封鎖特定防火牆連接埠,防止 SMB 流量離開企業環境的指導方針

結論
心懷不軌的使用者會利用伺服器訊息區 (SMB) 通訊協定,來達成其惡意用途。 

防火牆最佳做法和防火牆設定,有助於防範潛在惡意流量跨越企業周邊網路,提升網路安全性。 

企業周邊防火牆應該針對以下 SMB 相關連接埠,封鎖未經要求的通訊 (來自網路) 和連出流量 (連向網路):

137
138
139
445
其他相關資訊
這些連接埠可能被利用來啟用連線,連至潛在的惡意網路 SMB 伺服器。應將 SMB 流量限制在私人網路或虛擬私人網路 (VPN)。 

建議 

封鎖這些企業邊緣或周邊防火牆的連接埠,可以保護防火牆後的系統,避免攻擊者嘗試利用 SMB 行使惡意用途。組織可以允許連接埠 445 存取特定 Azure Datacenter 的 IP 範圍 (請參閱下列參考資料) 以實現混合式方案,使內部部署用戶端 (在企業防火牆後) 可使用 SMB 連接埠與 Azure 檔案儲存空間通訊。

方法 

周邊防火牆通常會使用「封鎖清單」、「核准清單」規則方法,或兩者皆用。 

封鎖清單 
除非拒絕 (已列於封鎖清單) 規則阻止,否則一律允許流量。 

範例 1
允許全部
拒絕 137 名稱服務
拒絕 138 資料包服務
拒絕 139 工作階段服務
拒絕 445 工作階段服務

核准清單 
除非允許規則允許,否則一律拒絕流量。 

為了防止可能使用其他連接埠的攻擊,建議您一概封鎖未經要求的網路通訊。建議您採用總括拒絕搭配允許規則例外 (核准清單)。 

注意:本節所列的核准清單方法不包含允許規則,因此已預設封鎖 NetBIOS 和 SMB 流量。 

範例 2
拒絕全部
允許 53 DNS
允許 21 FTP
允許 80 HTTP
允許 443 HTTPS
允許 143 IMAP
允許 123 NTP
允許 110 POP3
允許 25 SMTP

允許連接埠清單未詳列所有允許項目。視企業需求而定,可能還需其他防火牆項目。

因應措施的影響

有多個 Windows 服務使用受影響的連接埠。封鎖連接埠的連線,可能會使多個應用程式或服務無法運作。幾個可能受影響的應用程式或服務包括:
  • 使用 SMB (CIFS) 的應用程式
  • 使用郵件槽或具名管道的應用程式 (透過 SMB 的 RPC)
  • 伺服器 (檔案與列印共用) 
  • 群組原則
  • 網路登入
  • 分散式檔案系統 (DFS)
  • 終端機伺服器授權 
  • 列印多工緩衝處理器 
  • 電腦瀏覽器 
  • 遠端程序呼叫定位器 
  • 傳真服務 
  • 索引服務 
  • 效能記錄及警示 
  • Systems Management Server
  • 授權記錄服務 

如何復原因應措施

解除封鎖防火牆的連接埠。如需連接埠的更多資訊,請參閱 TCP 和 UDP 連接埠指派

參考資料

Azure RemoteApp https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

Azure Datacenter IP http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/zh-tw/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
內容

文章識別碼:3185535 - 最後檢閱時間:09/01/2016 14:41:00 - 修訂: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
意見反應