Windows Server の SMB トラフィックをセキュリティで保護する

多層防御の手段としてセグメント化と分離の手法を使用して、SMB トラフィックを保護し、ネットワーク上のデバイス間の脅威を軽減することができます。

SMB は、ファイル共有、印刷、および名前付きパイプや RPC などのプロセス間通信に使用されます。 また、記憶域スペース ダイレクト、記憶域レプリカ、Hyper-V ライブ移行、クラスターの共有ボリュームなどのテクノロジのネットワーク データ ファブリックとしても使用されます。 次のセクションでは、SMB トラフィックのセグメンテーションとエンドポイントの分離を構成して、送信および横方向のネットワーク通信を防ぐ方法について説明します。

受信 SMB アクセスをブロックする

企業のハードウェア ファイアウォールで、インターネットからの TCP ポート 445 の受信をブロックします。 受信 SMB トラフィックをブロックすることで、インターネットからのアクセスを防いでネットワーク内のデバイスを保護します。

ネットワークのエッジで受信したファイルにユーザーがアクセスできるようにするには、SMB over QUIC を使用できます。 この場合、既定では UDP ポート 443 が使用され、SMB トラフィックの VPN のように TLS 1.3 で暗号化されたセキュリティ トンネルが提供されます。 このソリューションには、Azure Stack HCI で実行されている Windows 11 および Windows Server 2022 Datacenter: Azure Edition ファイル サーバーが必要です。 詳しくは、「SMB over QUIC」を参照してください。

送信 SMB アクセスをブロックする

企業のファイアウォールでインターネットへの TCP ポート 445 を送信することをブロックします。 送信 SMB トラフィックをブロックすると、ネットワーク内のデバイスは SMB を使用してデータをインターネットに送信できなくなります。

パブリック クラウド サービスの一部として必要でない限り、TCP ポート 445 を使用してインターネットに送信 SMB を許可する必要はほとんどありません。 主なシナリオには、Azure Files と Office 365 があります。

Azure Files SMB を使用している場合は、送信 VPN トラフィックに VPN を使用します。 VPN を使用して、送信トラフィックを必要なサービスの IP 範囲に制限します。 Azure Cloud と Office 365 IP アドレス範囲の詳細については、以下を参照してください。

• Azure の IP 範囲とサービス タグ:

  • パブリック クラウド
  • 米国政府のクラウド
  • ドイツのクラウド
  • 中国のクラウド

  JSON ファイルは毎週更新され、完全なファイルと個々のサービス タグの両方のバージョンが含まれます。 AzureCloud タグは、クラウド (パブリック、米国政府、ドイツ、中国) の IP 範囲を提供し、そのクラウド内の地域ごとにグループ化されています。 Azure サービスが追加されると、ファイル内のサービス タグが増加します。

• 「Office 365 の URL および IP アドレス範囲」で説明されているように RSS を購読します。

Windows 11 および Windows Server 2022 Datacenter: Azure Edition では、Azure のファイル サーバーに接続するために、SMB over QUIC を使用できます。 この場合、既定では UDP ポート 443 が使用され、SMB トラフィックの VPN のように TLS 1.3 で暗号化されたセキュリティ トンネルが提供されます。 詳しくは、「SMB over QUIC」を参照してください。

SMB の使用状況と共有のインベントリを作成する

ネットワークの SMB トラフィックについてインベントリを作成することによって、発生しているトラフィックを把握してそれが必要かどうかを判断できます。 不要な SMB トラフィックを特定するために、次のチェックリストを使用します。

サーバー エンドポイントの場合:

1. 役割を果たすために受信 SMB アクセスを必要としているサーバー エンドポイントはどれですか。 そこで必要になるのは、すべてのクライアント、特定のネットワーク、または特定のノードのどこからの受信アクセスですか。
2. 残りのサーバー エンドポイントでは、受信 SMB アクセスは必要ですか。

クライアント エンドポイントの場合:

1. 受信 SMB アクセスを必要とするクライアント エンドポイント (Windows 10 など) はどれですか。 そこで必要になるのは、すべてのクライアント、特定のネットワーク、または特定のノードのどこからの受信アクセスですか。
2. 残りのクライアント エンドポイントでは、受信 SMB アクセスは必要ですか。
3. 残りのクライアント エンドポイントでは、SMB サーバー サービスを実行する必要がありますか。

