Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Servermeddelandeblock (SMB) är ett nätverksfildelnings- och dataklusterprotokoll. SMB används av en miljon enheter i en diverse uppsättning operativsystem, inklusive Windows, MacOS, iOS, Linux och Android. Klienter använder SMB för att komma åt data på servrar. På så sätt kan du dela filer, centraliserad datahantering och minska behovet av lagringskapacitet för mobila enheter. Servrar använder också SMB som en del av det programvarudefinierade datacentret för arbetsbelastningar som gruppering och replikering.

Eftersom SMB är ett fjärrfilsystem krävs det skydd mot angrepp där en Windows-dator kan luras att kontakta en skadlig server som körs i ett betrott nätverk eller till en fjärrserver utanför nätverkets perimeter. Metodtips och konfigurationer för brandväggar kan förbättra säkerheten och förhindra att skadlig trafik lämnar datorn eller dess nätverk.

Effekten av ändringar

Att blockera anslutningen till SMB kan förhindra att olika program eller tjänster fungerar. En lista över Windows- och Windows Server-program och -tjänster som kan sluta fungera i dessa situationer finns i Tjänstöversikt och krav för nätverksport för Windows

Mer information

Perimeterbrandväggen närmar sig

Perimetermaskinvara och brandväggar för utrustning som är placerade vid kanten av nätverket bör blockera oombedd kommunikation (från internet) och utgående trafik (till internet) till följande portar.
 

Programprotokoll

Protokoll

Port

SMB

TCP

445

NetBIOS-namnmatchning

UDP

137

NetBIOS-datagramtjänst

UDP

138

NetBIOS-sessionstjänst

TCP

139


Det är osannolikt att SMB-kommunikation som kommer från Internet eller som är avsedd för Internet är legitim. Det primära fallet kan vara för en molnbaserad server eller tjänst, till exempel Azure-filer. Du bör skapa IP-adressbaserade begränsningar i perimeterbrandväggen så att endast de specifika slutpunkterna tillåts. Organisationer kan tillåta port 445-åtkomst till specifika Azure-datacenter och O365 IP-intervall för att aktivera hybridscenarier där lokala klienter (bakom en företagsbrandvägg) använder SMB-porten för att prata med Azure-fillagring. Du bör också bara tillåta SMB 3.x-trafik och kräver SMB AES-128-kryptering. Mer information finnsiavsnittet "Referenser".

Obs! Användningen av NetBIOS för SMB-transport upphörde i Windows Vista, Windows Server 2008 och i alla senare Microsoft-operativsystem när Microsoft införde SMB 2.02. Men du kan ha annan programvara och andra enheter än Windows i din miljö. Du bör inaktivera och ta bort SMB1 om du inte redan har gjort det eftersom NetBIOS fortfarande används. Senare versioner av Windows Server och Windows installerar inte längre SMB1 som standard och tar automatiskt bort det om det är tillåtet.

Windows Defender-brandväggen närmar sig

Alla versioner av Windows och Windows Server som stöds innehåller Windows Defender-brandväggen (kallades tidigare Windows-brandväggen). Den här brandväggen ger ytterligare skydd för enheter, särskilt när enheter flyttas utanför ett nätverk eller när de körs inom ett.

Windows Defender-brandväggen har särskilda profiler för vissa typer av nätverk: domän, privat och gäst/offentlig. Gäst-/offentligt nätverk blir vanligtvis mycket mer restriktiva inställningar som standard än de mer betrodda domän- eller privata nätverken. Du kanske har olika SMB-begränsningar för dessa nätverk baserat på dina hotutvärderingar och driftsbehov.

Inkommande anslutningar till en dator

För Windows-klienter och Windows-servrar som inte har SMB-resurser kan du blockera all inkommande SMB-trafik med hjälp av Windows Defender-brandväggen för att förhindra fjärranslutningar från skadliga eller komprometterade enheter. I Windows Defender-brandväggen omfattar detta följande regler för inkommande trafik.

