Schützen von SMB-Datenverkehr in Windows Server

Als tiefgreifende Verteidigungsmaßnahme können Sie mithilfe von Segmentierungs- und Isolationstechniken SMB-Datenverkehr schützen und Bedrohungen zwischen Geräten in Ihrem Netzwerk reduzieren.

SMB wird für Dateifreigabe, Drucken und prozessübergreifende Kommunikation wie Named Pipes und RPC verwendet. Es wird auch als Netzwerkdaten-Fabric für Technologien wie „Direkte Speicherplätze“, „Speicherreplikat“, „Hyper-V-Livemigration“ und „Freigegebene Clustervolumes“ verwendet. Verwenden Sie die folgenden Abschnitte zum Konfigurieren der Segmentierung von SMB-Datenverkehr und der Endpunktisolation, um ausgehende und laterale Netzwerkkommunikationen zu verhindern.

Blockieren des eingehenden SMB-Zugriffs

Blockieren Sie den aus dem Internet eingehenden TCP-Port 445 an den Hardwarefirewalls Ihres Unternehmens. Durch das Blockieren von eingehendem SMB-Datenverkehr werden Geräte in Ihrem Netzwerk geschützt, indem der Zugriff über das Internet verhindert wird.

Wenn Sie möchten, dass Benutzer auf ihre eingehenden Dateien am Rand Ihres Netzwerks zugreifen, können Sie dafür „SMB über QUIC“ verwenden. Es verwendet standardmäßig UDP-Port 443 und stellt einen TLS 1.3-verschlüsselten Sicherheitstunnel wie ein VPN für SMB-Datenverkehr bereit. Die Lösung erfordert Windows 11 und Windows Server 2022 Datacenter: Azure Edition-Dateiserver, die unter Azure Stack HCI ausgeführt werden. Weitere Informationen finden Sie unter SMB über QUIC.

Blockieren des ausgehenden SMB-Zugriffs

Blockieren Sie den zum Internet ausgehenden TCP-Port 445 an Ihrer Unternehmensfirewall. Durch das Blockieren von ausgehendem SMB-Datenverkehr wird verhindert, dass Geräte in Ihrem Netzwerk Daten mithilfe von SMB an das Internet senden.

Es ist unwahrscheinlich, dass Sie ausgehenden SMB-Datenverkehr über TCP-Port 445 ins Internet zulassen müssen – außer wenn Sie dies im Rahmen eines öffentlichen Cloudangebots benötigen. Die primären Szenarien umfassen Azure Files und Office 365.

Wenn Sie Azure Files SMB einsetzen, verwenden Sie ein VPN für ausgehenden VPN-Datenverkehr. Mithilfe eines VPN schränken Sie den ausgehenden Datenverkehr auf die erforderlichen IP-Adressbereiche des Dienstes ein. Weitere Informationen zu Azure Cloud und IP-Adressbereichen für Office 365 finden Sie unter:

• Azure-IP-Bereiche und -Diensttags:

  • Öffentliche Cloud
  • US Government-Cloud
  • Deutschland-Cloud
  • China-Cloud.

  Die JSON-Dateien werden wöchentlich aktualisiert. Sie enthalten die Versionsverwaltung sowohl für die vollständige Datei als auch für jedes einzelne Diensttag. Das AzureCloud-Tag stellt die IP-Bereiche für die Cloud „(Öffentlich“, „US Government“, „Deutschland“ oder „China“) bereit und ist innerhalb dieser Cloud nach Region gruppiert. Diensttags in der Datei werden erhöht, wenn Azure-Dienste hinzugefügt werden.

• URLs und IP-Adressbereiche für Office 365.

Bei Windows 11 und Windows Server 2022 Datacenter: Azure Edition können Sie mithilfe von „SMB über QUIC“ eine Verbindung mit Dateiservern in Azure herstellen. Es verwendet standardmäßig UDP-Port 443 und stellt einen TLS 1.3-verschlüsselten Sicherheitstunnel wie ein VPN für den SMB-Datenverkehr bereit. Weitere Informationen finden Sie unter SMB über QUIC.

