Безопасный трафик SMB в Windows Server

В качестве подробной меры защиты можно использовать методы сегментации и изоляции для защиты трафика SMB и снижения угроз между устройствами в сети.

SMB используется для обмена файлами, печати и взаимодействия между процессами, такими как именованные каналы и RPC. Она также используется в качестве сетевой структуры данных для таких технологий, как Локальные дисковые пространства, реплика хранилища, миграция Hyper-V и общие тома кластера. Используйте следующие разделы, чтобы настроить сегментацию трафика SMB и изоляцию конечных точек, чтобы предотвратить исходящее и боковое сетевое взаимодействие.

Блокировка входящего доступа SMB

Блокировать входящий трафик TCP-порта 445 из Интернета в брандмауэрах корпоративного оборудования. Блокировка входящего трафика SMB защищает устройства внутри сети, предотвращая доступ из Интернета.

Если вы хотите, чтобы пользователи могли получить доступ к своим файлам входящего трафика в пограничной сети, можно использовать SMB через QUIC. Это использует порт UDP 443 по умолчанию и предоставляет туннель безопасности TLS 1.3, например VPN для трафика SMB. Для решения требуется Windows 11 и Windows Server 2022 Datacenter: файловые серверы Azure Edition, работающие в Azure Stack HCI. Дополнительные сведения см. в разделе SMB по QUIC.

Блокировка исходящего доступа SMB

Блокировать исходящий TCP-порт 445 в Интернет в корпоративном брандмауэре. Блокировка исходящего трафика SMB запрещает устройствам в сети отправлять данные с помощью SMB в Интернет.

Вряд ли вам нужно разрешить любой исходящий SMB с помощью TCP-порта 445 в Интернет, если он не требуется в рамках общедоступного облачного предложения. Основные сценарии включают Файлы Azure и Office 365.

Если вы используете Файлы Azure SMB, используйте VPN для исходящего VPN-трафика. Используя VPN, вы ограничиваете исходящий трафик необходимыми диапазонами IP-адресов службы. Дополнительные сведения о диапазонах IP-адресов Azure Cloud и Office 365 см. в следующем разделе:

• Диапазоны IP-адресов Azure и теги служб:

  • общедоступное облако
  • Облако для государственных организаций США
  • Облако Германии
  • Облако Китая.

  Файлы JSON обновляются еженедельно и включают управление версиями как для полного файла, так и для каждого отдельного тега службы. Тег AzureCloud предоставляет диапазоны IP-адресов для облака (общедоступного, правительства США, Германии или Китая) и группируется по регионам в этом облаке. Теги служб в файле будут увеличиваться по мере добавления служб Azure.

• Office 365 диапазоны URL-адресов и IP-адресов.

В Windows 11 и Windows Server 2022 Datacenter: Azure Edition можно использовать SMB через QUIC для подключения к файловым серверам в Azure. Для этого используется порт 443 UDP по умолчанию и предоставляет туннель безопасности TLS 1.3, например VPN для трафика SMB. Дополнительные сведения см. в разделе SMB по QUIC.

Инвентаризация использования SMB и общих ресурсов

При инвентаризации трафика SMB сети вы получите представление о трафике, который происходит, и сможете определить, требуется ли это. Используйте следующий контрольный список вопросов, чтобы определить ненужный трафик SMB.

Для конечных точек сервера:

1. Для каких конечных точек сервера требуется входящий доступ SMB для выполнения их роли? Им нужен входящий доступ со всех клиентов, определенных сетей или определенных узлов?
2. Из оставшихся конечных точек сервера требуется входящий доступ SMB?

Для конечных точек клиента:

1. Какие конечные точки клиента (например, Windows 10) требуют входящего доступа SMB? Им нужен входящий доступ со всех клиентов, определенных сетей или определенных узлов?
2. Из оставшихся конечных точек клиента требуется входящий доступ SMB?
3. Из оставшихся конечных точек клиента им нужно запустить службу сервера SMB?

Для всех конечных точек определите, разрешен ли исходящий SMB в наиболее безопасном и минимальном режиме.

Ознакомьтесь со встроенными ролями и функциями сервера, для которых требуется входящий трафик SMB. Например, файловым серверам и контроллерам домена требуется входящий трафик SMB для выполнения их роли. Дополнительные сведения о встроенных ролях и требованиях к сетевому порту функций см. в обзоре службы и требованиях к сетевому порту для Windows.

Просмотрите серверы, к которым необходимо получить доступ из сети. Например, контроллеры домена и файловые серверы, скорее всего, должны быть доступны в любой точке сети. Однако доступ к серверу приложений может быть ограничен набором других серверов приложений в той же подсети. Для получения доступа к SMB можно использовать следующие средства и функции:

• Get-FileShareInfo Используйте команду из модуля AZSBTools для проверки общих папок на серверах и клиентах.
• Включите путь аудита для входящего доступа SMB с помощью раздела Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Shareреестра. Так как количество событий может быть большим, рассмотрите возможность включения в течение определенного периода времени или использования Azure Monitor.

Изучение журналов SMB позволяет узнать, какие узлы взаимодействуют с конечными точками по протоколу SMB. Вы можете решить, используются ли общие папки конечной точки и понять, какие из них следует существовать.

Настройка брандмауэра Защитника Windows

Используйте правила брандмауэра для добавления дополнительной безопасности подключения. Настройте правила для блокировки входящих и исходящих подключений, включающих исключения. Политика исходящего брандмауэра, которая предотвращает использование подключений SMB как вне, так и внутри управляемой сети, позволяя доступ к минимальному набору серверов, а другие устройства не являются боковой мерой защиты.

