Ngăn không cho giao thông SMB từ các kết nối bên và nhập hoặc rời khỏi mạng

Phương pháp tiếp cận tường lửa chu vi

Phần cứng chu vi và tường lửa thiết bị được định vị ở cạnh của mạng sẽ chặn liên lạc không mong muốn (từ Internet) và lưu lượng truy nhập thư đi (Internet) đến các cổng sau đây.
 

Không có bất kỳ giao tiếp SMB nào có nguồn gốc từ Internet hoặc mệnh cho Internet là hợp pháp. Trường hợp chính có thể là đối với máy chủ hoặc dịch vụ dựa trên nền tảng điện toán đám mây chẳng hạn như các tệp Azure. Bạn nên tạo các hạn chế dựa trên địa chỉ IP trong tường lửa chu vi của bạn để chỉ cho phép các điểm cuối cụ thể. Các tổ chức có thể cho phép truy nhập cổng 445 sang Trung tâm dữ liệu cụ thể Azure và dải IP O365 để cho phép các kịch bản kết hợp trong máy khách tại chỗ (phía sau tường lửa doanh nghiệp) sử dụng cổng SMB để nói chuyện với Azure File Storage. Bạn cũng nên chỉ cho phép SMB 3.x Traffic và yêu cầu SMB AES-128 mã hóa. Xem phần "tham chiếu" để biết thêm thông tin.

Lưu ý Việc sử dụng NetBIOS for SMB Transport đã kết thúc trong Windows Vista, Windows Server 2008 và trong tất cả các hệ điều hành Microsoft sau này khi Microsoft giới thiệu SMB 2,02. Tuy nhiên, bạn có thể có phần mềm và các thiết bị khác với Windows trong môi trường của bạn. Bạn nên tắt và loại bỏ SMB1 nếu bạn chưa làm như vậy vì nó vẫn sử dụng NetBIOS. Các phiên bản mới hơn của Windows Server và Windows không còn cài đặt SMB1 theo mặc định và sẽ tự động loại bỏ nó nếu được cho phép.

Cách tiếp cận tường lửa của Windows Defender

Tất cả các phiên bản được hỗ trợ của Windows và Windows Server đều có tường lửa Windows Defender (trước đây đặt tên là tường lửa Windows). Tường lửa này cung cấp bảo vệ bổ sung cho các thiết bị, đặc biệt là khi thiết bị di chuyển bên ngoài một mạng hoặc khi họ chạy trong vòng một.

Tường lửa của Windows Defender có các hồ sơ riêng biệt cho một số loại mạng nhất định: tên miền, riêng tư và khách/công cộng. Mạng khách/công cộng thường có nhiều thiết đặt hạn chế theo mặc định hơn là miền đáng tin cậy hoặc mạng riêng tư. Bạn có thể thấy mình có các giới hạn SMB khác nhau cho các mạng này dựa trên việc đánh giá mối đe dọa của bạn so với nhu cầu hoạt động.

Các kết nối trong đến máy tính

Đối với máy khách và máy chủ Windows không lưu trữ chia sẻ SMB, bạn có thể chặn tất cả lưu lượng SMB đến bằng cách dùng tường lửa Windows Defender để ngăn chặn kết nối từ xa khỏi các thiết bị có hại hoặc bị xâm phạm. Trong tường lửa của Windows Defender, thao tác này bao gồm các quy tắc trong nước sau đây.

Bạn cũng nên tạo một quy tắc chặn mới để ghi đè lên bất kỳ quy tắc tường lửa đến nào khác. Sử dụng các thiết đặt được đề xuất sau đây cho bất kỳ ứng dụng khách Windows hoặc máy chủ nào không lưu trữ chia sẻ SMB:

• Tên: chặn tất cả các 445 SMB trong nước

• Mô tả: khối tất cả các giao thông SMB trong TCP 445. Không áp dụng cho bộ điều khiển tên miền hoặc máy tính lưu trữ chia sẻ SMB.