Inventarisieren von SMB-Nutzung und Freigaben

Durch Inventarisieren des SMB-Datenverkehrs in Ihrem Netzwerk verstehen Sie den stattfindenden Datenverkehr besser und können ermitteln, ob er erforderlich ist. Verwenden Sie die folgende Checkliste mit Fragen als Hilfe bei der Identifizierung von unnötigem SMB-Datenverkehr.

Für Serverendpunkte:

1. Welche Serverendpunkte benötigen eingehenden SMB-Zugriff, um ihre Rolle erfüllen zu können? Benötigen sie eingehenden Zugriff von allen Clients, bestimmten Netzwerken oder bestimmten Knoten aus?
2. Ist von den verbleibenden Serverendpunkten eingehender SMB-Zugriff erforderlich?

Für Clientendpunkte:

1. Welche Clientendpunkte (z. B. Windows 10) erfordern eingehenden SMB-Zugriff? Benötigen sie eingehenden Zugriff von allen Clients, bestimmten Netzwerken oder bestimmten Knoten aus?
2. Ist von den verbleibenden Serverendpunkten eingehender SMB-Zugriff erforderlich?
3. Müssen sie von den verbleibenden Clientendpunkten den SMB-Serverdienst ausführen?

Ermitteln Sie bei allen Endpunkten, ob Sie ausgehenden SMB-Datenverkehr auf die sicherste und minimalste Weise zulassen.

Überprüfen Sie integrierte Serverrollen und Features, die eingehendes SMB erfordern. Beispielsweise benötigen Dateiserver und Domänencontroller eingehendes SMB, um ihre Rolle erfüllen zu können. Weitere Informationen zu integrierten Rollen und dem Feature „Netzwerkportanforderungen“ finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Überprüfen Sie Server, auf die aus dem Netzwerk zugegriffen werden muss. So muss beispielsweise wahrscheinlich überall im Netzwerk auf Domänencontroller und Dateiserver zugegriffen werden. Der Anwendungsserverzugriff kann jedoch auf eine Gruppe von anderen Anwendungsservern in demselben Subnetz begrenzt sein. Sie können den SMB-Zugriff mithilfe der folgenden Tools und Features inventarisieren:

• Verwenden Sie den Befehl Get-FileShareInfo aus der Modulgruppe AZSBTools, um Freigaben auf Servern und Clients zu untersuchen.
• Aktivieren Sie einen Überwachungspfad des eingehenden SMB-Zugriffs mithilfe des Registrierungsschlüssels Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Da die Anzahl von Ereignissen sehr groß sein kann, sollten Sie die Aktivierung für einen bestimmten Zeitraum in Betracht ziehen oder Azure Monitor verwenden.

Durch die Untersuchung von SMB-Protokollen erfahren Sie, welche Knoten mit Endpunkten über SMB kommunizieren. Sie können entscheiden, ob die Freigaben eines Endpunkts verwendet werden, und wissen, welche vorhanden sind.

Konfigurieren von Windows Defender Firewall

Verwenden Sie Firewallregeln zum Hinzufügen von zusätzlicher Verbindungssicherheit. Konfigurieren Sie Regeln so, dass sowohl eingehende als auch ausgehende Kommunikationen, die Ausnahmen enthalten, blockiert werden. Eine Firewallrichtlinie für ausgehenden Datenverkehr, die die Nutzung von SMB-Verbindungen sowohl außerhalb als auch innerhalb Ihres verwalteten Netzwerks verhindert, während der Zugriff auf die minimale Anzahl von Servern und keine anderen Geräte gewährt wird, ist eine laterale tiefgreifende Verteidigungsmaßnahme.

Informationen zu den SMB-Firewallregeln, die Sie für ein- und ausgehende Verbindungen festlegen müssen, finden Sie im Supportartikel Preventing SMB traffic from lateral connections and entering or leaving the network (Verhindern von Datenverkehr aus lateralen Verbindungen und SMB-Datenverkehr in das oder aus dem Netzwerk).

