Запобігання трафіку SMB від бічних з'єднань і введення або виходу з мережі

Підходи до брандмауера по периметру

По периметру обладнання та пристрої, брандмауери, розташовані на межі мережі, мають блокувати Непрохані повідомлення (з Інтернету) і вихідний трафік (до Інтернету) до таких портів.
 

Малоймовірно, що будь-який зв'язок з Інтернетом або Інтернет-повідомлення має бути легітимним. Головний інцидент може бути для хмарного сервера або служби, як-от блакитні файли. Щоб дозволити лише певні кінцеві точки, потрібно створити обмеження на основі IP-адрес у брандмауері периметра. Організації можуть дозволити порт 445 доступ до певних центрів обробки даних Azure та IP-адрес O365, щоб активувати гібридні сценарії, у яких локальні клієнти (за корпоративним брандмауером) використовують порт SMB, щоб поговорити з сховищем Azure файл. Крім того, можна дозволити лише SMB 3.x трафік і ВИМАГАТИ шифрування AES-128. Щоб отримати докладні відомості, ознайомтеся з розділом "посилання".

Примітка. Використання NetBIOS для транспортних засобів SMB завершилася в ОС Windows Vista, Windows Server 2008 і в усіх подальших операційних системах Microsoft, коли Microsoft ввела SMB 2,02. Проте ви можете мати програмне забезпечення та інші пристрої, окрім Windows у вашому середовищі. Ви повинні відключити та видалити SMB1, якщо ви ще не зробили цього, тому що вона продовжує використовувати NetBIOS. Пізніші версії Windows Server і Windows більше не інсталюються SMB1 за замовчуванням, і його буде автоматично видалено, якщо це дозволено.

Підходи до брандмауера Windows Defender

Усі підтримувані версії Windows і Windows Server містять брандмауер Windows Defender (раніше ім'я брандмауера Windows). Цей брандмауер надає додаткові засоби захисту для пристроїв, особливо коли пристрої переміщуються за межі мережі або коли вони виконуються в межах одного.

Брандмауер Windows Defender має різні профілі для певних типів мереж: domain, Private і Guest/Public. Для гостьової/загальнодоступної мережі зазвичай стає ще більш жорсткі настройки за замовчуванням, ніж більш надійні домени або приватні мережі. Ви можете виявити, що ви маєте різні обмеження SMB для цих мереж на основі вашої оцінки загроз в порівнянні з оперативними потребами.

Вхідні підключення до комп'ютера

Для клієнтів і серверів Windows, які не є акціями SMB, можна блокувати всі вхідні рухи SMB за допомогою брандмауера Windows Defender для запобігання віддаленим підключенням від зловмисних або пристроїв, що не були скомпрометовані. У брандмауері Windows Defender у цьому розділі містяться такі вхідні правила.

Крім того, можна створити нове правило блокування, щоб змінити інші правила для зовнішніх брандмауерів. Скористайтеся такими запропонованими параметрами для будь-яких клієнтів Windows або серверів, які не є акціями SMB:

• Ім'я: блокувати всі вхідні SMB 445

• Опис: блокує всі ВХІДНІ трафік TCP 445. Не можна застосувати до контролерів домену або комп'ютерів, які розміщують в ньому спільний доступ SMB.

• Дія: блокування підключення

• Програми: ALL

• Віддалені комп'ютери: будь-який

• Тип протоколу: TCP

• Місцевий порт: 445

• Віддалений порт: будь-який

• Профілі: усі

• Область (локальна IP-адреса): будь-який

• Область (Віддалена IP-адреса): будь-який

• Обхід межі: блокування межі EDGE

Ви не повинні глобально блокувати вхідний трафік SMB до контролерів домену або файлових серверів. Проте ви можете обмежити доступ до них із надійних діапазонів IP і пристроїв, щоб знизити їхню поверхню атаки. Вони також повинні обмежуватися доменом або приватними профілями брандмауера, а не дозволяти гостьовий або загальнодоступний трафік.

Примітка. Брандмауер Windows заблокував всі вхідні служби SMB за замовчуванням, оскільки операційна система Windows XP з пакетом оновлень 2 (SP2) і Windows Server 2003 SP1. Пристрої Windows дають змогу використовувати Вхідне сполучення SMB лише за умови, що адміністратор створює спільний доступ до служби SMB або змінює настройки брандмауера за замовчуванням. Ви не повинні довіряти за замовчуванням "не на роботі" на пристроях, незалежно від того, де б ви не були на місці. Завжди перевіряти та активно керувати параметрами та бажаною державою за допомогою групової політики або інших засобів керування.

Докладні відомості наведено в статті створення брандмауера Windows Defender з розширеними стратегією безпеки та брандмауером Windows Defender з додатковим посібником із розгортання системи безпеки

Вихідні підключення з комп'ютера

Клієнти та сервери Windows вимагають вихідних підключень SMB для застосування групової політики з контролерів домену, а також для користувачів і програм, щоб отримати доступ до даних на серверах із файлами, тому потрібно подбати про те, що ви створюєте правила брандмауера, щоб запобігти зловмисному бокову або Інтернет-підключенням. За замовчуванням немає вихідних блоків на клієнті або сервері Windows, які підключаються до акцій SMB, тому вам доведеться створювати нові правила для блокування.

