สรุป
Server Message Block (SMB) คือการแชร์ไฟล์เครือข่ายและโพรโทคอลผ้าข้อมูล SMB ถูกใช้โดยอุปกรณ์หลายพันล้านเครื่องในชุดระบบปฏิบัติการที่หลากหลาย รวมถึง Windows, MacOS, iOS, Linux และ Android ไคลเอ็นต์ใช้ SMB เพื่อเข้าถึงข้อมูลบนเซิร์ฟเวอร์ ซึ่งช่วยให้สามารถแชร์ไฟล์ การจัดการข้อมูลแบบรวมศูนย์ และความต้องการความจุที่เก็บข้อมูลที่ลดลงของอุปกรณ์เคลื่อนที่ เซิร์ฟเวอร์ยังใช้ SMB เป็นส่วนหนึ่งของศูนย์ข้อมูลที่กําหนดโดยซอฟต์แวร์เพื่อปริมาณงาน เช่น การจัดกลุ่มและการกําหนดแบบ
เนื่องจาก SMB เป็นระบบไฟล์ระยะไกล จึงต้องมีการป้องกันจากการโจมตีที่คอมพิวเตอร์ Windows อาจหลอกลวงให้ติดต่อกับเซิร์ฟเวอร์ที่เป็นอันตรายที่เรียกใช้ภายในเครือข่ายที่เชื่อถือได้หรือไปยังเซิร์ฟเวอร์ระยะไกลภายนอกเขตเครือข่าย หลักปฏิบัติและการกําหนดค่าไฟร์วอลล์สามารถเพิ่มประสิทธิภาพการรักษาความปลอดภัยและป้องกันการจราจรที่เป็นอันตรายจากการออกจากคอมพิวเตอร์หรือเครือข่าย
ผลกระทบของการเปลี่ยนแปลง
การบล็อกการเชื่อมต่อไปยัง SMB อาจป้องกันไม่ให้แอปพลิเคชันหรือบริการต่างๆ ไม่สามารถใช้งาน For a list of Windows and Windows Server applications and services that may stop functioning in this situation, see Service overview and network port requirements for Windows
ข้อมูลเพิ่มเติม
วิธีการไฟร์วอลล์เฉพาะเขต
ฮาร์ดแวร์และไฟร์วอลล์ขาออกขาออกที่ขอบของเครือข่ายควรบล็อกการติดต่อสื่อสารที่ไม่พึงประสงค์ (จากอินเทอร์เน็ต) และการรับส่งข้อมูลขาออก (ไปยังอินเทอร์เน็ต) ไปยังพอร์ตต่อไปนี้
|
โพรโทคอลแอปพลิเคชัน |
โพรโทคอล |
พอร์ต |
|
SMB |
TCP |
445 |
|
NetTABS Name Resolution |
UDP |
137 |
|
บริการ Datagram ของ NetTABS |
UDP |
138 |
|
บริการเซสชัน NetTABS |
TCP |
139 |
ไม่น่าเป็นไปได้ที่การสื่อสาร SMB ใด ๆ ที่มาจากอินเทอร์เน็ตหรือไม่ได้สร้างไว้เพื่ออินเทอร์เน็ตนั้นถูกต้องตามกฎหมาย กรณีหลักอาจอยู่บนเซิร์ฟเวอร์หรือบริการบนระบบคลาวด์ เช่น ไฟล์ Azure คุณควรสร้างข้อจํากัดตามที่อยู่ IP ในไฟร์วอลล์ขอบเขตเพื่ออนุญาตเฉพาะจุดสิ้นสุดเฉพาะเหล่านั้น องค์กรสามารถอนุญาตการเข้าถึงพอร์ต 445 ไปยังช่วง IP Azure Datacenter และ O365 ที่ระบุเพื่อเปิดใช้งานสถานการณ์สมมติแบบไฮบริดที่ไคลเอ็นต์ภายในองค์กร (หลังไฟร์วอลล์ขององค์กร) ใช้พอร์ต SMB เพื่อพูดคุยกับที่เก็บข้อมูลไฟล์ Azure นอกจากนี้คุณควรอนุญาตเฉพาะ SMB 3 เท่านั้นการรับ ส่งข้อมูล x และต้องใช้การเข้ารหัสลับ SMB AES-128 ดูส่วน "การอ้างอิง" เพื่อดูข้อมูลเพิ่มเติม
