Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Sunucu İleti Bloğu (SMB), ağ dosya paylaşımı ve veri doku protokolüdür. SMB, Windows, MacOS, iOS, Linux ve Android gibi farklı işletim sistemleri kümesinde, çok sayıda cihaz tarafından kullanılır. İstemciler sunucularda verilere erişmek için SMB kullanır. Bu, mobil cihazlar için dosyaların paylaşımına, merkezi veri yönetimine ve daha düşük depolama kapasitesi ihtiyaçlarının paylaşımına olanak tanır. Sunucular, kümeleme ve çoğaltma gibi iş yükleri için Yazılım Tanımlı Veri Merkezi'nin bir parçası olarak SMB'i de kullanır.

SMB bir uzak dosya sistemi olduğundan, bir Windows bilgisayarının güvenilen bir ağ içinde veya ağ çevresi dışında bir uzak sunucuyla çalışan kötü amaçlı bir sunucuyla bağlantı kurmak için kandırmaya neden olabileceği saldırılara karşı koruma gerektirir. Güvenlik duvarının en iyi yöntemleri ve yapılandırmaları güvenliği geliştirin ve kötü amaçlı trafiğin bilgisayardan veya ağdan ayrılmasını önlenin.

Değişikliklerin etkisi

SMB bağlantısını engellemek, çeşitli uygulamaların veya hizmetlerin çalışmasını engellenebilir. Bu durumda işlevi durduracak Windows ve Windows Server uygulamalarının ve hizmetlerinin listesi için, Windows için Hizmet genel bakış ve ağ bağlantı noktası gereksinimlerine bakın

Daha fazla bilgi

Çevre güvenlik duvarı yaklaşımları

Ağın kenarında konumlara sahip çevre donanım ve cihaz güvenlik duvarları, aşağıdaki bağlantı noktalarına giden trafiğin (İnternet'den) ve giden trafiğin (İnternet'e) engellenmiş olması gerekir.
 

Uygulama protokolü

Protokol

Bağlantı noktası

SMB

TCP

445

Net BIRYANI Ad Çözümlemesi

UDP

137

NetOGRAM Datagram Hizmeti

UDP

138

NetBILGISAYARıNıZıN Oturum Hizmeti

TCP

139


İnternet'i veya İnternet'i hedef alan tüm SMB iletişimlerin geçerli olması olası değildir. Birincil olay bulut tabanlı bir sunucu veya Azure Dosyaları gibi bir hizmet için olabilir. Yalnızca bu belirli uç noktalara izin vermek için çevre güvenlik duvarında IP adresi tabanlı kısıtlamalar oluşturmalısınız. Kuruluşlar, şirket içi istemcilerin (kurumsal güvenlik duvarının arkasında) SMB bağlantı noktasını kullanarak Azure dosya depolama alanıyla konuşmak için SMB bağlantı noktasını kullanan karma senaryoları etkinleştirmek için belirli Azure Veri Merkezi ve O365 IP aralıklarına bağlantı noktası 445 erişimine izin kullanabilir. Ayrıca yalnızca SMB 3'e de izin ver gerekir.x trafiğine neden olur ve SMB AES-128 şifrelemesi gerektirir. Daha fazla bilgi için "Başvurular" bölümüne bakın.

Not SMB aktarım için Net DNS kullanımı Windows Vista' da, Windows Server 2008'de ve daha sonraki tüm Microsoft işletim sistemlerinde Microsoft SMB 2.02'yi kullanmaya başladı. Bununla birlikte, ortamınıza Windows dışında bir yazılım ve cihaz ebilirsiniz. Daha önce SMB1'i devre dışı bırakmalı ve kaldırmanız gerekir çünkü SMB1 hala Net OLARAK 2010'u kullanır. Windows Server ve Windows'un sonraki sürümleri artık SMB1'i varsayılan olarak yüklemez ve izin verilirse otomatik olarak kaldırır.