Namn

Profil

Aktiverad

Fil- och skrivardelning (SMB-In)

Alla

Nej

Netlogon-tjänst (NP-In)

Alla

Nej

Hantering av fjärrhändelselogg (NP-In)

Alla

Nej

Hantering av fjärrtjänster (NP-In)

Alla

Nej


Du bör också skapa en ny blockeringsregel som åsidosätter andra regler för inkommande brandväggar. Använd följande föreslagna inställningar för Windows-klienter eller -servrar som inte är värd för SMB-resurser:

  • Namn:Blockera alla inkommande SMB 445

  • Beskrivning:Blockerar all inkommande SMB TCP 445-trafik. Ska inte tillämpas på domänkontrollanter eller datorer som har SMB-resurser.

  • Åtgärd:Blockera anslutningen

  • Program:Alla

  • Fjärrdatorer: alla

  • Protokolltyp:TCP

  • Lokal port: 445

  • Fjärrport: Valfri

  • Profiler: Alla

  • Omfattning (lokal IP-adress): alla

  • Omfattning (fjärr-IP-adress): alla

  • Edge Traversal: Blockera edge traversal

Du får inte globalt blockera inkommande SMB-trafik till domänkontrollanter eller filservrar. Du kan dock begränsa åtkomsten till dem från betrodda IP-intervall och enheter för att minska deras attackyta. De bör också begränsas till domän eller privata brandväggsprofiler och inte tillåta gäst/offentlig trafik.

Obs! Windows-brandväggen har blockerat all inkommande SMB-kommunikation som standard sedan Windows XP SP2 och Windows Server 2003 SP1. Windows-enheter tillåter bara inkommande SMB-kommunikation om en administratör skapar en SMB-delning eller ändrar standardinställningarna för brandväggen. Du bör inte lita på att standardinställningen för inkommande enheter fortfarande är på plats på enheter, oavsett vad du har att göra. Verifiera och hantera alltid och aktivt inställningar och önskad status med hjälp av grupprincip eller andra hanteringsverktyg.

Mer information finns i utforma en Windows Defender-brandvägg med avancerad säkerhetsstrategi ochWindows Defender-brandväggen med avancerad distributionsguide för säkerhet

Utgående anslutningar från en dator

Windows-klienter och Windows-servrar kräver utgående SMB-anslutningar för att kunna tillämpa grupprinciper från domänkontrollanter och för att användare och program ska kunna komma åt data på filservrar, så det är viktigt att du tar hänsyn när du skapar brandväggsregler för att förhindra skadliga anslutningar eller Internetanslutningar. Som standard finns det inga utgående block på en Windows-klient eller -server som ansluter till SMB-resurser, så du måste skapa nya blockeringsregler.

Du bör också skapa en ny blockeringsregel som åsidosätter alla andra regler för inkommande brandväggar. Använd följande föreslagna inställningar för Windows-klienter eller -servrar som inte är värd för SMB-resurser.

Gästnätverk/offentliga (icke betrodda) nätverk

  • Namn:Blockera utgående gäst/offentlig SMB 445

  • Beskrivning:Blockerar all utgående SMB TCP 445-trafik när du använder ett icke betroddt nätverk

  • Åtgärd:Blockera anslutningen

  • Program:Alla

  • Fjärrdatorer: alla

  • Protokolltyp:TCP

  • Lokal port: Valfri

  • Fjärrport: 445

  • Profiler: Gäst/offentlig

  • Omfattning (lokal IP-adress): alla

  • Omfattning (fjärr-IP-adress): valfri

  • Edge Traversal: Blockera edge traversal

Obs! Små office- och hemanvändare, eller mobila användare som arbetar i betrodda företagsnätverk och sedan ansluter till sina hemnätverk, bör vara försiktig innan de blockerar det offentliga utgående nätverket. Det kan förhindra åtkomst till deras lokala NAS-enheter eller vissa skrivare.

