Zabezpieczanie ruchu SMB w systemie Windows Server

Jako środek ochrony w głębi systemu można użyć technik segmentacji i izolacji, aby zabezpieczyć ruch SMB i zmniejszyć zagrożenia między urządzeniami w sieci.

Protokół SMB jest używany do udostępniania plików, drukowania i komunikacji między procesami, takich jak nazwane potoki i RPC. Jest ona również używana jako sieć szkieletowa danych dla technologii takich jak Storage Spaces Direct, Storage Replica, Hyper-V Live Migration i woluminy udostępnione klastra. W poniższych sekcjach skonfiguruj segmentację ruchu SMB i izolację punktu końcowego, aby zapobiec wychodzącej i bocznej komunikacji sieciowej.

Blokuj przychodzący dostęp do protokołu SMB

Blokuj ruch przychodzący przez port TCP 445 z Internetu w firmowych zaporach sprzętowych. Blokowanie przychodzącego ruchu SMB chroni urządzenia w sieci, uniemożliwiając dostęp z Internetu.

Jeśli chcesz, aby użytkownicy uzyskiwali dostęp do swoich plików przychodzących na brzegu sieci, możesz użyć protokołu SMB przez quiC. Domyślnie używa portu UDP 443 i zapewnia tunel zabezpieczeń szyfrowany protokołem TLS 1.3, taki jak sieć VPN dla ruchu SMB. Rozwiązanie wymaga serwerów plików z systemami Windows 11 i Windows Server 2022 Datacenter: Azure Edition działających na platformie Azure Lokalnie. Aby uzyskać więcej informacji, zobacz SMB over QUIC.

Blokuj wychodzący dostęp do protokołu SMB

Blokuj ruch wychodzący portu TCP 445 do Internetu w zaporze firmowej. Blokowanie ruchu wychodzącego protokołu SMB uniemożliwia urządzeniom wewnątrz sieci wysyłanie danych przy użyciu protokołu SMB do Internetu.

Jest mało prawdopodobne, aby zezwalać na ruch wychodzący SMB przy użyciu portu TCP 445 do Internetu, chyba że jest to wymagane w ramach oferty chmury publicznej. Podstawowe scenariusze obejmują usługi Azure Files i Office 365.

Jeśli używasz protokołu SMB usługi Azure Files, użyj sieci VPN dla ruchu wychodzącego. Za pomocą sieci VPN można ograniczyć ruch wychodzący do wymaganych zakresów adresów IP usługi. Aby uzyskać więcej informacji na temat zakresów adresów IP usług Azure Cloud i Office 365, zobacz:

• Zakresy adresów IP platformy Azure i tagi usługi:

  • chmura publiczna
  • Chmura dla instytucji rządowych USA
  • Chmura w Niemczech
  • Chińska chmura

  Pliki JSON są aktualizowane co tydzień i zawierają przechowywanie wersji zarówno dla pełnego pliku, jak i każdego tagu usługi. Tag AzureCloud udostępnia zakresy adresów IP dla chmury (publiczne, instytucje rządowe USA, Niemcy lub Chiny) i są pogrupowane według regionów w tej chmurze. Tagi usług w pliku będą zwiększane w miarę dodawania usług platformy Azure.

• Adresy URL i zakresy adresów IP usługi Office 365.

W systemach Windows 11 i Windows Server 2022 Datacenter: Azure Edition można użyć protokołu SMB over QUIC, aby nawiązać połączenie z serwerami plików na platformie Azure. Domyślnie używa to portu UDP 443 i zapewnia tunel zabezpieczeń szyfrowany protokołem TLS 1.3, takim jak sieć VPN dla ruchu SMB. Aby uzyskać więcej informacji, zobacz SMB over QUIC.

Użycie i udziały SMB w inwentarzu

Spisując ruch SMB w sieci, uzyskasz informacje o ruchu, który występuje i możesz określić, czy jest to konieczne. Skorzystaj z poniższej listy kontrolnej pytań, aby ułatwić identyfikowanie niepotrzebnego ruchu SMB.

W przypadku punktów końcowych serwera:

1. Które punkty końcowe serwera wymagają przychodzącego dostępu SMB do wykonywania swojej roli? Czy potrzebują dostępu przychodzącego ze wszystkich klientów, niektórych sieci lub niektórych węzłów?
2. Czy dla pozostałych punktów końcowych serwera konieczny jest przychodzący dostęp SMB?

W przypadku punktów końcowych klienta:

1. Które punkty końcowe klienta (na przykład Windows 10) wymagają dostępu przychodzącego SMB? Czy potrzebują dostępu przychodzącego ze wszystkich klientów, niektórych sieci lub niektórych węzłów?
2. Czy dla pozostałych punktów końcowych klienta konieczny jest przychodzący dostęp do protokołu SMB?
3. Czy pozostałe punkty końcowe klienta muszą uruchomić usługę serwera SMB?

