Proteger o tráfego SMB no Windows Server

Como uma medida de defesa detalhada, use técnicas de segmentação e isolamento para proteger o tráfego SMB e reduzir ameaças entre dispositivos em sua rede.

O SMB é usado para compartilhamento de arquivos, impressão e comunicação entre processos, como pipes nomeados e RPC. Ele também é usado como uma malha de dados de rede para tecnologias como Espaços de Armazenamento Diretos, Réplica de Armazenamento, Migração Dinâmica do Hyper-V e Volumes Compartilhados de Cluster. Use as seções a seguir para configurar a segmentação de tráfego SMB e o isolamento do ponto de extremidade para ajudar a evitar comunicações de saída e de rede lateral.

Bloquear o acesso SMB de entrada

Bloqueie a porta TCP 445 de entrada da internet em seus firewalls de hardware corporativo. Bloquear o tráfego SMB de entrada protege os dispositivos dentro da rede impedindo o acesso da internet.

Caso queira que os usuários acessem seus arquivos de entrada na borda da rede, use o SMB por QUIC. Isso usa a porta UDP 443 por padrão e fornece um túnel de segurança criptografado TLS 1.3, como uma VPN para tráfego SMB. A solução requer Windows 11 e o Datacenter do Windows Server 2022: servidores de arquivos do Azure Edition em execução no Azure Stack HCI. Para obter mais informações, consulte SMB sobre QUIC.

Bloquear o acesso SMB de saída

Bloqueie a porta TCP 445 de saída para a internet no firewall corporativo. Bloquear o tráfego SMB de saída impede que dispositivos dentro de sua rede enviem dados usando o SMB para a internet.

É improvável que você precise permitir qualquer SMB de saída usando a porta TCP 445 para a internet, a menos que você a exija como parte de uma oferta de nuvem pública. Os cenários principais incluem os Arquivos do Azure e Office 365.

Caso esteja usando o SMB dos Arquivos do Azure, use uma VPN para tráfego VPN de saída. Usando uma VPN, você restringe o tráfego de saída aos intervalos de IP de serviço necessários. Para obter mais informações sobre os intervalos de endereços IP do Azure Cloud e Office 365, consulte:

• Marcas de serviço e intervalos de IP do Azure:

  • nuvem pública
  • Nuvem do governo dos EUA
  • Nuvem da Alemanha
  • Nuvem da China.

  Os arquivos JSON são atualizados semanalmente e incluem controle de versão para o arquivo completo e cada marca de serviço individual. A marca AzureCloud fornece os intervalos de IP para a nuvem (Público, governo dos EUA, Alemanha ou China) e é agrupada por região dentro dessa nuvem. As marcas de serviço no arquivo aumentarão à medida que os serviços do Azure forem adicionados.

• URLs e intervalos de endereços IP do Office 365.

Com o Windows 11 e o Datacenter do Windows Server 2022: Azure Edition, use o SMB via QUIC para se conectar a servidores de arquivos no Azure. Isso usa a porta UDP 443 por padrão e fornece um túnel de segurança criptografado TLS 1.3, como uma VPN para o tráfego SMB. Para obter mais informações, consulte SMB sobre QUIC.

Uso e compartilhamentos de SMB de inventário

Ao inventariar o tráfego SMB da rede, você obtém uma compreensão do tráfego que está ocorrendo e pode determinar se é necessário. Use a lista de verificação de perguntas a seguir, para ajudar a identificar o tráfego SMB desnecessário.

Para pontos de extremidade do servidor:

1. Quais pontos de extremidade de servidor exigem acesso ao SMB de entrada para executar sua função? Eles precisam de acesso de entrada de todos os clientes, determinadas redes ou determinados nós?
2. Dos pontos de extremidade de servidor restantes, o acesso ao SMB de entrada é necessário?

