Mengamankan Lalu Lintas SMB di Windows Server

Sebagai ukuran mendalam pertahanan, Anda dapat menggunakan teknik segmentasi dan isolasi untuk mengamankan lalu lintas SMB dan mengurangi ancaman antar perangkat di jaringan Anda.

SMB digunakan untuk berbagi file, pencetakan, dan komunikasi antarproses seperti pipa bernama dan RPC. Ini juga digunakan sebagai fabric data jaringan untuk teknologi seperti Storage Spaces Direct, Storage Replica, Hyper-V Live Migration, dan Cluster Shared Volumes. Gunakan bagian berikut untuk mengonfigurasi segmentasi lalu lintas SMB dan isolasi titik akhir untuk membantu mencegah komunikasi jaringan keluar dan lateral.

Memblokir akses SMB masuk

Blokir port TCP 445 masuk dari internet di firewall perangkat keras perusahaan Anda. Memblokir lalu lintas SMB masuk melindungi perangkat di dalam jaringan Anda dengan mencegah akses dari internet.

Jika Anda ingin pengguna mengakses file mereka masuk di tepi jaringan Anda, Anda dapat menggunakan SMB melalui QUIC. Ini menggunakan port UDP 443 secara default dan menyediakan terowongan keamanan terenkripsi TLS 1.3 seperti VPN untuk lalu lintas SMB. Solusi ini memerlukan Pusat Data Windows 11 dan Windows Server 2022: Server file Azure Edition yang berjalan di Azure Stack HCI. Untuk informasi selengkapnya, lihat SMB melalui QUIC.

Memblokir akses SMB keluar

Blokir port TCP 445 keluar ke internet di firewall perusahaan Anda. Memblokir lalu lintas SMB keluar mencegah perangkat di dalam jaringan Anda mengirim data menggunakan SMB ke internet.

Anda tidak perlu mengizinkan SMB keluar menggunakan port TCP 445 ke internet kecuali Anda memerlukannya sebagai bagian dari penawaran cloud publik. Skenario utama termasuk Azure Files dan Office 365.

Jika Anda menggunakan Azure Files SMB, gunakan VPN untuk lalu lintas VPN keluar. Dengan menggunakan VPN, Anda membatasi lalu lintas keluar ke rentang IP layanan yang diperlukan. Untuk informasi selengkapnya tentang rentang alamat IP Azure Cloud dan Office 365, lihat:

• Rentang IP Azure dan tag layanan:

  • cloud publik
  • Cloud pemerintah AS
  • Cloud Jerman
  • Cloud Tiongkok.

  File JSON diperbarui setiap minggu dan menyertakan penerapan versi baik untuk file lengkap maupun setiap tag layanan individual. Tag AzureCloud menyediakan rentang IP untuk cloud (Publik, pemerintah AS, Jerman, atau Tiongkok) dan dikelompokkan menurut wilayah dalam cloud tersebut. Tag layanan dalam file akan meningkat saat layanan Azure ditambahkan.

• URL Dan rentang alamat IP Office 365.

Dengan Windows 11 dan Windows Server 2022 Datacenter: Azure Edition, Anda dapat menggunakan SMB melalui QUIC untuk menyambungkan ke server file di Azure. Ini menggunakan port UDP 443 secara default dan menyediakan terowongan keamanan terenkripsi TLS 1.3 seperti VPN untuk lalu lintas SMB. Untuk informasi selengkapnya, lihat SMB melalui QUIC.

Penggunaan dan berbagi SMB inventori

Dengan menginventarasikan lalu lintas SMB jaringan Anda, Anda mendapatkan pemahaman tentang lalu lintas yang terjadi dan dapat menentukan apakah diperlukan. Gunakan daftar periksa pertanyaan berikut untuk membantu mengidentifikasi lalu lintas SMB yang tidak perlu.

Untuk titik akhir server:

1. Titik akhir server mana yang memerlukan akses SMB masuk untuk melakukan peran mereka? Apakah mereka memerlukan akses masuk dari semua klien, jaringan tertentu, atau simpul tertentu?
2. Dari titik akhir server yang tersisa, apakah akses SMB masuk diperlukan?

Untuk titik akhir klien:

1. Titik akhir klien mana (misalnya, Windows 10) yang memerlukan akses SMB masuk? Apakah mereka memerlukan akses masuk dari semua klien, jaringan tertentu, atau simpul tertentu?
2. Dari titik akhir klien yang tersisa, apakah akses SMB masuk diperlukan?
3. Dari titik akhir klien yang tersisa, apakah mereka perlu menjalankan layanan server SMB?