หมายเหตุ การใช้ NetTALKS for SMB Transport สิ้นสุดลงใน Windows Vista, Windows Server 2008 และในระบบปฏิบัติการ Microsoft ในภายหลังทั้งหมดเมื่อ Microsoft ได้เริ่มใช้ SMB 2.02 อย่างไรก็ตาม คุณอาจมีซอฟต์แวร์และอุปกรณ์อื่นที่ไม่ใช่ Windows ในสภาพแวดล้อมของคุณ คุณควรปิดใช้งานและเอา SMB1 ออกถ้าคุณยังไม่ได้ใช้ เนื่องจากยังคงใช้ Net EURS Windows Server และ Windows เวอร์ชันที่ใหม่กว่าจะไม่ติดตั้ง SMB1 ตามค่าเริ่มต้นอีกต่อไป และจะลบออกโดยอัตโนมัติถ้าได้รับอนุญาต
วิธีเปิดไฟร์วอลล์ Windows Defender
Windows และ Windows Server เวอร์ชันที่สนับสนุนทั้งหมดมีไฟร์วอลล์ Windows Defender (ก่อนหน้านี้ตั้งชื่อไฟร์วอลล์ Windows) ไฟร์วอลล์นี้ให้การป้องกันเพิ่มเติมอุปกรณ์ โดยเฉพาะอย่างยิ่งเมื่ออุปกรณ์ย้ายออกจากเครือข่ายหรือเมื่ออุปกรณ์เหล่านั้นเรียกใช้ในเครื่อง
ไฟร์วอลล์ Windows Defender มีโปรไฟล์ที่แตกต่างกันในเครือข่ายบางชนิด ได้แก่ โดเมน ส่วนตัว และผู้ใช้ภายนอก/สาธารณะ โดยทั่วไปเครือข่ายผู้ใช้ภายนอก/สาธารณะจะได้รับการตั้งค่าที่เข้มงวดมากกว่าเครือข่ายโดเมนหรือเครือข่ายส่วนตัวที่เชื่อถือได้ คุณอาจพบว่าตนเองมีข้อจํากัด SMB ที่แตกต่างกันในเครือข่ายเหล่านี้โดยยึดตามการประเมินภัยคุกคามของคุณเทียบกับความต้องการการปฏิบัติการ
การเชื่อมต่อขาเข้ากับคอมพิวเตอร์
For Windows clients and servers that do not host SMB shares, you can block all inbound SMB traffic by using the Windows Defender Firewall to prevent remote connections from malicious or compromised devices. ในไฟร์วอลล์ Windows Defender ซึ่งรวมถึงกฎขาเข้าต่อไปนี้
|
ชื่อ |
โปรไฟล์ |
เปิดใช้งานแล้ว |
|
การใช้แฟ้มและเครื่องพิมพ์ร่วมกัน (SMB-In) |
ทั้งหมด |
ไม่ใช่ |
|
บริการของ Indon (NP-In) |
ทั้งหมด |
ไม่ใช่ |
|
การจัดการบันทึกเหตุการณ์ระยะไกล (NP-In) |
ทั้งหมด |
ไม่ใช่ |
|
การจัดการบริการระยะไกล (NP-In) |
ทั้งหมด |
ไม่ใช่ |
นอกจากนี้ คุณควรสร้างกฎการบล็อกใหม่เพื่อแทนที่กฎของไฟร์วอลล์ขาเข้าอื่นๆ ใช้การตั้งค่าที่แนะเสนอต่อไปนี้ในไคลเอ็นต์หรือเซิร์ฟเวอร์ใดๆ ของ Windows ที่ไม่ได้โฮสต์การแชร์ SMB:
-