Der Supportartikel enthält Vorlagen für:

• Eingangsregeln, die auf einer beliebigen Art von Netzwerkprofil basieren.
• Ausgangsregeln für (vertrauenswürdige) private Netzwerke/Domänennetzwerke.
• Ausgangsregeln für (nicht vertrauenswürdige) Gastnetzwerke/öffentliche Netzwerke. Diese Vorlage muss für mobile Geräte und Telearbeiter im Homeoffice erzwungen werden, die sich nicht hinter Ihrer Firewall befinden, von der ausgehender Datenverkehr blockiert wird. Durch das Erzwingen dieser Regeln auf Laptops verringert sich die Wahrscheinlichkeit von Phishing-Angriffen, die Benutzer an bösartige Server senden, um Anmeldeinformationen zu sammeln oder Angriffscode auszuführen.
• Ausgangsregeln, die eine Zulassungsliste zur Außerkraftsetzung mit dem Namen Allow the connection if secure (Verbindung zulassen, wenn sie sicher ist) für Domänencontroller und Dateiserver enthalten.

Wenn Sie die IPSEC-Authentifizierung mit Nullkapselung verwenden möchten, müssen Sie eine Regel zur Sicherheitsverbindung auf allen Computern in Ihrem Netzwerk erstellen, die an den Regeln teilnehmen. Andernfalls funktionieren die Firewallausnahmen nicht, und Sie werden nur willkürlich blockiert.

Achtung

Sie sollten die Regel zur Sicherheitsverbindung vor der allgemeinen Bereitstellung testen. Eine falsche Regel könnte verhindern, dass Benutzer auf ihre Daten zugreifen.

Verwenden Sie zum Erstellen einer Regel zur Verbindungssicherheit Windows Defender Firewall mit Systemsteuerung oder Snap-In für erweiterte Sicherheit:

1. Wählen Sie in Windows Defender Firewall die Option Verbindungssicherheitsregeln und dann eine Neue Regel aus.
2. Wählen Sie unter Regeltyp die Option Isolation und dann Weiter aus.
3. Wählen Sie unter Anforderungen die Option Authentifizierung für eingehende und ausgehende Verbindungen anfordern und dann Weiter aus.
4. Wählen Sie unter Authentifizierungsmethode die Option Computer und Benutzer (Kerberos V5) und dann Weiter aus.
5. Überprüfen Sie unter Profil alle Profile (Domäne, Privat, Öffentlich), und wählen Sie Weiter aus.
6. Geben Sie einen Namen für Ihre Regel ein, und wählen Sie Fertig stellen aus.

Denken Sie daran, dass die Regel zur Verbindungssicherheit auf allen Clients und Servern erstellt werden muss, die an Ihren Ein- und Ausgangsregeln teilnehmen. Andernfalls wird die Verbindung mit ausgehendem SMB-Datenverkehr blockiert. Diese Regeln sind in Ihrer Umgebung möglicherweise bereits aus anderen Sicherheitsbemühungen vorhanden und können wie die Firewallregeln für eingehenden/ausgehenden Datenverkehr über eine Gruppenrichtlinie bereitgestellt werden.

Legen Sie beim Konfigurieren von Regeln, die auf den Vorlagen im Supportartikel Preventing SMB traffic from lateral connections and entering or leaving the network (Verhindern von Datenverkehr aus lateralen Verbindungen und SMB-Datenverkehr in das oder aus dem Netzwerk) basieren, Folgendes fest, um die Aktion Verbindung zulassen, wenn sie sicher ist anzupassen:

1. Wählen Sie im Schritt Aktion die Option Verbindung zulassen, wenn sie sicher ist und dann Anpassen aus.
2. Wählen Sie in Customize Allow if Secure Settings („Wenn sichere Einstellungen, zulassen“ anpassen) die Option Verwendung von Nullkapselung für die Verbindung zulassen aus.