すべてのエンドポイントについて、最も安全かつ最小の方法で送信 SMB を許可するかどうかを決定します。

SMB 受信を必要とするサーバーの組み込みのロールと機能を確認します。 たとえば、ファイル サーバーとドメイン コントローラーでは、役割を果たすために SMB 受信が必要です。 組み込みのロールと機能のネットワーク ポート要件について詳しくは、Windows のサービス概要およびネットワーク ポート要件に関する記事を参照してください。

ネットワーク内からアクセスする必要があるサーバーを確認します。 たとえば、ドメイン コントローラーやファイル サーバーは、ネットワーク内の任意の場所でアクセスする必要がある場合があります。 ただし、アプリケーション サーバーへのアクセスは、同じサブネット上の他のアプリケーション サーバーのセットに限定される場合があります。 次のツールと機能を使用して、SMB アクセスのインベントリを作成することができます。

• AZSBTools モジュール セットの Get-FileShareInfo コマンドを使用して、サーバーとクライアントの共有を調べます。
• レジストリ キー Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share を使用して、SMB 受信アクセスの監査証跡を有効にします。 イベントの数が多くなる可能性があるため、指定した時間だけ有効にするか Azure Monitor を使用することを検討してください。

SMB ログを調べると、どのノードが SMB 経由でエンドポイントと通信しているかを知ることができます。 エンドポイントの共有が使用中であるかどうかを判断し、存在するものを把握することができます。

Windows Defender ファイアウォールを構成する

追加の接続セキュリティを追加するには、ファイアウォール規則を使用します。 例外を含む受信と送信の両方の通信をブロックする規則を構成します。 送信ファイアウォール ポリシーで、管理されたネットワークの外部と内部の両方で SMB 接続を使用できないようにしながら、サーバーの最小セットへのアクセスを許可し、他のデバイスには許可しないことで、横方向の多層防御の手段となります。

受信接続と送信接続に対して設定する必要がある SMB ファイアウォール ルールの詳細については、サポート記事「SMB トラフィックの横方向接続の禁止とネットワークへの入退出」を参照してください。

サポート記事には、次のテンプレートが含まれています。

• 任意の種類のネットワーク プロファイルに基づく受信の規則。
• プライベート/ドメイン (信頼された) ネットワークのアウトバウンド規則。
• ゲスト/パブリック (信頼されていない) ネットワークのアウトバウンド規則。 このテンプレートは、送信トラフィックをブロックしているファイアウォールの内側にないモバイル デバイスと自宅の在宅勤務者に適用するために重要です。 これらのルールをラップトップに適用すると、ユーザーを悪意のあるサーバーに誘導して資格情報を収集したり、攻撃コードを実行したりするフィッシング攻撃を防ぐことができます。
• ドメイン コントローラーおよびファイル サーバーのオーバーライド許可リストを含むアウトバウンド規則。これは、セキュリティで保護されている場合に許可と呼ばれます。

null カプセル化 IPSEC 認証を使用するには、規則に参加しているネットワーク内のすべてのコンピューターにセキュリティ接続規則を作成する必要があります。 そうしないと、ファイアウォールの例外は動作せず、任意のブロックのみになります。

注意事項

広範に展開する前に、セキュリティ接続規則をテストする必要があります。 不適切なルールにより、ユーザーがデータにアクセスできなくなる可能性があります。

接続セキュリティ規則を作成するには、[高度なセキュリティ] コントロール パネルまたはスナップインで、Windows Defender ファイアウォールを使用します。

1. Windows Defender ファイアウォールで、[接続セキュリティ規則] を選択し、[新しい規則] を選択します。
2. [ルールの種類] で [分離] を選択し、[次へ] を選択します。
3. [要件] で [受信接続と送信接続に対して認証を要求する] を選択し、[次へ] を選択します。
4. [認証方法] で、[コンピューターとユーザー (Kerberos V5)] を選択し、[次へ] を選択します。
5. [プロファイル] で、すべてのプロファイル (ドメイン、プライベート、パブリック) にチェックマークを付け、[次へ] を選択します。
6. 規則の名前を入力し、[完了] を選択します。