Windows Defender güvenlik duvarı yaklaşımları

Windows ve Windows Server'ın desteklenen tüm sürümleri Windows Defender Güvenlik Duvarı'nı (daha önce Windows Güvenlik Duvarı olarak adlandırılmıştır) içerir. Bu güvenlik duvarı, özellikle de cihazlar bir ağın dışında hareket ettiylerinde veya bir ağ içinde çalıştır çalıştırlarında, cihazlar için ek koruma sağlar.

Windows Defender Güvenlik Duvarı'nın belirli ağ türleri için ayrı profilleri vardır: Etki Alanı, Özel ve Konuk/Genel. Konuk/Genel ağ normalde varsayılan olarak daha güvenilir Olan Etki Alanı veya Özel ağlardan çok daha kısıtlayıcı ayarlar alır. Tehdit değerlendirmenize ve işlem ihtiyaçlarına göre bu ağlar için farklı SMB kısıtlamalarınız olduğunu farkebilirsiniz.

Bilgisayara gelen bağlantılar

SMB paylaşımlarını barındırmamış Windows istemci ve sunucularında, uzak bağlantıların kötü amaçlı veya güvenliği tehlikeye atılmış cihazlardan uzak bağlantıları engellemek için Windows Defender Güvenlik Duvarı'nı kullanarak tüm gelen SMB trafiğini engelleyebilirsiniz. Windows Defender Güvenlik Duvarı'ndaki bu, aşağıdaki gelen kurallarını içerir.

Ad

Profil

Etkin

Dosya ve Yazıcı Paylaşımı (SMB-In)

Tüm

Hayır

Netlogon Hizmeti (NP-In)

Tüm

Hayır

Uzak Olay Günlüğü Yönetimi (NP-In)

Tüm

Hayır

Uzak Hizmet Yönetimi (NP-In)

Tüm

Hayır


Gelen güvenlik duvarı kurallarını geçersiz kılmak için yeni bir engelleme kuralı da oluşturmalısınız. SMB Paylaşımlarını barındırmaz tüm Windows istemcileri veya sunucuları için aşağıdaki önerilen ayarları kullanın:

  • Ad:Tüm gelen SMB 445'i engelle

  • Açıklama: Tüm gelen SMB TCP 445 trafiğini engeller. Etki alanı denetleyicilerine veya SMB paylaşımlarını barındıran bilgisayarlara uygulanmaz.

  • Eylem:Bağlantıyı engelleme

  • Programlar: Tüm

  • Uzak Bilgisayarlar: Herhangi bir

  • Protokol Türü: TCP

  • Yerel Bağlantı Noktası: 445

  • Uzak Bağlantı Noktası:Herhangi bir

  • Profiller: Tüm

  • Kapsam (Yerel IP Adresi): Herhangi bir

  • Kapsam (Uzak IP Adresi): Herhangi bir

  • Edge Çapraz:Kenar çaprazını engelleme

Etki alanı denetleyicilerine veya dosya sunucularına gelen SMB trafiğini genel olarak engellemeyebilirsiniz. Bununla birlikte, saldırı yüzeyini düşürmek için güvenilir IP aralıklarından ve cihazlardan erişim kısıtlaması sabilirsiniz. Ayrıca, Etki Alanı veya Özel güvenlik duvarı profilleriyle sınırlandırılmış olmalı ve Konuk/Genel trafiğine izin vermeleri de gerekir.

Not Windows XP SP2 ve Windows Server 2003 SP1'den bu yana Windows Güvenlik Duvarı tüm gelen SMB iletişimlerini varsayılan olarak engelledi. Windows cihazları, yalnızca yönetici SMB paylaşımı oluşturduğunda veya güvenlik duvarı varsayılan ayarlarında değişiklik olursa gelen SMB iletişimini sağlar. Her ne olursa olsun, cihazlarda varsayılan yerinde deneyimine güvenmeyebilirsiniz. Grup İlkesi veya diğer yönetim araçlarını kullanarak her zaman ayarları ve bunların istenen durumunu doğrulayın ve etkin bir şekilde yönetin.