Die Option Verbindung zulassen, wenn sie sicher ist ermöglicht das Außerkraftsetzen einer globalen Blockregel. Sie können die einfache, aber am wenigsten sichere Option Verwendung von Nullkapselung für die Verbindung zulassen mit *override-Blockregeln verwenden, die auf Kerberos- und Domänenmitgliedschaft für die Authentifizierung basiert. Windows Defender Firewall ermöglicht sicherere Optionen wie „IPSEC“.

Weitere Informationen zum Konfigurieren der Firewall finden Sie unter Windows Defender Firewall with Advanced Security deployment overview (Übersicht über die Windows Defender Firewall mit erweiterter Sicherheitsbereitstellung).

Aktualisierte Firewallregeln (Vorschau)

Wichtig

Die Windows Server Insiders-Edition befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

Ab Windows 11 Insider Preview Build 25992 (Canary) und Windows Server Preview Build 25997 umfassen die integrierten Firewallregeln keine SMB NetBIOS-Ports mehr. Beim Erstellen einer Freigabe in früheren Versionen von Windows Server hat die Firewall bestimmte Regeln in der Gruppe „Datei- und Druckerfreigabe“ automatisch aktiviert. Insbesondere verwendete die integrierte Firewall automatisch eingehende NetBIOS-Ports 137 bis 139. Freigaben über SMB2 oder höher verwenden keine NetBIOS-Ports 137–139. Wenn Sie einen SMB1-Server verwenden müssen, um Kompatibilität mit älteren Systemen zu gewährleisten, müssen Sie die Firewall manuell neu konfigurieren, um diese Ports zu öffnen.

Wir haben diese Änderung vorgenommen, um die Netzwerksicherheit zu verbessern. Diese Änderung ermöglicht eine bessere Abstimmung der SMB-Firewallregeln auf das Standardverhalten der Dateiserver-Rolle von Windows Server. Die Firewallregel öffnet standardmäßig nur die Mindestanzahl der Ports, die für die Freigabe von Daten erforderlich sind. Administratoren können die Regeln neu konfigurieren, um ältere Ports wiederherzustellen.

Deaktivieren des SMB-Servers, wenn er nicht verwendet wird

Windows-Clients und einige Ihrer Windows-Server in Ihrem Netzwerk erfordern möglicherweise nicht, dass der SMB-Server-Dienst ausgeführt wird. Wenn der SMB-Server-Dienst nicht erforderlich ist, können Sie ihn deaktivieren. Stellen Sie vor dem Deaktivieren des SMB-Server-Dienstes sicher, dass keine Anwendungen und Prozesse auf dem Computer diesen Dienst erfordern.

Wenn Sie bereit für die Implementierung sind, können Sie den Dienst mithilfe von Gruppenrichtlinieneinstellungen auf einer großen Anzahl von Computern deaktivieren. Weitere Informationen zum Konfigurieren von Gruppenrichtlinieneinstellungen finden Sie unter Konfigurieren eines Dienstelements.

Testen und Bereitstellen mithilfe einer Richtlinie

Testen Sie zuerst mit kleinen, handgemachten Bereitstellungen auf ausgewählten Servern und Clients. Verwenden Sie stufenweise Rollouts von Gruppenrichtlinien, um diese Änderungen vorzunehmen. Beginnen Sie beispielsweise mit dem größten Benutzer von SMB wie Ihrem eigenen IT-Team. Wenn die Laptops und Apps sowie der Zugriff auf Dateifreigaben Ihres Teams nach der Bereitstellung Ihrer Firewallregeln für ein- und ausgehenden Datenverkehr gut funktionieren, erstellen Sie in Ihren allgemeinen Test- und QA-Umgebungen eine Testgruppenrichtlinie. Beginnen Sie anhand der Ergebnisse mit der Stichprobenentnahme bei einigen Abteilungscomputern, und erweitern Sie dies dann.

Nächste Schritte

Sehen Sie sich die Ignite-Konferenzsitzung von Jessica Payne an: Demystifying the Windows Firewall (Entmystifizierung der Windows-Firewall).