Dla wszystkich punktów końcowych określ, czy zezwalasz na wychodzący protokół SMB w najbezpieczniejszy i najbardziej minimalny sposób.

Przejrzyj wbudowane role i funkcje serwera, które wymagają ruchu przychodzącego protokołu SMB. Na przykład serwery plików i kontrolery domeny wymagają ruchu przychodzącego protokołu SMB, aby wykonać swoją rolę. Aby uzyskać więcej informacji na temat wbudowanych ról i wymagań dotyczących portów sieciowych funkcji, zobacz Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.

Przejrzyj serwery, do których należy uzyskać dostęp z sieci. Na przykład kontrolery domeny i serwery plików prawdopodobnie muszą być dostępne w dowolnym miejscu w sieci. Jednak dostęp do serwera aplikacji może być ograniczony do zestawu innych serwerów aplikacji w tej samej podsieci. Możesz użyć następujących narzędzi i funkcji, aby ułatwić spis dostępu do protokołu SMB:

• Użyj polecenia Get-FileShareInfo z zestawu modułów AZSBTools aby zbadać udziały na serwerach i klientach.
• Włącz dziennik inspekcji dostępu przychodzącego protokołu SMB za pomocą Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Ponieważ liczba zdarzeń może być duża, rozważ włączenie przez określony czas lub użycie usługi Azure Monitor.

Badanie dzienników protokołu SMB informuje, które węzły komunikują się z punktami końcowymi za pośrednictwem protokołu SMB. Możesz zdecydować, czy udziały punktu końcowego są używane i zrozumieć, które z nich istnieją.

Konfigurowanie zapory Windows Defender

Użyj reguł zapory, aby dodać dodatkowe zabezpieczenia połączeń. Skonfiguruj reguły, aby blokować komunikację przychodzącą i wychodzącą, która zawiera wyjątki. Polityka zapory ogniowej wychodzącej, która uniemożliwia korzystanie z połączeń SMB zarówno poza siecią zarządzaną, jak i wewnątrz niej, umożliwiając jednocześnie dostęp wyłącznie do minimalnego zestawu serwerów i żadnych innych urządzeń, jest środkiem obrony warstwowej.

Aby uzyskać informacje na temat reguł zapory SMB, które należy ustawić dla połączeń przychodzących i wychodzących, zobacz artykuł pomocy technicznej Zapobieganie ruchowi SMB z połączeń poprzecznych i wprowadzanie lub opuszczanie sieci.

Artykuł pomocy technicznej zawiera szablony dla:

• Reguły ruchu przychodzącego oparte na dowolnym rodzaju profilu sieciowym.
• Reguły ruchu wychodzącego dla sieci prywatnych/domen (zaufanych).
• Reguły dla ruchu wychodzącego w sieciach gościnnych/publicznych (niezaufanych). Ten szablon jest ważny, aby zastosować na urządzeniach mobilnych i osób pracujących zdalnie z domów, które nie znajdują się za zaporą blokującą ruch wychodzący. Wymuszanie tych reguł na laptopach zmniejsza szanse na ataki wyłudzające informacje, które wysyłają użytkowników do złośliwych serwerów w celu zbierania poświadczeń lub uruchamiania kodu ataku.
• Reguły ruchu wychodzącego zawierające przesłonięcie listy dozwolonych dla kontrolerów domeny i serwerów plików, określone jako Zezwalaj na połączenie, jeżeli jest bezpieczne.

Aby użyć uwierzytelniania IPSEC bez kapsulacji, należy utworzyć regułę połączenia zabezpieczającego na wszystkich komputerach w sieci, które uczestniczą w regułach. W przeciwnym razie wyjątki zapory nie będą działać i blokowanie będzie przebiegać arbitralnie.

Ostrzeżenie

Przed szerokim wdrożeniem należy przetestować regułę połączenia zabezpieczeń. Nieprawidłowa reguła może uniemożliwić użytkownikom uzyskiwanie dostępu do danych.

Aby utworzyć regułę zabezpieczeń połączenia , użyj zapory Windows Defender z panelem sterowania Advanced Security lub przystawką:

1. W obszarze Zapora Windows Defender wybierz pozycję Reguły zabezpieczeń połączeń i wybierz nową regułę.
2. W obszarze Typ reguły wybierz pozycję Izolacja , a następnie wybierz pozycję Dalej.
3. W obszarze Wymagania wybierz pozycję Żądaj uwierzytelniania dla połączeń przychodzących i wychodzących , a następnie wybierz pozycję Dalej.
4. W obszarze Metoda uwierzytelniania wybierz pozycję Komputer i użytkownik (Kerberos V5), a następnie wybierz przycisk Dalej.
5. W obszarze Profil zaznacz wszystkie profile (domena, prywatna, publiczna), a następnie wybierz pozycję Dalej.
6. Wprowadź nazwę reguły, a następnie wybierz pozycję Zakończ.

