防止 SMB 流量與橫向連接，以及進入或離開網路

周邊防火牆方法

位於網路邊緣的周邊硬體及裝置防火牆應封鎖來自網際網路 (和外) 到網際網路 (到網際網路) 到下列埠的不請自來通訊) 。
 

任何來自網際網路或目的地為網際網路的 SMB 通訊都不太可能合法。 主要案例可能是雲端式伺服器或服務 ，例如 Azure 檔案。 您應該在周邊防火牆中建立 IP 位址限制，只允許這些特定端點。 組織可以允許埠 445 存取特定 Azure 資料中心和 O365 IP 範圍，以啟用混合式案例，其中內部部署用戶端 (位於企業防火牆後面) 使用 SMB 埠與 Azure 檔案儲存空間交談。 您也應該只允許 SMB 3。x 流量，且需要 SMB AES-128 加密。 請參閱 「參考資料」一節以瞭解更多資訊。

附註： NetBIOS 用於 SMB 傳輸的使用已于 Windows Vista、Windows Server 2008 以及 Microsoft 推出 SMB 2.02 後的所有 Microsoft 作業系統中結束。 不過，您的環境中可能有其他軟體Windows裝置。 如果您尚未停用並移除 SMB1，因為 SMB1 仍在使用 NetBIOS，您應該停用並移除。 根據預設，Windows伺服器Windows不再安裝 SMB1，並會在允許時自動移除 SMB1。

Windows Defender防火牆方法

所有支援的防火牆Windows Windows伺服器Windows Defender 防火牆 (先前稱為 Windows防火牆) 。 此防火牆為裝置提供額外的保護，尤其是當裝置在網路外移動或裝置在網路內執行時。

此Windows Defender 防火牆特定類型的網路具有不同的設定檔：網域、私人和來賓/公用。 來賓/公用網路預設會比信任的網域或私人網路更嚴格。 您可能會發現自己根據威脅評估與營運需求，針對這些網路有不同的 SMB 限制。

電腦內接

針對Windows主機 SMB 共用的客戶和伺服器，您可以使用 Windows Defender 防火牆 來封鎖所有傳入的 SMB 流量，以防止遠端連線受到惡意或入侵的裝置。 在 Windows Defender 防火牆中，這包括下列內入規則。

您也應該建立新的封鎖規則，以取代任何其他的內入防火牆規則。 針對任何未託管 SMB 共用Windows用戶端或伺服器，請使用下列建議設定：

• 名稱：封鎖所有輸入 SMB 445

• 描述：區塊所有輸入 SMB TCP 445 流量。 不適用於網域控制站或主機 SMB 共用的電腦。

• 動作：封鎖連接

• 程式：全部

• 遠端電腦：任何

• 通訊協定類型：TCP

• 本地埠：445

• 遠端埠：任何

• 設定檔：全部

• 範圍 (IP 位址) ： 任何

• 遠端 (IP 位址) 範圍：任何

• Edge Traversal：封鎖邊緣橫切

您不得全域封鎖網網域控制站或檔案伺服器的內入 SMB 流量。 不過，您可以限制從信任的 IP 範圍和裝置存取，以降低攻擊面。 它們也應該限制于網域或私人防火牆設定檔，且不允許來賓/公用流量。

附註： 自 Windows XP SP2 和 server 2003 SP1 之後，Windows防火牆預設會封鎖所有內建 S Windows MB 通訊。 Windows只有在系統管理員建立 SMB 共用或變更防火牆預設設定時，裝置才能允許內入 SMB 通訊。 您不應該信任預設的即用即用體驗在裝置上仍然就地就地使用，不論如何。 使用群組原則或其他管理工具，一直驗證並主動管理設定及其想要的狀態。

詳細資訊，請參閱使用進 Windows Defender 防火牆安全性策略設計Windows Defender 防火牆進式安全性部署指南

從電腦外發連接

Windows用戶端和伺服器需要外送 SMB 連接，才能從網域控制站申請群組原則，以及使用者和應用程式存取檔案伺服器上的資料，因此建立防火牆規則時必須小心，以防止惡意的橫向或網際網路連接。 根據預設，連接到 SMB 共用Windows用戶端或伺服器上沒有出站區塊，因此您必須建立新的封鎖規則。