• Hành động: chặn kết nối

• Chương trình: tất cả

• Máy tính từ xa: bất kỳ

• Loại giao thức: TCP

• Cổng cục bộ: 445

• Cổng từ xa: bất kỳ

• Hồ sơ: tất cả

• Phạm vi (địa chỉ IP Cục bộ): bất kỳ

• Phạm vi (địa chỉ IP từ xa): bất kỳ

• Cạnh traversal: Block cạnh traversal

Bạn không thể chặn lưu lượng truy cập SMB trong nước vào bộ điều khiển tên miền hoặc máy chủ tệp. Tuy nhiên, bạn có thể hạn chế quyền truy nhập chúng từ dải IP và các thiết bị đáng tin cậy để giảm bề mặt tấn công của chúng. Họ cũng nên được giới hạn đối với tên miền hoặc hồ sơ tường lửa riêng và không cho phép khách/lưu lượng công cộng.

Lưu ý Tường lửa Windows đã chặn tất cả các liên lạc SMB trong nước theo mặc định từ Windows XP SP2 và Windows Server 2003 SP1. Thiết bị Windows sẽ cho phép giao tiếp SMB trong nước chỉ khi người quản trị tạo một chia sẻ SMB hoặc thay đổi thiết đặt mặc định của tường lửa. Bạn không nên tin cậy trải nghiệm trong hộp mặc định để vẫn đang ở tại chỗ trên thiết bị, bất kể. Luôn xác minh và tích cực quản lý thiết đặt và trạng thái mong muốn của họ bằng cách sử dụng chính sách nhóm hoặc công cụ quản lý khác.

Để biết thêm thông tin, hãy xem thiết kế tường lửa Windows Defender với chiến lược bảo mật nâng cao và tường lửa Windows Defender với hướng dẫn triển khai bảo mật nâng cao

Kết nối ra ngoài từ máy tính

Máy khách và máy chủ Windows yêu cầu kết nối SMB ra ngoài để áp dụng chính sách nhóm từ bộ điều khiển tên miền và đối với người dùng và ứng dụng để truy nhập dữ liệu trên máy chủ tệp, do đó, việc chăm sóc phải được thực hiện khi tạo các quy tắc tường lửa để ngăn chặn kết nối bên hoặc Internet độc hại. Theo mặc định, không có khối đi trên máy khách hoặc máy chủ Windows kết nối với chia sẻ SMB, vì vậy bạn sẽ phải tạo các quy tắc chặn mới.

Bạn cũng nên tạo một quy tắc chặn mới để ghi đè lên bất kỳ quy tắc tường lửa đến nào khác. Sử dụng các thiết đặt được đề xuất sau đây cho bất kỳ ứng dụng khách Windows hoặc máy chủ nào không lưu trữ chia sẻ SMB.

Mạng của khách/công cộng (không tin cậy)

• Tên: khối khách mời/công cộng SMB 445

• Mô tả: Blocks all OUTBOUND SMB TCP 445 Traffic khi ở trên mạng không tin cậy

• Hành động: chặn kết nối

• Chương trình: tất cả

• Máy tính từ xa: bất kỳ

• Loại giao thức: TCP

• Cổng cục bộ: bất kỳ

• Cổng từ xa: 445

• Hồ sơ: khách/công cộng

• Phạm vi (địa chỉ IP Cục bộ): bất kỳ

• Phạm vi (địa chỉ IP từ xa): bất kỳ

• Cạnh traversal: Block cạnh traversal

Lưu ý Người dùng Office và Office nhỏ, hoặc người dùng di động làm việc trong các mạng tin cậy của công ty và sau đó kết nối với mạng nhà riêng của họ, nên sử dụng thận trọng trước khi chặn mạng ra nước ngoài công cộng. Thực hiện điều này có thể ngăn chặn quyền truy nhập vào các thiết bị NAS cục bộ của họ hoặc một số máy in.