接続セキュリティ規則は、受信規則とアウトバウンド規則に参加するすべてのクライアントとサーバーに対して作成する必要があります。そうしないと、SMB 送信の接続でブロックされます。 これらの規則は、環境内の他のセキュリティ作業から既に配置されている場合があり、ファイアウォールの受信/アウトバウンド規則と同様に、グループ ポリシーを使用して展開できます。

「SMB トラフィックの横方向接続の禁止とネットワークへの入退出」のサポート記事にあるテンプレートに基づいて規則を構成する場合は、次のように設定して、セキュリティで保護されている場合に許可の操作をカスタマイズします。

1. [アクション] ステップで、[セキュリティで保護されている場合のみ接続を許可する] を選択し、[カスタマイズ] を選択します。
2. セキュリティで保護されている場合にのみ接続を許可する設定のカスタマイズで、null カプセル化の使用を接続に許可するように選択します。

[セキュリティで保護されている場合のみ接続を許可する] オプションを使用すると、グローバル ブロック規則を上書きできます。 簡単ではあっても一定のセキュリティを維持できる null カプセル化の使用を接続に許可する規則と*上書きブロック規則を一緒に使用できます。これは、認証に Kerberos とドメイン メンバーシップを使用します。 Windows Defender ファイアウォールでは、IPSEC などのより安全なオプションを使用できます。

ファイアウォール構成の詳細については、セキュリティが強化された Windows Defender Firewall の展開の概要に関するページを参照してください。

更新されたファイアウォール ルール (プレビュー)

重要

Windows Server Insiders Edition は現在プレビュー段階です。 この情報はプレリリース製品に関連するものであり、リリース前に大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

Windows 11 Insider Preview ビルド 25992 (Canary) および Windows Server Preview ビルド 25997 以降では、組み込みのファイアウォール ルールに SMB NetBIOS ポートは含まれません。 以前のバージョンの Windows Server では、共有を作成するとファイアウォールによって [ファイルとプリンターの共有] グループの特定のルールが自動的に有効になっていました。 特に、組み込みのファイアウォールでは、受信 NetBIOS ポート 137 から 139 が自動的に使用されていました。 SMB2 以降で作成された共有では、NetBIOS ポート 137 から 139 は使用されません。 レガシーの互換性上の理由から SMB1 サーバーを使用する必要がある場合は、これらのポートを開くためにファイアウォールを手動で再構成する必要があります。

ネットワーク セキュリティを向上させるために、この変更を行いました。 この変更により、SMBファイアウォール ルールは、Windows Server のファイル サーバー ロールの標準動作により近いものになります。 既定では、ファイアウォール ルールではデータの共有に必要な最小数のポートのみが開かれます。 管理者はレガシー ポートを復元するようにルールを再構成できます。

SMB サーバーが使用されていない場合は無効にする

Windows クライアントと、ネットワーク上の一部の Windows Server で SMB サーバー サービスを実行する必要がない場合があります。 SMB サーバー サービスが不要な場合は、サービスを無効にすることができます。 SMB サーバー サービスを無効にする前に、コンピューター上のアプリケーションとプロセスにサービスが必要ないことを確認してください。

実装する準備ができたら、グループ ポリシーの設定を使用して、多数のコンピューターでサービスを無効にすることができます。 グループ ポリシー設定の構成の詳細については、サービス項目の構成に関する記事を参照してください。

ポリシーを使用してテストおよび展開する

まず、小規模なカスタムの展開を使用して、サーバーとクライアント選択のテストを実施します。 段階的なグループ ポリシーのロールアウトを使用して、これらの変更を行います。 たとえば、自社の IT チームなど、SMB を最も頻繁に使用するユーザーから始めます。 受信および送信のファイアウォール規則をデプロイした後にチームのラップトップとアプリおよびファイル共有アクセスが正常に機能する場合は、広範なテストおよび QA 環境内でテスト グループ ポリシーを作成します。 結果に基づいて、いくつかの部門のコンピューターでサンプリングを開始し、その後で範囲を広げて展開します。

次の手順

Windows ファイアウォールの説明に関する Jessica Payne の Ignit カンファレンス セッションを参照