Para pontos de extremidade do cliente:

1. Quais pontos de extremidade do cliente (por exemplo, Windows 10) exigem acesso ao SMB de entrada? Eles precisam de acesso de entrada de todos os clientes, determinadas redes ou determinados nós?
2. Dos pontos de extremidade de cliente restantes, o acesso ao SMB de entrada é necessário?
3. Dos pontos de extremidade de cliente restantes, eles precisam executar o serviço de servidor do SMB?

Para todos os pontos de extremidade, determine se você permite o SMB de saída da maneira mais segura e mínima.

Examine as funções e os recursos internos do servidor que exigem entrada de SMB. Por exemplo, servidores de arquivos e controladores de domínio exigem entrada de SMB para executar sua função. Para obter mais informações sobre funções internas e requisitos de porta de rede de recursos, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

Examine os servidores que precisam ser acessados de dentro da rede. Por exemplo, controladores de domínio e servidores de arquivos provavelmente precisam ser acessados em qualquer lugar da rede. No entanto, o acesso ao servidor de aplicativos pode ser limitado a um conjunto de outros servidores de aplicativos na mesma sub-rede. Use as seguintes ferramentas e recursos para ajudá-lo a inventariar o acesso ao SMB:

• Use o comando Get-FileShareInfo do módulo AZSBTools definido para examinar compartilhamentos em servidores e clientes.
• Habilite uma trilha de auditoria do acesso de entrada de SMB usando a chave do Registro Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Como o número de eventos pode ser grande, considere habilitar por um período especificado ou usar o Azure Monitor.

Examinar logs SMB permite que você saiba quais nós estão se comunicando com pontos de extremidade por SMB. Decida se os compartilhamentos de um ponto de extremidade estão em uso e entenda qual deve existir.

Configurar o Windows Defender Firewall

Use regras de firewall para adicionar segurança de conexão extra. Configure regras para bloquear as comunicações de entrada e saída que incluem exceções. Uma política de firewall de saída que impede o uso de conexões de SMB fora e dentro de sua rede gerenciada, permitindo o acesso ao conjunto mínimo de servidores e nenhum outro dispositivo é uma medida de defesa em profundidade lateral.

Para obter informações sobre as regras de firewall do SMB que são necessárias definir para conexões de entrada e saída, consulte o artigo de suporte Impedindo o tráfego SMB de conexões laterais e entrando ou saindo da rede.

O artigo de suporte inclui modelos para:

• Regras de entrada baseadas em qualquer tipo de perfil de rede.
• Regras de saída para redes privadas/de domínio (confiáveis).
• Regras de saída para redes de convidado/público (não confiáveis). Esse modelo é importante para impor em dispositivos móveis e telecomutadores domésticos que não estão atrás do firewall que está bloqueando o tráfego de saída. A aplicação dessas regras em laptops reduz as chances de ataques de phishing que enviam usuários para servidores mal-intencionados para coletar credenciais ou executar código de ataque.
• Regras de saída que contêm uma lista de permitidos de substituição para controladores de domínio e servidores de arquivos denominados Permitir a conexão, se segura.

Para usar a autenticação IPSEC de encapsulamento nulo, crie uma regra de Conexão de Segurança em todos os computadores em sua rede que estejam participando das regras. Caso contrário, as exceções de firewall não funcionarão e você apenas bloqueará arbitrariamente.

Cuidado

Teste a regra de conexão de segurança antes da implantação ampla. Uma regra incorreta pode impedir que os usuários acessem seus dados.

Para criar uma regra de Segurança de Conexão, use o Firewall do Windows Defender com o painel de controle segurança avançada ou snap-in:

1. Em Firewall do Windows Defender, selecione Regras de Segurança de Conexão e escolha uma Nova regra.
2. Em Tipo de regra, selecione Isolamento e selecione Avançar.
3. Em Requisitos, selecione Solicitar autenticação para conexões de entrada e saída e selecione Avançar.
4. Em Método de Autenticação, selecione Computador e Usuário (Kerberos V5) e, em seguida, selecione Avançar.
5. Em Perfil, verifique todos os perfis (Domínio, Privado, Público) e selecione Avançar.
6. Insira um nome para sua regra e selecione Concluir.

