliga användare kan använda protokollet Server Message Block (SMB) för skadliga syften.

Metodtips för brandväggen och brandväggskonfigurationer kan öka säkerheten genom att förhindra att skadlig trafik korsar företaget.

Enterprise perimeter brandväggar bör Blockera oönskad kommunikation (från Internet) och outgoingtraffic (på Internet) till följande SMB-associerade portar:

137
138
139
445
Mer Information
Dessa portar kan användas för att upprätta en anslutning med en skadlig Internet-baserad SMB-servern. SMB-trafik bör begränsas till privata nätverk eller virtuella privata nätverk (VPN).

Förslag

Dessa portar blockeras i brandväggen enterprise kant eller perimeter skyddar datorer bakom brandväggen från försök att utnyttja SMB för skadliga ändamål.

Tillvägagångssätt

Perimeter brandväggar används vanligtvis block notering eller den godkända lista regel metoder.

Blockera lista
Tillåta trafik om inte neka (block visas) regel förhindrar den.

Exempel 1
Tillåt alla
Neka 137 för tjänster
Neka 138 datagram-tjänster
Neka 139 sessionstjänsten
Neka 445 sessionstjänsten

Godkänd lista
Om en Tillåt-regel kan neka-trafik.

För att förhindra attacker som kan använda andra portar, rekommenderar vi att du blockerar all oönskad kommunikation från Internet. Vi föreslår en avropsorder neka, ge regelundantag (godkänd lista).

Obs! NetBIOS- och SMB-trafik blockeras implicit i metoden godkänd lista i det här avsnittet genom att inte inkludera en Tillåt-regel.

Exempel 2
Neka alla
Tillåt 53 DNS
Tillåta 21 FTP
Tillåt 80 HTTP
Tillåt 443 för HTTPS
Tillåt 143 IMAP
Tillåt 123 NTP
Tillåt 110 POP3
Tillåt 25 SMTP

Listan över tillåta portar inte är uttömmande. Beroende på företagets i behov, ytterligare poster kan behövas en brandvägg.

Lösningens effekt

Flera Windows-tjänster använder de aktuella portarna. Blockera anslutning till portarna kanske olika program och tjänster att fungera. Vissa program eller tjänster som kan påverkas är följande:
  • Program som använder SMB (CIFS)
  • Program som använder mailslots eller namngivna pipes (RPC över SMB)
  • Server (fil- och skrivardelning)
  • Grupprincip
  • Net Logon
  • Distributed File System (DFS)
  • Terminal server-licensiering
  • Utskriftshanteraren
  • Datorlista
  • Remote procedure call locator
  • Faxtjänsten
  • Indexeringstjänsten
  • Prestandaloggar och prestandavarningar
  • Systems Management Server
  • Tjänsten License logging

Hur du ångra lösningen

Låsa upp portar i brandväggen. Mer information om portar finns Tilldelning av TCP- och UDP-portar.

Referenser

Azure remote apps https://Azure.microsoft.com/en-us/Documentation/articles/RemoteApp-ports/

Azure datacenter IPs http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-us/article/Office-365-URLs-and-IP-Address-Ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 3185535 – senaste granskning 08/27/2016 19:01:00 – revision: 1.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtsv
Feedback