Untuk semua titik akhir, tentukan apakah Anda mengizinkan SMB keluar dengan cara yang paling aman dan paling minimal.

Tinjau peran dan fitur bawaan server yang memerlukan SMB masuk. Misalnya, server file dan pengontrol domain mengharuskan SMB masuk untuk melakukan peran mereka. Untuk informasi selengkapnya tentang peran bawaan dan persyaratan port jaringan fitur, lihat Gambaran umum layanan dan persyaratan port jaringan untuk Windows.

Tinjau server yang perlu diakses dari dalam jaringan. Misalnya, pengendali domain dan server file kemungkinan perlu diakses di mana saja di jaringan. Namun, akses server aplikasi mungkin terbatas pada sekumpulan server aplikasi lain pada subnet yang sama. Anda dapat menggunakan alat dan fitur berikut untuk membantu Anda menginventarasikan akses SMB:

• Get-FileShareInfo Gunakan perintah dari modul AZSBTools yang diatur untuk memeriksa berbagi di server dan klien.
• Aktifkan jejak audit akses masuk SMB menggunakan kunci Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Shareregistri . Karena jumlah peristiwa mungkin besar, pertimbangkan untuk mengaktifkan untuk jumlah waktu tertentu atau menggunakan Azure Monitor.

Memeriksa log SMB memungkinkan Anda mengetahui simpul mana yang berkomunikasi dengan titik akhir melalui SMB. Anda dapat memutuskan apakah berbagi titik akhir sedang digunakan dan memahami mana yang akan ada.

Mengonfigurasi Windows Defender Firewall

Gunakan aturan firewall untuk menambahkan keamanan koneksi tambahan. Konfigurasikan aturan untuk memblokir komunikasi masuk dan keluar yang menyertakan pengecualian. Kebijakan firewall keluar yang mencegah penggunaan koneksi SMB baik di luar maupun di dalam jaringan terkelola Anda sambil mengizinkan akses ke set minimum server dan tidak ada perangkat lain yang merupakan ukuran pertahanan mendalam lateral.

Untuk informasi tentang aturan firewall SMB yang perlu Anda tetapkan untuk koneksi masuk dan keluar, lihat artikel dukungan Mencegah lalu lintas SMB dari koneksi lateral dan memasukkan atau meninggalkan jaringan.

Artikel dukungan menyertakan templat untuk:

• Aturan masuk yang didasarkan pada semua jenis profil jaringan.
• Aturan keluar untuk jaringan privat/domain (tepercaya).
• Aturan keluar untuk jaringan tamu/publik (tidak tepercaya). Templat ini penting untuk diberlakukan pada perangkat seluler dan telekomuter berbasis rumah yang tidak berada di belakang firewall Anda yang memblokir lalu lintas keluar. Memberlakukan aturan ini pada laptop mengurangi peluang serangan phishing yang mengirim pengguna ke server berbahaya untuk memanen kredensial atau menjalankan kode serangan.
• Aturan keluar yang berisi daftar izin penimpaan untuk pengendali domain dan server file yang disebut Izinkan koneksi jika aman.

Untuk menggunakan autentikasi IPSEC enkapsulasi null, Anda harus membuat aturan Koneksi keamanan pada semua komputer di jaringan Anda yang berpartisipasi dalam aturan. Jika tidak, pengecualian firewall tidak akan berfungsi dan Anda hanya akan memblokir secara segan-segan.

Perhatian

Anda harus menguji aturan Koneksi keamanan sebelum penyebaran luas. Aturan yang salah dapat mencegah pengguna mengakses data mereka.

Untuk membuat aturan Keamanan Koneksi ion, gunakan Windows Defender Firewall dengan panel kontrol Keamanan Tingkat Lanjut atau snap-in:

1. Di Windows Defender Firewall, pilih Aturan Keamanan Koneksi ion dan pilih Aturan baru.
2. Di Jenis Aturan, pilih Isolasi lalu pilih Berikutnya.
3. Di Persyaratan, pilih Minta autentikasi untuk koneksi masuk dan keluar lalu pilih Berikutnya.
4. Di Metode Autentikasi, pilih Komputer dan Pengguna (Kerberos V5) lalu pilih Berikutnya.
5. Di Profil, periksa semua profil (Domain, Privat, Publik) lalu pilih Berikutnya.
6. Masukkan nama aturan Anda lalu pilih Selesai.

