Proteggere il traffico SMB in Windows Server

Come misura di difesa avanzata, è possibile usare tecniche di segmentazione e isolamento per proteggere il traffico SMB e ridurre le minacce tra i dispositivi in rete.

SMB viene usato per la condivisione file, la stampa e la comunicazione tra processi, ad esempio named pipe e RPC. Viene anche usato come infrastruttura di dati di rete per tecnologie come Spazi di archiviazione diretta, Replica di archiviazione, Live Migration di Hyper-V e Volumi condivisi cluster. Usare le sezioni seguenti per configurare la segmentazione del traffico SMB e l'isolamento degli endpoint per impedire le comunicazioni di rete in uscita e laterali.

Bloccare l'accesso SMB in ingresso

Bloccare la porta TCP 445 in ingresso da Internet nei firewall hardware aziendali. Il blocco del traffico SMB in ingresso protegge i dispositivi all'interno della rete impedendo l'accesso da Internet.

Per consentire agli utenti di accedere ai file in ingresso sul perimetro della rete, è possibile usare SMB su QUIC. Usa la porta UDP 443 per impostazione predefinita e fornisce un tunnel di sicurezza con crittografia TLS 1.3 come VPN per il traffico SMB. La soluzione richiede Windows 11 e Windows Server 2022 Datacenter: file server di Azure Edition in esecuzione in Azure Stack HCI. Per ulteriori informazioni, vedere SMB su QUIC.

Bloccare l'accesso SMB in uscita

Bloccare la porta TCP 445 in uscita verso Internet nel firewall aziendale. Il blocco del traffico SMB in uscita impedisce ai dispositivi all'interno della rete di inviare dati tramite SMB a Internet.

È improbabile che sia necessario consentire qualsiasi SMB in uscita usando la porta TCP 445 a Internet, a meno che non sia necessario come parte di un'offerta di cloud pubblico. Gli scenari principali includono File di Azure e Office 365.

Se si usa SMB di File di Azure, usare una VPN per il traffico VPN in uscita. Usando una VPN, si limita il traffico in uscita agli intervalli IP di servizio necessari. Per ulteriori informazioni sugli intervalli di indirizzi IP del cloud di Azure e di Office 365, vedere:

• Tag del servizio e intervalli IP di Azure:

  • cloud pubblico
  • cloud del governo degli Stati Uniti
  • cloud della Germania
  • cloud della Cina.

  I file JSON vengono aggiornati settimanalmente e includono il controllo delle versioni sia per il file completo sia per ogni singolo tag del servizio. Il tag AzureCloud fornisce gli intervalli IP per il cloud (pubblico, governo degli Stati Uniti, Germania o Cina) ed è raggruppato per regione all'interno di quel cloud. I tag del servizio nel file aumentano all'aggiunta dei servizi di Azure.

• URL e intervalli di indirizzi IP per Office 365.

Con Windows 11 e Windows Server 2022 Datacenter: Azure Edition, è possibile usare SMB su QUIC per connettersi a file server in Azure. Usa la porta UDP 443 per impostazione predefinita e fornisce un tunnel di sicurezza con crittografia TLS 1.3 come VPN per il traffico SMB. Per ulteriori informazioni, vedere SMB su QUIC.

Condivisioni e utilizzo SMB dell'inventario

Eseguendo l'inventario del traffico SMB della rete, si comprende il traffico e si può determinare se è necessario. Usare il seguente elenco di controllo per identificare il traffico SMB non necessario.

Per gli endpoint server:

1. Quali endpoint server richiedono l'accesso SMB in ingresso per svolgere il proprio ruolo? Necessitano dell'accesso in ingresso da tutti i client, da determinate reti o da determinati nodi?
2. Degli endpoint server rimanenti, l'accesso SMB in ingresso è necessario?

Per gli endpoint client:

1. Quali endpoint client, ad esempio Windows 10, richiedono l'accesso SMB in ingresso? Necessitano dell'accesso in ingresso da tutti i client, da determinate reti o da determinati nodi?
2. Degli endpoint client rimanenti, l'accesso SMB in ingresso è necessario?
3. Degli endpoint client rimanenti, è necessario eseguire il servizio server SMB?

