防止 SMB 流量从横向连接进入或离开网络

外围防火墙方法

位于网络边缘的外围硬件和设备的防火墙应阻止来自 Internet) 的未经请求的通信 (以及从 internet (发) 到以下端口的传出流量。
 

源自 Internet 或目的地为 Internet 的任何 SMB 通信不太可能是合法的。 主要案例可能适用于基于云的服务器或服务，例如 Azure 文件。 应在外围防火墙中创建基于 IP 地址的限制，以仅允许这些特定终结点。 组织可以允许端口 445 访问特定的 Azure 数据中心和 O365 IP 范围，以启用混合方案，其中本地客户端 (位于企业防火墙后面) 使用 SMB 端口与 Azure 文件存储通信。 还应仅允许 SMB 3。x 流量，需要 SMB AES-128 加密。 有关详细信息，请参阅"引用"部分。

备注 在 Windows Vista、Windows Server 2008 以及 Microsoft 引入 SMB 2.02 时，所有 Microsoft 操作系统中结束使用 NetBIOS 进行 SMB 传输。 但是，环境中可能有除Windows和设备。 如果尚未禁用和删除 SMB1，应禁用和删除 SMB1，因为它仍然使用 NetBIOS。 默认情况下，Windows服务器Windows不再安装 SMB1，如果允许，会自动将其删除。

Windows Defender防火墙方法

所有受支持的 Windows 和 Windows 服务器版本Windows Defender 防火墙 (以前名为 Windows 防火墙) 。 此防火墙为设备提供额外的保护，尤其是在设备移动到网络外部或设备在网络内部运行时。

该Windows Defender 防火墙为特定类型的网络提供不同的配置文件：域、专用和来宾/公共。 默认情况下，来宾/公共网络获得的限制通常比可信域或专用网络要严格得多。 你可能会发现自己根据威胁评估与操作需求，针对这些网络有不同的 SMB 限制。

到计算机的入站连接

对于Windows SMB 共享的客户和服务器，可以使用 Windows Defender 防火墙 阻止所有入站 SMB 流量，以防止来自恶意或受攻击设备的远程连接。 在Windows Defender 防火墙中，这包括以下入站规则。

还应创建新的阻止规则来替代任何其他入站防火墙规则。 对于未托管 SMB 共享的任何 Windows或服务器，请使用以下建议设置：

• 名称：阻止所有入站 SMB 445

• 说明：阻止所有入站 SMB TCP 445 流量。 不应用于托管 SMB 共享的域控制器或计算机。

• 操作：阻止连接

• 程序：全部

• 远程计算机：任何

• 协议类型：TCP

• 本地端口：445

• 远程端口：任何

• 配置文件：全部

• 作用域 (本地 IP 地址) ： 任何

• 远程 (IP 地址) 范围：任何

• 边缘遍历：阻止边缘遍历

不得全局阻止域控制器或文件服务器的入站 SMB 流量。 但是，可以限制从受信任的 IP 范围和设备访问它们，降低其攻击面。 它们还应限制为域或专用防火墙配置文件，不允许来宾/公共流量。

备注 自 Windows XP SP2 和 Windows Server 2003 SP1 以来，防火墙默认已阻止Windows SMB 通信。 Windows管理员创建 SMB 共享或更改防火墙默认设置时，设备才允许入站 SMB 通信。 无论何种情况，都不应信任默认的即用体验仍位于设备上。 始终使用组策略或其他管理工具验证并主动管理设置及其所需状态。

有关详细信息，请参阅使用高级安全策略设计Windows Defender 防火墙高级安全部署Windows Defender 防火墙高级安全部署指南

来自计算机的出站连接

Windows客户端和服务器需要出站 SMB 连接才能应用来自域控制器的组策略，以及用户和应用程序访问文件服务器上的数据，因此在创建防火墙规则时必须小心，以防止恶意横向或 Internet 连接。 默认情况下，连接到 SMB 共享Windows客户端或服务器上没有出站块，因此必须创建新的阻止规则。