Ingat, aturan Keamanan Koneksi ion harus dibuat pada semua klien dan server yang berpartisipasi dalam aturan masuk dan keluar Anda atau aturan tersebut akan diblokir agar tidak menyambungkan SMB keluar. Aturan ini mungkin sudah diberlakukan dari upaya keamanan lain di lingkungan Anda dan seperti aturan masuk/keluar firewall, dapat disebarkan melalui kebijakan grup.

Saat mengonfigurasi aturan berdasarkan templat di artikel Mencegah lalu lintas SMB dari koneksi lateral dan memasukkan atau meninggalkan artikel dukungan jaringan , atur yang berikut ini untuk menyesuaikan tindakan Izinkan koneksi jika aman :

1. Di langkah Tindakan, pilih Izinkan koneksi jika aman, lalu pilih Sesuaikan.
2. Di Sesuaikan Izinkan jika Amankan Pengaturan, pilih Izinkan koneksi untuk menggunakan enkapsulasi null.

Opsi Izinkan koneksi jika aman memungkinkan penimpaan aturan blok global. Anda dapat menggunakan yang mudah tetapi paling tidak aman Izinkan koneksi untuk menggunakan enkapsulasi null dengan *menimpa aturan blok, yang bergantung pada Kerberos dan keanggotaan domain untuk autentikasi. Windows Defender Firewall memungkinkan opsi yang lebih aman seperti IPSEC.

Untuk informasi selengkapnya tentang mengonfigurasi firewall, lihat Windows Defender Firewall dengan gambaran umum penyebaran Keamanan Tingkat Lanjut.

Aturan firewall yang diperbarui (pratinjau)

Penting

Windows Server Insiders Edition saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.

Dimulai dengan pratinjau Windows 11 Insider Build 25992 (Canary) dan Windows Server Preview Build 25997, aturan firewall bawaan tidak berisi port SMB NetBIOS lagi. Di versi Windows Server yang lebih lama, ketika Anda membuat berbagi, firewall secara otomatis mengaktifkan aturan tertentu dalam grup Berbagi File dan Printer. Secara khusus, firewall bawaan secara otomatis menggunakan port NetBIOS masuk 137 hingga 139. Berbagi yang dibuat dengan SMB2 atau yang lebih baru tidak menggunakan port NetBIOS 137-139. Jika Anda perlu menggunakan server SMB1 untuk alasan kompatibilitas warisan, Anda harus mengonfigurasi ulang firewall secara manual untuk membuka port tersebut

Kami melakukan perubahan ini untuk meningkatkan keamanan jaringan. Perubahan ini membawa aturan firewall SMB lebih sejalan dengan perilaku standar untuk peran Windows Server File Server . Secara default, aturan firewall hanya membuka jumlah minimum port yang diperlukan untuk berbagi data. Administrator dapat mengonfigurasi ulang aturan untuk memulihkan port warisan.

Nonaktifkan SMB Server jika tidak digunakan

Klien Windows dan beberapa Server Windows pada jaringan Anda mungkin tidak memerlukan layanan SMB Server untuk dijalankan. Jika layanan SMB Server tidak diperlukan, Anda dapat menonaktifkan layanan. Sebelum menonaktifkan layanan SMB Server, pastikan tidak ada aplikasi dan proses di komputer yang memerlukan layanan.

Anda dapat menggunakan Preferensi Kebijakan Grup untuk menonaktifkan layanan pada sejumlah besar komputer saat Anda siap untuk menerapkan. Untuk informasi selengkapnya tentang mengonfigurasi Preferensi Kebijakan Grup, lihat Mengonfigurasi Item Layanan.

Menguji dan menyebarkan menggunakan kebijakan

Mulailah dengan menguji menggunakan penyebaran skala kecil buatan tangan pada server dan klien tertentu. Gunakan peluncuran kebijakan grup bertahas untuk membuat perubahan ini. Misalnya, mulailah dengan pengguna terberat SMB seperti tim IT Anda sendiri. Jika laptop dan aplikasi tim Anda serta akses berbagi file berfungsi dengan baik setelah menyebarkan aturan firewall masuk dan keluar Anda, buat kebijakan grup pengujian dalam lingkungan pengujian dan QA yang luas. Berdasarkan hasil, mulai ambil sampel beberapa mesin departemen, lalu perluas.

Langkah berikutnya

Tonton sesi konferensi Ignite Jessica Payne Demystifying Windows Firewall