Сведения о правилах брандмауэра SMB, которые необходимо задать для входящих и исходящих подключений, см. в статье о поддержке запрета трафика SMB от бокового подключения и ввода или выхода из сети.

Статья о поддержке содержит шаблоны для следующих элементов:

• Правила для входящего трафика, основанные на любом виде сетевого профиля.
• Правила исходящего трафика для частных или доверенных сетей .
• Правила исходящего трафика для гостевых или общедоступных (ненадежных) сетей. Этот шаблон важен для принудительного применения на мобильных устройствах и домашних телекоммуникационных telecommuters, которые не находятся за брандмауэром, блокирующим исходящий трафик. Применение этих правил на ноутбуках снижает вероятность фишинговых атак, которые отправляют пользователей на вредоносные серверы для сбора учетных данных или запуска кода атаки.
• Правила исходящего трафика, содержащие переопределение списка разрешений для контроллеров домена и файловых серверов с именем Allow the connection if secure.

Чтобы использовать проверку подлинности IPSEC null, необходимо создать правило подключения безопасности на всех компьютерах в сети, участвующих в правилах. В противном случае исключения брандмауэра не будут работать, и вы будете блокировать только произвольно.

Чтобы создать правило безопасности подключения, используйте брандмауэр Защитника Windows с панелью управления расширенной безопасностью или оснасткой:

1. В брандмауэре Защитника Windows выберите "Правила безопасности подключения" и выберите новое правило.
2. В поле "Тип правила" выберите "Изоляция" , а затем нажмите кнопку "Далее".
3. В разделе "Требования" выберите "Запрос проверки подлинности для входящих и исходящих подключений " и нажмите кнопку "Далее".
4. В методе проверки подлинности выберите "Компьютер" и "Пользователь" (Kerberos V5) и нажмите кнопку "Далее".
5. В профиле проверьте все профили (домен, частный, общедоступный), а затем нажмите кнопку "Далее".
6. Введите имя правила и нажмите кнопку "Готово".

Помните, что правило безопасности подключения должно быть создано на всех клиентах и серверах, участвующих в правилах для входящих и исходящих подключений, или они будут заблокированы для подключения исходящего трафика SMB. Эти правила уже могут выполняться из других усилий по обеспечению безопасности в вашей среде, а также таких, как правила для входящих и исходящих подключений брандмауэра, можно развернуть с помощью групповой политики.

При настройке правил на основе шаблонов в параметре "Запрет трафика SMB от бокового подключения" и вводе или выходе из статьи о поддержке сети задайте следующее, чтобы настроить подключение при безопасном действии:

1. На шаге "Действие " выберите "Разрешить подключение", если оно безопасно , а затем выберите "Настроить".
2. В разделе "Настройка разрешения, если безопасные параметры" выберите "Разрешить подключение использовать инкапсуляцию null".

Разрешить подключение, если это безопасный параметр, позволяет переопределить глобальное правило блокировки. Вы можете использовать простой, но наименее безопасный параметр разрешить подключению использовать инкапсуляцию null с правилами блокировки *override, которые зависят от kerberos и членства в домене для проверки подлинности. Брандмауэр Защитника Windows позволяет использовать более безопасные параметры, такие как IPSEC.

Дополнительные сведения о настройке брандмауэра см. в разделе "Брандмауэр Защитника Windows" с обзором развертывания Advanced Security.

Обновленные правила брандмауэра

Начиная с Windows 11 версии 24H2 и Windows Server 2025 встроенные правила брандмауэра больше не содержат порты SMB NetBIOS. В более ранних версиях Windows Server при создании общей папки брандмауэр автоматически включил определенные правила в группе общего доступа к файлам и принтерам. В частности, встроенный брандмауэр автоматически использовал входящие порты NetBIOS 137–139. Общие папки, сделанные с помощью SMB2 или более поздней версии, не используют порты NetBIOS 137-139. Если вам нужно использовать сервер SMB1 по устаревшим причинам совместимости, необходимо вручную перенастроить брандмауэр, чтобы открыть эти порты.

Мы внесли это изменение, чтобы улучшить сетевую безопасность. Это изменение приводит к тому, что правила брандмауэра SMB более соответствуют стандартному поведению роли файлового сервера Windows Server. По умолчанию правило брандмауэра открывает только минимальное количество портов, необходимых для общего доступа к данным. Администраторы могут перенастроить правила для восстановления устаревших портов.

Отключите SMB-сервер, если он не используется

Клиенты Windows и некоторые серверы Windows в сети могут не требовать запуска службы SMB Server. Если служба сервера SMB не требуется, ее можно отключить. Перед отключением службы сервера SMB убедитесь, что приложения и процессы на компьютере не требуют службы.

Параметры групповой политики можно использовать для отключения службы на большом количестве компьютеров, когда вы будете готовы к реализации. Дополнительные сведения о настройке параметров групповой политики см. в разделе "Настройка элемента службы".

Тестирование и развертывание с помощью политики

Начните с тестирования с помощью небольших масштабируемых развертываний на выборе серверов и клиентов. Используйте поэтапное развертывание групповой политики для внесения этих изменений. Например, начните с самого сильного пользователя SMB, например собственной ИТ-команды. Если ноутбуки и приложения вашей команды и доступ к общей папке работают хорошо после развертывания правил брандмауэра для входящих и исходящих подключений, создайте тестовую групповую политику в широких средах тестирования и качества обслуживания. На основе результатов запустите выборку некоторых отделальных машин, а затем развернитесь.

Следующие шаги

Просмотр сеанса конференции Ignite Джессики Пейн демистификация брандмауэра Windows