Per tutti gli endpoint, determinare se consentire SMB in uscita nel modo più sicuro e minimo.

Esaminare le funzionalità e i ruoli predefiniti del server che richiedono traffico SMB in ingresso. Ad esempio, i file server e i controller di dominio richiedono traffico SMB in ingresso per svolgere il proprio ruolo. Per ulteriori informazioni sulle funzionalità e sui ruoli predefiniti e sui requisiti delle porte di rete, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.

Esaminare i server a cui è necessario accedere dall'interno della rete. Ad esempio, è probabile che sia necessario accedere ai controller di dominio e ai file server ovunque nella rete. Tuttavia, l'accesso al server applicazioni può essere limitato a un set di altri server applicazioni nella stessa subnet. È possibile usare gli strumenti e le funzionalità seguenti per agevolare l'inventario dell'accesso SMB:

• Usare il comando Get-FileShareInfo dal modulo AZSBTools impostato per esaminare le condivisioni su server e client.
• Abilitare un audit trail dell'accesso al traffico SMB in ingresso usando la chiave del Registro di sistema Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Poiché il numero di eventi può essere elevato, è consigliabile abilitarlo per un periodo di tempo specificato o usare Monitoraggio di Azure.

L'analisi dei log SMB consente di individuare i nodi che comunicano con gli endpoint su SMB. È possibile decidere se le condivisioni di un endpoint sono in uso e capire quali esistono.

Configurare Windows Defender Firewall

Usare le regole del firewall per aumentare la sicurezza della connessione. Configurare le regole per bloccare le comunicazioni in ingresso e in uscita che includono eccezioni. Un criterio firewall in uscita che impedisce l'uso di connessioni SMB sia all'esterno sia all'interno della rete gestita, pur consentendo l'accesso al set minimo di server e a nessun altro dispositivo è una misura di difesa avanzata laterale.

Per informazioni sulle regole del firewall SMB da impostare per le connessioni in ingresso e in uscita, vedere l'articolo di supporto Impedire il traffico SMB da connessioni laterali ed entrare o uscire dalla rete.

L'articolo di supporto include modelli per:

• Regole in ingresso basate su qualsiasi tipo di profilo di rete.
• Regole in uscita per reti private/di dominio (attendibili).
• Regole in uscita per le reti guest/pubbliche (non attendibili). Questo modello è importante da applicare ai dispositivi mobili e ai telelavoratori non protetti dal firewall che blocca il traffico in uscita. L'applicazione di queste regole ai portatili riduce le probabilità di attacchi di phishing che inviano gli utenti a server dannosi per raccogliere credenziali o eseguire codice di attacco.
• Le regole in uscita che contengono un elenco di elementi consentiti di override per controller di dominio e file server chiamato Consenti solo connessioni protette.

Per usare l'autenticazione IPSEC di incapsulamento Null, è necessario creare una regola Connessione di sicurezza su tutti i computer della rete che partecipano alle regole. In caso contrario, le eccezioni del firewall non funzioneranno e il blocco sarà arbitrario.

Attenzione

È consigliabile testare la regola Connessione di sicurezza prima della distribuzione generale. Una regola non corretta potrebbe impedire agli utenti di accedere ai dati.

Per creare una regola Sicurezza di connessione, usare lo snap-in o il pannello di controllo Windows Defender Firewall con protezione avanzata:

1. In Windows Defender Firewall, selezionare Regole Sicurezza di connessione e scegliere una nuova regola.
2. In Tipo di regola selezionare Isolamento, quindi selezionare Avanti.
3. In Requisiti, selezionare Richiedi autenticazione per le connessioni in ingresso e in uscita, quindi selezionare Avanti.
4. In Metodo di autenticazione, selezionare Computer e utente (Kerberos V5), quindi selezionare Avanti.
5. In Profilo, verificare tutti i profili (Dominio, Privato, Pubblico), quindi selezionare Avanti.
6. Immettere un nome per la regola e selezionare Fine.