Mạng riêng/miền (tin cậy)

• Tên: cho phép Domain/Private SMB 445

• Mô tả: cho phép gửi đi giao thông SMB TCP 445 sang chỉ các máy chủ và tệp khi ở trên một mạng tin cậy

• Hành động: cho phép kết nối nếu nó được bảo mật

• Tùy chỉnh cho phép nếu các thiết đặt bảo mật: chọn một trong các tùy chọn, đặt các quy tắc chặn ghi đè = bật

• Chương trình: tất cả

• Loại giao thức: TCP

• Cổng cục bộ: bất kỳ

• Cổng từ xa: 445

• Hồ sơ: Private/Domain

• Phạm vi (địa chỉ IP Cục bộ): bất kỳ

• Phạm vi (địa chỉ IP từ xa): <danh sách các bộ điều khiển tên miền và địa chỉ IP máy chủ tệp>

• Cạnh traversal: Block cạnh traversal

Lưu ý Bạn cũng có thể sử dụng máy tính từ xa thay vì phạm vi địa chỉ IP từ xa, nếu kết nối được bảo mật sử dụng xác thực mang định danh của máy tính. Xem lại tài liệu tường lửa Defender để biết thêm thông tin về "cho phép kết nối nếu được bảo mật" và tùy chọn máy tính từ xa.

• Tên: Block Domain Outbound/Private SMB 445

• Mô tả: Block OUTBOUND SMB TCP 445 Traffic. Ghi đè bằng cách sử dụng quy tắc "cho phép đi Domain/Private SMB 445"

• Hành động: chặn kết nối

• Chương trình: tất cả

• Máy tính từ xa: N/A

• Loại giao thức: TCP

• Cổng cục bộ: bất kỳ

• Cổng từ xa: 445

• Hồ sơ: Private/Domain

• Phạm vi (địa chỉ IP Cục bộ): bất kỳ

• Phạm vi (địa chỉ IP từ xa): N/A

• Cạnh traversal: Block cạnh traversal

Bạn phải không lưu lượng truy nhập SMB đi từ máy tính sang tên miền hoặc máy chủ tệp. Tuy nhiên, bạn có thể hạn chế quyền truy nhập chúng từ dải IP và các thiết bị đáng tin cậy để giảm bề mặt tấn công của chúng.

Để biết thêm thông tin, hãy xem thiết kế tường lửa Windows Defender với chiến lược bảo mật nâng cao và tường lửa Windows Defender với hướng dẫn triển khai bảo mật nâng cao

Quy tắc kết nối bảo mật

Bạn phải sử dụng quy tắc kết nối bảo mật để thực hiện ngoại lệ cho quy tắc tường lửa ra ngoài cho "cho phép kết nối nếu nó là bảo mật" và "cho phép kết nối sử dụng thiết đặt gói null". Nếu bạn không đặt quy tắc này trên tất cả các máy tính chạy Windows trên Windows và Windows Server, xác thực sẽ không thành công, và SMB sẽ bị chặn ra ngoài. 

Ví dụ, các thiết đặt sau đây là bắt buộc:

• Loại quy tắc: cách ly

• Yêu cầu: yêu cầu xác thực cho kết nối trong và ngoài nước

• Phương pháp xác thực: máy tính và người dùng (Kerberos v5)

• Hồ sơ: Domain, Private, Public

• Tên: xác thực ESP phân tách cho SMB ghi đè

Để biết thêm thông tin về quy tắc kết nối bảo mật, hãy xem các bài viết sau đây:

• Thiết kế tường lửa của Windows Defender với chiến lược bảo mật nâng cao

• Danh sách kiểm tra: cấu hình các quy tắc cho một vùng máy chủ bị cô lập

Windows Workstation và dịch vụ máy chủ

Đối với người dùng hoặc các máy tính được quản lý cao mà không yêu cầu SMB ở tất cả, bạn có thể vô hiệu hóa các dịch vụ máy chủ hoặc máy trạm. Bạn có thể thực hiện điều này theo cách thủ công bằng cách sử dụng "Services" đính (Services. msc) và lệnh ghép ngắn Set-Service PowerShell, hoặc bằng cách sử dụng tùy chọn chính sách nhóm. Khi bạn dừng và vô hiệu hóa các dịch vụ này, SMB không còn có thể thực hiện kết nối ra ngoài hoặc nhận các kết nối đến.

Bạn không bị vô hiệu hóa dịch vụ máy chủ trên bộ điều khiển tên miền hoặc máy chủ tệp hoặc không có khách hàng sẽ có thể áp dụng chính sách nhóm hoặc kết nối với dữ liệu của họ nữa. Bạn không bị vô hiệu hóa dịch vụ máy trạm trên các máy tính là thành viên của một miền Active Directory hoặc họ sẽ không còn áp dụng chính sách nhóm.