Daha fazla bilgi için bkz. Gelişmiş Güvenlik Stratejisi ile Windows Defender Güvenlik Duvarı Tasarlama ve Gelişmiş Güvenlik Dağıtımı Kılavuzu ile Windows Defender Güvenlik Duvarı

Bilgisayardan giden bağlantılar

Windows istemcileri ve sunucuları, etki alanı denetleyicilerinden grup ilkesi uygulamak ve kullanıcıların ve uygulamaların dosya sunucularında verilere erişmesi için giden SMB bağlantıları gerektirir, bu nedenle kötü amaçlı lateral veya internet bağlantılarını önlemek için güvenlik duvarı kuralları oluşturulurken özenli olunması gerekir. Varsayılan olarak, SMB paylaşımlara bağlanan bir Windows istemci veya sunucusunda giden bloklar yoktur, bu nedenle yeni engelleme kuralları oluşturmanız gerekir.

Gelen güvenlik duvarı kurallarını geçersiz kılmak için yeni bir engelleme kuralı da oluşturmalısınız. SMB Paylaşımlarını barındırmaz tüm Windows istemcileri veya sunucuları için aşağıdaki önerilen ayarları kullanın.

Konuk/Genel (güvenilmeyen) ağlar

  • Ad:Giden Konuğu/Genel SMB 445'i engelleme

  • Açıklama: Güvenilmeyen bir ağ üzerindeyken tüm giden SMB TCP 445 trafiğini engeller

  • Eylem:Bağlantıyı engelleme

  • Programlar: Tüm

  • Uzak Bilgisayarlar: Herhangi bir

  • Protokol Türü: TCP

  • Yerel Bağlantı Noktası:Herhangi bir

  • Uzak Bağlantı Noktası: 445

  • Profiller: Konuk/Genel

  • Kapsam (Yerel IP Adresi): Herhangi bir

  • Kapsam (Uzak IP Adresi): Herhangi bir

  • Edge Çapraz:Kenar çaprazını engelleme

Not Küçük ofis ve ev ofis kullanıcıları veya kurumsal güvenilir ağlarda çalışan ve sonra da ev ağlarına bağlanan mobil kullanıcılar, genel giden ağı engellemeden önce dikkatli olmalıdır. Bunu yapmak, yerel NAS cihazlarına veya belirli yazıcılara erişimi engellenebilir.

Özel/Etki Alanı (güvenilir) ağları

  • Ad:Giden Etki Alanına/Özel SMB 445'e izin ver

  • Açıklama: Giden SMB TCP 445 trafiğinin güvenilen bir ağa bağlıyken yalnızca PC'lere ve dosya sunucularına izin verir

  • Eylem:Güvenli ise bağlantıya izin ver

  • Güvenli Ayarlarsa İzin Ver'i Özelleştir: seçeneklerden birini belirleyin, Engelleme kurallarını geçersiz kıl = ON

  • Programlar: Tüm

  • Protokol Türü: TCP

  • Yerel Bağlantı Noktası:Herhangi bir

  • Uzak Bağlantı Noktası: 445

  • Profiller: Özel/Etki Alanı

  • Kapsam (Yerel IP Adresi): Herhangi bir

  • Kapsam (Uzak IP Adresi): <denetleyicisi ve dosya sunucusu IP adresleri listesi>

  • Edge Çapraz:Kenar çaprazını engelleme

Not Güvenli bağlantı, bilgisayarın kimliğini taşıyan kimlik doğrulamasını kullanıyorsa, Uzak IP adreslerini Kapsam yerine Uzak Bilgisayarlar'da da kullanabilirsiniz. "Güvenli ise bağlantıya izin ver" ve Uzak Bilgisayar seçenekleri hakkında daha fazla bilgi için Defender Güvenlik Duvarı belgelerini gözden geçirebilirsiniz.