Tenere presente che la regola Connessione di sicurezza deve essere creata in tutti i client e server che partecipano alle regole in ingresso e in uscita, altrimenti non potranno connettere il traffico SMB in uscita. Queste regole potrebbero essere già presenti per altre attività di sicurezza nell'ambiente e, come le regole in ingresso/in uscita del firewall, possono essere distribuite tramite Criteri di gruppo.

Quando si configurano regole basate sui modelli nell'articolo di supporto Impedire il traffico SMB da connessioni laterali ed entrare o uscire dalla rete, impostare quanto segue per personalizzare l'azione Consenti solo connessioni protette:

1. Nel passaggio Azione, selezionare Consenti solo connessioni protette, quindi selezionare Personalizza.
2. In Personalizza Consenti solo connessioni protette, selezionare Consenti alla connessione di usare l'incapsulamento null.

L'opzione Consenti solo connessioni protette consente l'override di una regola di blocco globale. È possibile usare l'opzione semplice ma meno sicura Consenti alla connessione di usare l'incapsulamento null con le regole di blocco *override, che si basa sull'appartenenza al dominio e a Kerberos per l'autenticazione. Windows Defender Firewall consente opzioni più sicure, ad esempio IPSEC.

Per ulteriori informazioni sulla configurazione del firewall, vedere Panoramica della distribuzione di Windows Defender Firewall con protezione avanzata.

Regole del firewall aggiornate (anteprima)

Importante

Windows Server Insiders Edition è attualmente disponibile in ANTEPRIMA. Queste informazioni sono relative alla versione non definitiva del prodotto, che potrebbe subire modifiche significative prima della release definitiva. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

A partire da Windows 11 Insider Preview Build 25992 (Canary) e Windows Server Preview Build 25997, le regole del firewall predefinite non contengono più le porte NetBIOS SMB. Nelle versioni precedenti di Windows Server, quando si creava una condivisione, il firewall abilitava automaticamente determinate regole nel gruppo Condivisione file e stampanti. In particolare, il firewall predefinito usava automaticamente le porte NetBIOS in ingresso dalla 137 alla 139. Le condivisioni create con SMB2 o versioni successive non usano le porte NetBIOS dalla 137 alla 139. Se è necessario usare un server SMB1 per motivi di compatibilità legacy, è necessario riconfigurare manualmente il firewall per aprire quelle porte

Questa modifica è stata apportata per migliorare la sicurezza della rete. Questa modifica rende le regole del firewall SMB più in linea con il comportamento standard per il ruolo File Server di Windows Server. Per impostazione predefinita, la regola del firewall apre solo il numero minimo di porte necessarie per la condivisione dei dati. Gli amministratori possono riconfigurare le regole per ripristinare le porte legacy.

Disabilitare il server SMB se non è usato

I client Windows e alcuni dei server Windows nella rete potrebbero non richiedere l'esecuzione del servizio server SMB. Se il servizio server SMB non è necessario, è possibile disabilitare il servizio. Prima di disabilitare il servizio server SMB, assicurarsi che nessuna applicazione e nessun processo sul computer richieda il servizio.

È possibile usare le preferenze di Criteri di gruppo per disabilitare il servizio in un numero elevato di computer quando si è pronti per l'implementazione. Per ulteriori informazioni sulla configurazione delle preferenze di Criteri di gruppo, vedere Configurare un elemento di servizio.

Testare e distribuire tramite i criteri

Per iniziare, eseguire test usando distribuzioni manuali in scala ridotta su determinati server e client. Usare implementazioni di criteri di gruppo in più fasi per apportare queste modifiche. Ad esempio, iniziare con l'utente che fa un uso intensivo di SMB, ad esempio il proprio team IT. Se i portatili e le app e l'accesso alla condivisione file del team funzionano correttamente dopo aver distribuito regole del firewall in ingresso e in uscita, creare criteri di gruppo di test negli ambienti di test e controllo qualità. In base ai risultati, avviare il campionamento di alcuni computer di reparto, quindi espandersi.

Passaggi successivi

Guarda la sessione di una conferenza Ignite di Jessica Payne Demystifying the Windows Firewall