ชื่อ: บล็อกทั้งหมดขาเข้า SMB 445
-
อธิบาย: บล็อกการรับส่งข้อมูล SMB TCP 445 ขาเข้าทั้งหมด ไม่ที่จะใช้กับตัวควบคุมโดเมนหรือคอมพิวเตอร์ที่โฮสต์การแชร์ SMB
-
การแอคชัน : บล็อกการเชื่อมต่อ
-
โปรแกรม: ทั้งหมด
-
คอมพิวเตอร์ระยะไกล: ทั้งหมด
-
ชนิดของโพรโทคอล: TCP
-
พอร์ตภายใน: 445
-
พอร์ตระยะไกล: ทุกรายการ
-
โปรไฟล์: ทั้งหมด
-
ขอบเขต (ที่อยู่ IP เฉพาะที่):
-
ขอบเขต (ที่อยู่ IP ระยะไกล):
-
Edge Traversal: บล็อกการผ่านขอบ
คุณต้องไม่บล็อกการรับส่งข้อมูล SMB ขาเข้าไปยังตัวควบคุมโดเมนหรือเซิร์ฟเวอร์ไฟล์แบบส่วนกลาง อย่างไรก็ตาม คุณสามารถจํากัดการเข้าถึงจากช่วง IP และอุปกรณ์ที่เชื่อถือได้เพื่อลดพื้นหน้าของการโจมตี นอกจากนี้ พวกเขาควรถูกจํากัดไว้เฉพาะโปรไฟล์ไฟร์วอลล์โดเมนหรือส่วนตัวและไม่อนุญาตการใช้งานแบบผู้ใช้ภายนอก/สาธารณะ
หมายเหตุ ไฟร์วอลล์ Windows ได้บล็อกการติดต่อสื่อสาร SMB ขาเข้าทั้งหมดตามค่าเริ่มต้นตั้งแต่ Windows XP SP2 และ Windows Server 2003 SP1 อุปกรณ์ Windows จะอนุญาตการสื่อสาร SMB ขาเข้าเฉพาะเมื่อผู้ดูแลระบบสร้างการแชร์ SMB หรือเปลี่ยนแปลงการตั้งค่าเริ่มต้นของไฟร์วอลล์ คุณไม่ควรเชื่อถือประสบการณ์แบบไม่อยู่ในกล่องตามค่าเริ่มต้นเพื่อให้ยังอยู่ในอุปกรณ์โดยไม่เกี่ยวกับเรื่องนี้ ตรวจสอบและจัดการการตั้งค่าและสถานะที่ต้องการเสมอโดยใช้นโยบายกลุ่มหรือเครื่องมือการจัดการอื่นๆ
ดูการออกแบบไฟร์วอลล์Windows Defender ด้วยกลยุทธ์ด้านความปลอดภัยขั้นสูงและไฟร์วอลล์ Windows Defender ด้วยคู่มือ การปรับใช้ความปลอดภัยขั้นสูง
การเชื่อมต่อขาออกจากคอมพิวเตอร์
ไคลเอ็นต์และเซิร์ฟเวอร์ของ Windows ต้องมีการเชื่อมต่อ SMB ขาออกเพื่อปรับใช้นโยบายกลุ่มจากตัวควบคุมโดเมน และเพื่อให้ผู้ใช้และแอปพลิเคชันเข้าถึงข้อมูลบนเซิร์ฟเวอร์ไฟล์ ดังนั้นต้องระมัดระวังเมื่อสร้างกฎไฟร์วอลล์เพื่อป้องกันการเชื่อมต่อในภายหลังหรือการเชื่อมต่ออินเทอร์เน็ตที่เป็นอันตราย ตามค่าเริ่มต้น จะไม่มีบล็อกขาออกบนไคลเอ็นต์ Windows หรือเซิร์ฟเวอร์ที่เชื่อมต่อกับการแชร์ SMB ดังนั้น คุณจะต้องสร้างกฎการบล็อกใหม่
นอกจากนี้ คุณควรสร้างกฎการบล็อกใหม่เพื่อแทนที่กฎของไฟร์วอลล์ขาเข้าอื่นๆ ใช้การตั้งค่าที่แนะเสนอต่อไปนี้ให้กับไคลเอ็นต์ Windows หรือเซิร์ฟเวอร์ใดๆ ที่ไม่ได้โฮสต์ SMB Shares
เครือข่ายของแขก/สาธารณะ (ไม่น่าเชื่อถือ)
-
