Рекомендації щодо блокування портів певних брандмауера, щоб запобігти SMB трафік залишити в корпоративному середовищі

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3185535
Підсумки
Зловмисників, можна використовувати протокол блокування повідомлень сервера (SMB) зловмисних цілях.

Поради щодо ефективного сценарій виконання брандмауера та конфігурації брандмауера можна покращити безпеки мережі, допомагає запобігти потенційно небезпечного трафік через периметр підприємства.

Enterprise периметр брандмауери, слід блокування несанкціоновані зв'язок "один-до-одного" (від Інтернету) і outgoingtraffic (для Інтернету) такі порти SMB, пов'язані:

137
138
139
445
Додаткові відомості
Порти, можна ініціювати з'єднання з потенційно небезпечного SMB, Інтернет-сервера. SMB трафік, слід лише для приватної мережі або віртуальних приватних мереж (VPN).

Пропозиція

Блокування порти на корпоративний краю чи периметр брандмауер захищає системний інтегратор, які є, під захистом брандмауера з спроби використовувати SMB, що для зловмисних purposes.Organizations можна дозволити увімкнути гібридні сценарії, де на локальному клієнти (за на підприємстві брандмауер) використовувати порт SMB порадитися з порт 445-доступ до певних Azure Datacenter IP діапазони, (див. нижче посилання)Azure файлів.

Способи

Периметр брандмауери зазвичай використовується "Блокувати. список" або "Схвалено, переліком" правило, методики, або обох.

Блокування запис А
Дозволити трафік, якщо не заборонити, (у списку блокування) забороняє правило, це.

Приклад 1
Дозволити всі
Забороняти 137-ім'я служби
Забороняти 138 дейтаграм-служби
Забороняти 139-сеанс служби
Забороняти 445 сеанс-служби

Затверджений список
Забороняти трафік, окрім того, як правило-дозволити це дозволяє.

Щоб уникнути атак, які можуть мати до них рекомендується заблокувати всі несанкціоновані зв'язок "один-до-одного" з Інтернету. Ми пропонуємо ковдру-заборонити, з, дозвольте правило з винятками (затверджених список).

Примітка. В цьому розділі, спосіб затверджених список заблокованих осіб і сайтів трафік NetBIOS та SMB неявно, у тому числі не є дозволити правила.

Приклад 2
сценарій виконання на всіх
Дозволити 53 DNS.
Дозволити 21 FTP
Дозволити 80 HTTP
Дозволити 443 HTTPS.
Дозволити 143 IMAP
Дозволити 123 NTP.
Дозволити 110 POP3
Дозволити 25 SMTP

Список, дозволяють портів не є вичерпним. Залежно від того, корпоративних потребам, додаткові брандмауера, які можуть знадобитися запис А бізнес-партнера.

Вплив виправлення помилок

Кілька служб для Windows, скористайтеся впливу портів. Блокує підключення до портів може перешкодити різних програм і служб функціонування. Деякі програми або служби, які зазнають впливу включають:
  • Застосунки, які використовують SMB (CIFS)
  • Застосунки, які використовують mailslots або імені канали (віддаленого виклику процедур через SMB)
  • Сервер (файли й принтери)
  • Групова політика
  • Net Logon
  • Розподіленої файлової системи (DFS)
  • сервер терміналів, ліцензування
  • Спулер друку
  • Огляду
  • Віддалений виклик пошук
  • Служби факсів
  • Служба індексування
  • Журнали та сповіщення продуктивності
  • Systems Management Server
  • Ліцензія ведення журналу служби

Як скасувати вирішення

Розблокувати портів у брандмауері. Щоб отримати додаткові відомості про порти див. TCP та UDP-порт призначення.

Посилання

Azure віддалених застосунків HTTPS://Azure.Microsoft.com/EN-US/Documentation/articles/RemoteApp-ports/

Azure datacenter IP-адрес http://Go.Microsoft.com/fwlink/?LinkId=825637

Microsoft OfficeHTTPS://support.Office.com/EN-US/article/Office-365-URLS-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 3185535 – останній перегляд: 08/31/2016 23:13:00 – виправлення: 2.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Пакет оновлень 2 для ОС Windows Vista

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtuk
Зворотний зв’язок