Privata/domännätverk (betrodda)

  • Namn:Tillåt utgående domän/privat SMB 445

  • Beskrivning:Tillåter utgående SMB TCP 445-trafik till endast DCs och filservrar när du använder ett betrott nätverk

  • Åtgärd:Tillåt anslutningen om den är säker

  • Anpassa Tillåt om säker inställning: välj ett av alternativen, ange Regler för åsidosättning av blockering = PÅ

  • Program:Alla

  • Protokolltyp:TCP

  • Lokal port: Valfri

  • Fjärrport: 445

  • Profiler:Privat/Domän

  • Omfattning (lokal IP-adress): alla

  • Omfattning (fjärr-IP-adress): <lista över domänkontrollanter och IP-adresser för filservern>

  • Edge Traversal: Blockera edge traversal

Obs! Du kan också använda fjärrdatorerna i stället för fjärr-IP-adresser, om den säkra anslutningen använder autentisering som har datorns identitet. Mer information om "Tillåt anslutning om är säker" och Alternativ för Fjärrdator finns i Defender-brandväggens dokumentation.

  • Namn:Blockera utgående domän/privat SMB 445

  • Beskrivning:Blockerar utgående SMB TCP 445-trafik. Åsidosätta med hjälp av regeln "Tillåt utgående domän/privat SMB 445"

  • Åtgärd:Blockera anslutningen

  • Program:Alla

  • Fjärrdatorer: EJ A

  • Protokolltyp:TCP

  • Lokal port: Valfri

  • Fjärrport: 445

  • Profiler:Privat/Domän

  • Omfattning (lokal IP-adress): alla

  • Omfattning (fjärr-IP-adress): EJ A

  • Edge Traversal: Blockera edge traversal

Du får inte globalt blockera utgående SMB-trafik från datorer till domänkontrollanter eller filservrar. Du kan dock begränsa åtkomsten till dem från betrodda IP-intervall och enheter för att minska deras attackyta.

Mer information finns i utforma en Windows Defender-brandvägg med avancerad säkerhetsstrategi ochWindows Defender-brandväggen med avancerad distributionsguide för säkerhet

Säkerhetsanslutningsregler

Du måste använda en säkerhetsanslutningsregel för att implementera undantagen för reglerna för utgående brandväggar för inställningarna "Tillåt anslutning om den är säker" och "Tillåt anslutningen att använda null encapsulation". Om du inte anger regeln på alla Windows-baserade datorer och Windows Server-baserade datorer kommer autentiseringen att misslyckas och SMB blockeras utgående. 

Följande inställningar är till exempel obligatoriska:

  • Regeltyp: Isolation

  • Krav:Begära autentisering för inkommande och utgående anslutningar

  • Autentiseringsmetod:Dator och användare (Kerberos V5)

  • Profil:Domän, Privat, Offentlig

  • Namn:ESP-autentisering i isolation för SMB-åsidosättningar

Mer information om säkerhetsanslutningsregler finns i följande artiklar:

Windows arbetsstation och servertjänst

För konsumentdatorer eller datorer med mycket isolerad trafik som inte kräver SMB alls kan du inaktivera server- eller arbetsstationstjänsterna. Det kan du göra manuellt med hjälp av snapin-modulen "Services.msc" och PowerShell Set-Service-cmdleten, eller genom att använda grupprincip Inställningar. När du stoppar och inaktiverar dessa tjänster kan SMB inte längre skapa utgående anslutningar eller ta emot inkommande anslutningar.

Du får inte inaktivera servertjänsten på domänkontrollanter eller filservrar, annars kan inga klienter tillämpa grupprinciper eller ansluta till sina data längre. Du får inte inaktivera arbetsstationstjänsten på datorer som är medlemmar i en Active Directory-domän, annars kommer de inte längre att använda grupprinciper.

Referenser

Designa en Windows Defender-brandvägg med avancerad säkerhetsstrategi
Windows Defender-brandväggen med guiden för avancerad säkerhetsdistribution
Azure-fjärrappar
IP-adresser för Azure-datacenter
Microsoft O365 IP-adresser

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×