  • Ad:Giden Etki Alanını/Özel SMB 445'i engelleme

  • Açıklama: Giden SMB TCP 445 trafiğini engeller. "Giden Etki Alanına/Özel SMB 445'e İzin Ver" kuralını kullanarak geçersiz kılma

  • Eylem:Bağlantıyı engelleme

  • Programlar: Tüm

  • Uzak Bilgisayarlar: Yok

  • Protokol Türü: TCP

  • Yerel Bağlantı Noktası:Herhangi bir

  • Uzak Bağlantı Noktası: 445

  • Profiller: Özel/Etki Alanı

  • Kapsam (Yerel IP Adresi): Herhangi bir

  • Kapsam (Uzak IP Adresi): Yok

  • Edge Çapraz:Kenar çaprazını engelleme

Bilgisayarlardan etki alanı denetleyicilerine veya dosya sunucularına giden SMB trafiğini genel olarak engellemeyebilirsiniz. Bununla birlikte, saldırı yüzeyini düşürmek için güvenilir IP aralıklarından ve cihazlardan erişim kısıtlaması sabilirsiniz.

Daha fazla bilgi için bkz. Gelişmiş Güvenlik Stratejisi ile Windows Defender Güvenlik Duvarı Tasarlama ve Gelişmiş Güvenlik Dağıtımı Kılavuzu ile Windows Defender Güvenlik Duvarı

Güvenlik bağlantısı kuralları

"Güvenli ise, bağlantıya izin ver" ve "Bağlantının null özetleme kullanmasına izin ver" ayarları için giden güvenlik duvarı kuralı özel durumlarını uygulamak için bir güvenlik bağlantısı kuralı kullanmalısınız. Bu kuralı tüm Windows tabanlı ve Windows Server tabanlı bilgisayarlarda ayarlayamasanız, kimlik doğrulaması başarısız olur ve SMB giden bağlantı engellenir. 

Örneğin, aşağıdaki ayarlar gereklidir:

  • Kural türü: Yalıtma

  • Gereksinimler:Gelen ve giden bağlantılar için kimlik doğrulaması isteği

  • Kimlik doğrulamayöntemi: Bilgisayar ve kullanıcı (Kerberos V5)

  • Profil: Etki Alanı, Özel, Genel

  • Ad:SMB geçersiz kılmaları için yalıtma ESP Kimlik Doğrulaması

Güvenlik bağlantısı kuralları hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Windows İş Istasyonu ve Sunucu Hizmeti

Tüketici veya yüksek düzeyde yalıtılmış, SMB gerektirmeyen yönetilen bilgisayarlar için, Sunucu veya İş Istasyonu hizmetlerini devre dışı abilirsiniz. "Hizmetler" ek bileşenini (Services.msc) ve PowerShell Set-Service cmdlet'ini veya Grup İlkesi Tercihlerini kullanarak bunu el ile yapabilirsiniz. Bu hizmetleri durdurarak devre dışı bıraksanız bile, SMB artık giden bağlantılar alamayacak veya gelen bağlantı almayacak.

Etki alanı denetleyicilerinde veya dosya sunucularında Sunucu hizmetini devre dışı bırakamazsınız ya da hiçbir istemci grup ilkesi uygulayamaz veya verilerine bağlanamaz. İş Istasyonu hizmetini Active Directory etki alanının üyesi olan bilgisayarlarda devre dışı bırakmanız gerekir, yoksa artık grup ilkesi uygulamazlar.

Başvurular

Gelişmiş Güvenlik Stratejisi ile Windows Defender Güvenlik Duvarı Tasarlama
Gelişmiş Güvenlik Duvarı ile Windows Defender Güvenlik Duvarı Dağıtım Kılavuzu
Azure uzak uygulamaları
Azure veri merkezi IP adresleri
Microsoft O365 IP adresleri

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×