ชื่อ: บล็อกขาออก ของ Guest/Public SMB 445
-
อธิบาย: บล็อกการรับส่งข้อมูล SMB TCP 445 ขาออกทั้งหมดเมื่ออยู่บนเครือข่ายที่ไม่น่าเชื่อถือ
-
การแอคชัน : บล็อกการเชื่อมต่อ
-
โปรแกรม: ทั้งหมด
-
คอมพิวเตอร์ระยะไกล: ทั้งหมด
-
ชนิดของโพรโทคอล: TCP
-
พอร์ตภายใน: Any
-
พอร์ตระยะไกล: 445
-
โปรไฟล์: ผู้ใช้ทั่วไป/สาธารณะ
-
ขอบเขต (ที่อยู่ IP เฉพาะที่):
-
ขอบเขต (ที่อยู่ IP ระยะไกล):
-
Edge Traversal: บล็อกการผ่านขอบ
หมายเหตุ ผู้ใช้สํานักงานขนาดเล็กและผู้ใช้สํานักงานที่บ้าน หรือผู้ใช้อุปกรณ์เคลื่อนที่การที่ที่การที่เครือข่ายขององค์กรที่เชื่อถือได้ จากนั้นเชื่อมต่อกับเครือข่ายในบ้านของพวกเขา ควรใช้ความระมัดระวังก่อนที่จะบล็อกเครือข่ายขาออกสาธารณะ การวิธีนี้อาจป้องกันไม่ให้เข้าถึงอุปกรณ์ NAS ภายในเครื่องหรือเครื่องพิมพ์บางเครื่อง
เครือข่ายส่วนตัว/โดเมน (ที่เชื่อถือได้)
-
ชื่อ: อนุญาตโดเมนขาออก/ส่วนตัว SMB 445
-
อธิบาย: อนุญาตให้การรับส่งข้อมูล SMB TCP 445 ขาออกไปยัง DCs และเซิร์ฟเวอร์ไฟล์เท่านั้นเมื่อบนเครือข่ายที่เชื่อถือได้
-
การแอคชัน : อนุญาตการเชื่อมต่อถ้าปลอดภัย
-
ปรับแต่ง Allow if Secure Settings: เลือกตัวเลือกใดตัวเลือกหนึ่ง ตั้งค่าแทนที่กฎบล็อก = เปิด
-
โปรแกรม: ทั้งหมด
-
ชนิดของโพรโทคอล: TCP
-
พอร์ตภายใน: Any
-
พอร์ตระยะไกล: 445
-
โปรไฟล์: ส่วนตัว/โดเมน
-
ขอบเขต (ที่อยู่ IP เฉพาะที่):
-
ขอบเขต (ที่อยู่ IP ระยะไกล): <ของตัวควบคุมโดเมนและที่อยู่ IP ของเซิร์ฟเวอร์ไฟล์>
-
Edge Traversal: บล็อกการผ่านขอบ
หมายเหตุ คุณยังสามารถใช้คอมพิวเตอร์ระยะไกลแทนการใช้ที่อยู่ IP ระยะไกลของขอบเขตถ้าการเชื่อมต่อที่ปลอดภัยใช้การรับรองความถูกต้องที่มีข้อมูลเฉพาะตัวของคอมพิวเตอร์ ดูเอกสารประกอบ ไฟร์วอลล์ Defender เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับ "อนุญาตการเชื่อมต่อถ้าปลอดภัย" และตัวเลือกคอมพิวเตอร์ระยะไกล
-
ชื่อ: บล็อกโดเมนขาออก/ส่วนตัว SMB 445
-
อธิบาย: บล็อกการรับส่งข้อมูล SMB TCP 445 ขาออก แทนที่โดยใช้กฎ "อนุญาตโดเมนขาออก/ส่วนตัว SMB 445"
-
การแอคชัน : บล็อกการเชื่อมต่อ
-
โปรแกรม: ทั้งหมด
-
คอมพิวเตอร์ระยะไกล: N/A
-
ชนิดของโพรโทคอล: TCP
-
พอร์ตภายใน: Any
-
พอร์ตระยะไกล: 445
-
โปรไฟล์: ส่วนตัว/โดเมน
-
ขอบเขต (ที่อยู่ IP เฉพาะที่):
-
ขอบเขต (ที่อยู่ IP ระยะไกล): N/A
-
Edge Traversal: บล็อกการผ่านขอบ