还应创建新的阻止规则来替代任何其他入站防火墙规则。 对于未托管 SMB 共享的任何Windows服务器，请使用以下建议设置。

来宾/ (不受信任的) 网络

• 名称：阻止出站来宾/公共 SMB 445

• 说明：在不受信任网络上阻止所有出站 SMB TCP 445 流量

• 操作：阻止连接

• 程序：全部

• 远程计算机：任何

• 协议类型：TCP

• 本地端口：任何

• 远程端口：445

• 配置文件：来宾/公共

• 作用域 (本地 IP 地址) ： 任何

• 远程 (IP 地址) 范围：任何

• 边缘遍历：阻止边缘遍历

备注 在阻止公共出站网络之前，小型办公室和家用办公用户，或者使用企业受信任网络，然后连接到家庭网络的移动用户应谨慎操作。 这样做可能会阻止访问其本地 NAS 设备或某些打印机。

专用/ (受信任) 网络

• 名称：允许出站域/专用 SMB 445

• 说明：允许出站 SMB TCP 445 流量在受信任的网络上时仅发到DC 和文件服务器

• 操作：如果连接是安全的，则允许连接

• 自定义"如果安全设置允许"：选择其中一个选项，将"替代块规则 "设置为"打开"

• 程序：全部

• 协议类型：TCP

• 本地端口：任何

• 远程端口：445

• 配置文件：专用/域

• 作用域 (本地 IP 地址) ： 任何

• 远程 (IP地址) 范围：<域控制器和文件服务器 IP 地址列表>

• 边缘遍历：阻止边缘遍历

备注 如果安全连接使用承载计算机标识的身份验证，则还可使用远程计算机而不是范围远程 IP 地址。 请查看 Defender 防火墙文档 ，详细了解"如果安全，则允许连接"和远程计算机选项。

• 名称：阻止出站域/专用 SMB 445

• 说明：阻止出站 SMB TCP 445 流量。 使用"允许出站域/专用 SMB 445"规则替代

• 操作：阻止连接

• 程序：全部

• 远程计算机：N/A

• 协议类型：TCP

• 本地端口：任何

• 远程端口：445

• 配置文件：专用/域

• 作用域 (本地 IP 地址) ： 任何

• 远程 (IP 地址) 范围：N/A

• 边缘遍历：阻止边缘遍历

不得全局阻止从计算机到域控制器或文件服务器的出站 SMB 流量。 但是，可以限制从受信任的 IP 范围和设备访问它们，降低其攻击面。

有关详细信息，请参阅使用高级安全策略设计Windows Defender 防火墙高级安全部署Windows Defender 防火墙高级安全部署指南

安全连接规则

必须使用安全连接规则来实现"如果连接安全，则允许连接"和"允许连接使用 null 封装"设置的出站防火墙规则例外。 如果未在基于服务器的所有Windows和基于Windows的计算机上设置此规则，身份验证将失败，并且 SMB 会阻止出站。 

例如，以下设置是必需的：

• 规则类型：隔离

• 要求：请求对入站和出站连接进行身份验证

• 身份验证方法：计算机和用户 (Kerberos V5)

• 配置文件：域、专用、公共

• 名称：SMB 重写的隔离 ESP 身份验证

有关安全连接规则的信息，请参阅以下文章：

• 使用高级Windows Defender 防火墙设计安全方案

• 清单：为隔离服务器区域配置规则

Windows工作站和服务器服务

对于完全不需要 SMB 的使用者计算机或高度隔离的托管计算机，可以禁用服务器或工作站服务。 可以使用"服务"管理单元 (Services.msc) 和 PowerShell Set-Service cmdlet，或者使用组策略首选项手动完成此操作。 停止和禁用这些服务时，SMB 不再能够建立出站连接或接收入站连接。

不得在域控制器或文件服务器上禁用服务器服务，或者客户端不再能够应用组策略或连接到其数据。 不得在 Active Directory 域成员的计算机上禁用工作站服务，否则他们将不再应用组策略。