Należy pamiętać, że reguła zabezpieczeń połączenia musi zostać utworzona na wszystkich klientach i serwerach uczestniczących w regułach ruchu przychodzącego i wychodzącego albo połączenie wychodzące protokołu SMB zostanie zablokowane. Te reguły mogą już być stosowane w środowisku w ramach innych działań związanych z zabezpieczeniami oraz, podobnie jak reguły ruchu przychodzącego/wychodzącego zapory, można je wdrożyć za pośrednictwem zasad grupowych.

Podczas konfigurowania reguł opartych na szablonach w artykule o zapobieganiu ruchowi SMB z połączeń bocznych oraz wchodzeniu i wychodzeniu z sieci, ustaw następujące parametry, aby dostosować działanie Zezwalaj na połączenie, jeśli jest bezpieczne:

1. W kroku Akcja wybierz pozycję Zezwalaj na połączenie, jeśli jest bezpieczne , a następnie wybierz pozycję Dostosuj.
2. W obszarze Dostosuj ustawienia Zezwalaj, jeśli bezpieczne, wybierz opcję Zezwól na użycie hermetyzacji null.

Opcja Zezwalaj na połączenie, jeśli jest bezpieczna , zezwala na zastąpienie globalnej reguły bloku. Można użyć łatwego, ale najmniej bezpiecznego zezwolenia połączeniu na używanie hermetyzacji zerowej z zasadami przesłaniania bloków, które opierają się na protokole Kerberos i członkostwie w domenie na potrzeby uwierzytelniania. Zapora Windows Defender umożliwia korzystanie z bezpieczniejszych opcji, takich jak IPSEC.

Aby uzyskać więcej informacji na temat konfigurowania zapory, zobacz Omówienie wdrażania usługi Windows Defender z zabezpieczeniami zaawansowanymi.

Zaktualizowane reguły zapory

Począwszy od systemu Windows 11 w wersji 24H2 i Windows Server 2025, wbudowane reguły zapory nie zawierają już portów NetBIOS protokołu SMB. We wcześniejszych wersjach systemu Windows Server po utworzeniu udziału zapora automatycznie włączyła pewne reguły w grupie Udostępnianie plików i drukarek. W szczególności wbudowana zapora automatycznie używała przychodzących portów NetBIOS od 137 do 139. Udziały wykonane z protokołu SMB2 lub nowszego nie używają portów NetBIOS 137-139. Jeśli musisz użyć serwera SMB1 ze względu na starszą zgodność, musisz ręcznie ponownie skonfigurować zaporę, aby otworzyć te porty

Wprowadziliśmy tę zmianę w celu poprawy bezpieczeństwa sieci. Ta zmiana powoduje, że reguły zapory SMB są bardziej zgodne z typowym zachowaniem roli serwera plików w Windows Server. Domyślnie reguła zapory otwiera tylko minimalną liczbę portów wymaganych do udostępniania danych. Administratorzy mogą ponownie skonfigurować reguły w celu przywrócenia starszych portów.

Wyłącz serwer SMB, jeśli nie jest używany

Klienci systemu Windows i niektóre serwery z systemem Windows w sieci mogą nie wymagać uruchomienia usługi SMB Server. Jeśli usługa SMB Server nie jest wymagana, możesz wyłączyć usługę. Przed wyłączeniem usługi SMB Server upewnij się, że na komputerze nie są wymagane żadne aplikacje i procesy.

Możesz użyć preferencji zasad grupy, aby wyłączyć usługę na dużej liczbie maszyn, gdy wszystko będzie gotowe do wdrożenia. Aby uzyskać więcej informacji na temat konfigurowania preferencji zasad grupy, zobacz Konfigurowanie elementu usługi.

Testowanie i wdrażanie przy użyciu polityki

Rozpocznij od testowania przy użyciu wdrożeń na małą skalę na wybranych serwerach i klientach. Użyj etapowych wdrożeń zasad grupy, aby wprowadzić te zmiany. Na przykład zacznij od najcięższego użytkownika protokołu SMB, takiego jak twój własny zespół IT. Jeśli laptopy, aplikacje i dostęp do współdzielonych plików zespołu działają dobrze po wdrożeniu reguł zapory dla ruchu przychodzącego i wychodzącego, utwórz zasady dla grupy testowej w ramach rozległych środowisk testowych i kontroli jakości. Na podstawie wyników rozpocznij próbkowanie niektórych maszyn działów, a następnie rozszerz zakres.

Dalsze kroki

Obejrzyj sesję Demystifying the Windows Firewall na konferencji Ignite prowadzoną przez Jessicę Payne