คุณต้องไม่บล็อกการรับส่งข้อมูล SMB ขาออกจากคอมพิวเตอร์ไปยังตัวควบคุมโดเมนหรือเซิร์ฟเวอร์ไฟล์ อย่างไรก็ตาม คุณสามารถจํากัดการเข้าถึงจากช่วง IP และอุปกรณ์ที่เชื่อถือได้เพื่อลดพื้นหน้าของการโจมตี
ดูการออกแบบไฟร์วอลล์Windows Defender ด้วยกลยุทธ์ด้านความปลอดภัยขั้นสูงและไฟร์วอลล์ Windows Defender ด้วยคู่มือ การปรับใช้ความปลอดภัยขั้นสูง
กฎการเชื่อมต่อความปลอดภัย
คุณต้องใช้กฎการเชื่อมต่อความปลอดภัยเพื่อปรับใช้ข้อยกเว้นของกฎไฟร์วอลล์ขาออกกับการตั้งค่า "อนุญาตการเชื่อมต่อถ้าการเชื่อมต่อปลอดภัย" และ "อนุญาตให้การเชื่อมต่อใช้การ encapsulation Null" ถ้าคุณไม่ได้ตั้งค่ากฎนี้บนคอมพิวเตอร์ที่ใช้ Windows และที่ใช้ Windows Server ทั้งหมด การรับรองความถูกต้องจะล้มเหลว และ SMB จะถูกบล็อกขาออก
ตัวอย่างเช่น ต้องตั้งค่าต่อไปนี้:
-
ชนิดกฎ: การแยก
-
ความต้องการ: ร้องขอการรับรองความถูกต้องกับการเชื่อมต่อขาเข้าและขาออก
-
วิธีการรับรองความถูกต้อง : คอมพิวเตอร์และผู้ใช้ (Kerberos V5)
-
โปรไฟล์: โดเมน ส่วนตัว สาธารณะ
-
ชื่อ: Isolation ESP Authentication for SMB overrides
ดูข้อมูลเพิ่มเติมเกี่ยวกับกฎการเชื่อมต่อด้านความปลอดภัยที่บทความต่อไปนี้
Windows Workstation and Server Service
For consumer or highly isolated, managed computers that do not require SMB at all, you can disable the Server or Workstation services. คุณสามารถจัดการด้วยตนเองได้โดยใช้ snap-in "Services" (Services.msc) และ cmdlet ของชุดบริการ PowerShell หรือโดยการใช้การกการกตั้งค่านโยบายกลุ่ม เมื่อคุณหยุดและปิดใช้งานบริการเหล่านี้ SMB จะไม่สามารถสร้างการเชื่อมต่อขาออกหรือรับการเชื่อมต่อขาเข้าได้อีกต่อไป
คุณต้องไม่ปิดใช้งานบริการเซิร์ฟเวอร์บนตัวควบคุมโดเมนหรือเซิร์ฟเวอร์ไฟล์ หรือไคลเอ็นต์จะไม่สามารถใช้นโยบายกลุ่มหรือเชื่อมต่อกับข้อมูลของพวกเขาอีกต่อไป คุณต้องไม่ปิดใช้งานบริการเวิร์กสเตชันบนคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน Active Directory หรือพวกเขาจะไม่ใช้นโยบายกลุ่มอีกต่อไป
อ้างอิง
การออกแบบไฟร์วอลล์ Windows Defender ด้วยกลยุทธ์การรักษาความปลอดภัยขั้นสูง
ไฟร์วอลล์ Windows Defender ที่มีคู่มือการปรับใช้ความปลอดภัยขั้นสูง
แอป Azure ระยะไกล
ที่อยู่ IP ของศูนย์ข้อมูล Azure
ที่อยู่ IP ของ Microsoft O365