Lembre-se de que a regra de Segurança de Conexão deve ser criada em todos os clientes e servidores que participam de suas regras de entrada e saída ou eles serão impedidos de conectar a saída do SMB. Essas regras podem já estar em vigor a partir de outros esforços de segurança em seu ambiente e, como as regras de entrada/saída do firewall, podem ser implantadas por meio da política de grupo.

Ao configurar regras com base nos modelos no artigo Impedindo o tráfego SMB de conexões laterais e inserindo ou saindo do artigo de suporte à rede, defina o seguinte para personalizar a ação Permitir a conexão, se segura:

1. Na etapa Ação, selecione Permitir a conexão se ela estiver segura e selecione Personalizar.
2. Em Personalizar as configurações Permitir se seguro selecione Permitir que a conexão use encapsulamento nulo.

A opção Permitir a conexão se for segura permite a substituição de uma regra de bloco global. Use o fácil, mas menos seguro Permitir que a conexão use encapsulamento nulo com *regras de bloco de substituição, que dependem do Kerberos e da associação de domínio para autenticação. O Firewall do Windows Defender permite opções mais seguras, como IPSEC.

Para obter mais informações sobre como configurar o firewall, consulte Visão geral da implantação do Firewall do Windows Defender com Segurança Avançada.

Regras de firewall atualizadas (preview)

Importante

O Windows Server Insiders Edition está atualmente em PREVIEW. Estas informações estão relacionadas a um produto de pré-lançamento, que pode ser bastante modificado antes de ser lançado. A Microsoft não faz nenhuma garantia, expressa ou implícita, com relação às informações fornecidas aqui.

A partir do Windows 11 Insider Preview Build 25992 (Canary) e Windows Server Preview Build 25997, as regras internas de firewall não contêm mais as portas NetBIOS SMB. Nas versões anteriores do Windows Server, quando você criava um compartilhamento, o firewall habilitava automaticamente algumas regras no grupo Compartilhamento de arquivos e impressoras. Especificamente, o firewall interno usava automaticamente as portas de entrada NetBIOS 137 a 139. Os compartilhamentos feitos com SMB2 ou versões superiores não usam as portas NetBIOS 137-139. Se precisar usar um servidor SMB1 por motivos de compatibilidade herdada, você deverá reconfigurar manualmente o firewall para abrir essas portas

Mudamos isso para melhorar a segurança da rede. Essa mudança torna as regras de firewall SMB mais alinhadas ao comportamento padrão para a função Servidor de arquivos do Windows Server. Por padrão, a regra de firewall abre somente a quantidade mínima necessária de portas para compartilhar dados. Os administradores podem reconfigurar as regras para restaurar as portas herdadas.

Desabilitar o servidor SMB se não for utilizado

Os clientes Windows e alguns dos servidores Windows em sua rede podem não exigir que o serviço de SMB Server esteja em execução. Se o serviço de SMB Server não for necessário, você poderá desabilitar o serviço. Antes de desabilitar o serviço de SMB Server, certifique-se de que nenhum aplicativo e processos no computador exijam o serviço.

Use as Preferências da Política de Grupo, para desabilitar o serviço em um grande número de computadores quando estiver pronto para implementar. Para obter mais informações sobre como configurar as Preferências da Política de Grupo, consulte Configurar um item de serviço.

Testar e implantar usando a política

Comece testando usando implantações feitas manualmente em pequena escala em servidores e clientes selecionados. Use distribuições de política de grupo em fases para fazer essas alterações. Por exemplo, comece com o usuário mais pesado do SMB, como sua própria equipe de TI. Se os laptops e aplicativos e o acesso ao compartilhamento de arquivos da sua equipe funcionarem bem depois de implantar suas regras de firewall de entrada e saída, crie uma política de grupo de teste em seus amplos ambientes de teste e controle de qualidade. Com base nos resultados, inicie a amostragem de alguns computadores departamentais e expanda.

Próximas etapas

Assista à sessão de conferência de Jessica Payne, da Ignite Desmistificando o Firewall do Windows