您也應該建立新的封鎖規則，以取代任何其他的內入防火牆規則。 針對任何未託管 SMB 共用Windows用戶端或伺服器，請使用下列建議設定。

來賓/公用 (不受信任) 網路

• 名稱：封鎖外發來賓/公用 SMB 445

• 描述：在不受信任的網路上時，區塊所有外發 SMB TCP 445 流量

• 動作：封鎖連接

• 程式：全部

• 遠端電腦：任何

• 通訊協定類型：TCP

• 本地埠：任何

• 遠端埠：445

• 設定檔：來賓/公用

• 範圍 (IP 位址) ： 任何

• 遠端 (IP 位址) 範圍：任何

• Edge Traversal：封鎖邊緣橫切

附註： 在封鎖公用外發網絡之前，小型辦公室和家用辦公室使用者，或使用公司信任網路，然後連接到其家用網路的移動使用者，應謹慎處理。 這麼做可能會禁止存取其本地的 NAS 裝置或特定印表機。

私人/網域 (信任) 網路

• 名稱：允許外發網域/私人 SMB 445

• 描述：允許外發 SMB TCP 445 流量在信任的網路上時，僅允許 DCs 和檔案伺服器使用

• 動作：允許安全連線

• 自訂 Allow if Secure 設定：挑選其中一個選項，設定重寫區塊規則 = ON

• 程式：全部

• 通訊協定類型：TCP

• 本地埠：任何

• 遠端埠：445

• 設定檔：私人/網域

• 範圍 (IP 位址) ： 任何

• 遠端 (IP 位址) 範圍：<網域控制站和檔案伺服器 IP地址清單>

• Edge Traversal：封鎖邊緣橫切

附註： 如果安全連線使用承載電腦身分識別的驗證，您也可以使用遠端電腦，而非範圍遠端 IP 位址。 請參閱 Defender 防火牆檔 ，以瞭解有關「如果安全允許連接」和遠端電腦選項的詳細資訊。

• 名稱：封鎖外發網域/私人 SMB 445

• 描述：區塊外發 SMB TCP 445 流量。 使用「允許外發網域/私人 SMB 445」規則進行重寫

• 動作：封鎖連接

• 程式：全部

• 遠端電腦：N/A

• 通訊協定類型：TCP

• 本地埠：任何

• 遠端埠：445

• 設定檔：私人/網域

• 範圍 (IP 位址) ： 任何

• 遠端 (IP 位址) 範圍 ： N/A

• Edge Traversal：封鎖邊緣橫切

您不得全域封鎖從電腦到網域控制站或檔案伺服器的外發 SMB 流量。 不過，您可以限制從信任的 IP 範圍和裝置存取，以降低攻擊面。

詳細資訊，請參閱使用進 Windows Defender 防火牆安全性策略設計Windows Defender 防火牆進式安全性部署指南

安全性連接規則

您必須使用安全性連接規則，針對「允許安全連線」和「允許連接使用 Null 封裝」設定，來實施外發防火牆規則例外。 如果您沒有在所有以伺服器為基礎的電腦Windows伺服器Windows設定此規則，驗證將會失敗，而 SMB 會封鎖外發。 

例如，需要下列設定：

• 規則類型：隔離

• 需求：要求對內接和出站連接進行驗證

• 驗證方法：電腦和使用者 (Kerberos V5)

• 設定檔：網域、私人、公用

• 名稱：SMB 的隔離 ESP 驗證重寫

有關安全性連接規則的資訊，請參閱下列文章：

• 使用進Windows Defender 防火牆策略設計工具

• 檢查清單：為隔離伺服器區域組組規則

Windows工作站和伺服器服務

對於完全不需要 SMB 的消費者或高度隔離的受管理電腦，您可以停用伺服器或工作站服務。 您可以使用 「服務」管理單元 (Services.msc) 和 PowerShell Set-Service Cmdlet，或是使用群組原則喜好設定來手動執行這項操作。 當您停止和停用這些服務時，SMB 就無法再進行外發連接或接收傳入連接。

您不得在網域控制站或檔案伺服器上停用 Server 服務，否則任何用戶端都不得再適用群組原則或連接到其資料。 您不得停用 Active Directory 網域成員電腦上的工作站服務，否則他們將不再適用群組原則。