Крім того, можна створити нове правило блокування, щоб змінити інші правила для зовнішніх брандмауерів. Скористайтеся такими запропонованими параметрами для будь-яких клієнтів Windows або серверів, у яких не розміщено спільний доступ для SMB.

Гостьові/загальнодоступні (ненадійні) мережі

• Ім'я: блокувати вихідний гість/загальнодоступний SMB 445

• Опис: блокує всі вихідні SMB TCP 445, коли в ненадійній мережі

• Дія: блокування підключення

• Програми: ALL

• Віддалені комп'ютери: будь-який

• Тип протоколу: TCP

• Локальний порт: будь-який

• Віддалений порт: 445

• Профілі: гість/загальнодоступний

• Область (локальна IP-адреса): будь-який

• Область (Віддалена IP-адреса): будь-який

• Обхід межі: блокування межі EDGE

Примітка. Маленькі користувачі Office і домашній Office, а також мобільні користувачі, які працюють в корпоративних надійних мережах, а потім підключаються до своїх домашніх мереж, слід використовувати застереження, перш ніж заблокувати публічну мережу вихідної пошти. Це може завадити доступу до локальних пристроїв NAS або певних принтерів.

Приватні та домени (надійні) мережі

• Ім'я: дозволити вихідний домен або приватний SMB 445

• Опис: дає змогу використовувати трафік TCP 445, лише для сервера та файлових серверів, коли в довіреній мережі

• Дія: дозволити підключення, якщо вона захищена

• Настроювання дозволити, якщо параметри безпечного налаштування: виберіть один із параметрів, установіть прапорець ігнорувати правила блокування = на

• Програми: ALL

• Тип протоколу: TCP

• Локальний порт: будь-який

• Віддалений порт: 445

• Профілі: приватна або доменна

• Область (локальна IP-адреса): будь-який

• Область (віддалений IP-адреса): <списку контролерів домену та IP-адрес сервера файлів>

• Обхід межі: блокування межі EDGE

Примітка. Ви також можете використовувати віддалені комп'ютери замість віддалених IP-адрес, якщо захищене підключення використовує автентифікацію, що відповідає посвідченню комп'ютера. Перегляньте документацію брандмауера захисника , щоб отримати докладні відомості про "Дозволити підключення, якщо це безпечно", і параметрів віддаленого комп'ютера.

• Ім'я: блокувати вихідний домен або приватний SMB 445

• Опис: блокує вихідний трафік TCP 445. Перевизначення за допомогою правила "Дозволити вихідний домен/приватний 445"

• Дія: блокування підключення

• Програми: ALL

• Віддалені комп'ютери: N/A

• Тип протоколу: TCP

• Локальний порт: будь-який

• Віддалений порт: 445

• Профілі: приватна або доменна

• Область (локальна IP-адреса): будь-який

• Область (Віддалена IP-адреса): N/A

• Обхід межі: блокування межі EDGE

Ви не повинні глобально блокувати вихідний трафік SMB від комп'ютерів до контролерів доменів або файлових серверів. Проте ви можете обмежити доступ до них із надійних діапазонів IP і пристроїв, щоб знизити їхню поверхню атаки.

Докладні відомості наведено в статті створення брандмауера Windows Defender з розширеними стратегією безпеки та брандмауером Windows Defender з додатковим посібником із розгортання системи безпеки

Правила підключення до системи безпеки

Ви повинні використовувати правило підключення до системи безпеки, щоб застосувати винятки для вихідних правил брандмауера для параметра "Дозволити підключення, якщо вона безпечна", і "Дозволити підключення до використання Null". Якщо це правило не настроєно на всіх комп'ютерах під керуванням ОС Windows і Windows Server, автентифікація не вдасться, і SMB буде заблоковано в вихідні. 

Наприклад, потрібні такі параметри:

• Тип правила: ізоляція

• Вимоги: запит автентифікації для вхідних і вихідних підключень

• Метод автентифікації: комп'ютер і користувач (Kerberos V5)

• Профіль: домен, приватний, загальнодоступний

• Ім'я: ізоляції ESP автентифікації для заміни SMB

Щоб отримати докладніші відомості про правила підключення до системи безпеки, ознайомтеся з такими статтями:

• Створення брандмауера Windows Defender із додатковими стратегією безпеки

• Контрольний список: Настроювання правил для ізольованої зони сервера

Робоча станція Windows і серверна служба

Для споживчих або дуже ізольованих керованих комп'ютерів, які не потребують SMB, можна вимкнути служби "сервер" або "робоча станція". Ви можете зробити це вручну за допомогою оснастки "служби" (Services. msc) і командлета Set-Service PowerShell або за допомогою параметрів групової політики. Після припинення та вимкнення цих служб SMB більше не може робити вихідні підключення або отримувати вхідні підключення.

Ви не повинні вимикати службу сервера на контролерах домену або на серверах, а клієнти не зможуть використовувати групову політику або більше не підключатися до даних. Не потрібно вимикати службу робочої станції на комп'ютерах, які входять до складу домену Active Directory, або вони більше не застосовуватимуться до групової політики.