Windows Server에서 SMB 트래픽을 보호

심층 방어 방법으로 세분화 및 격리 기술을 사용하여 SMB 트래픽을 보호하고 네트워크의 디바이스 간 위협을 줄일 수 있습니다.

SMB는 명명된 파이프 및 RPC와 같은 파일 공유, 인쇄 및 프로세스 간 통신에 사용됩니다. 또한 저장소 공간 Direct, 스토리지 복제본, Hyper-V 실시간 마이그레이션 및 클러스터 공유 볼륨과 같은 기술에 대한 네트워크 데이터 패브릭으로도 사용됩니다. 다음 섹션을 사용하여 아웃바운드 및 횡적 네트워크 통신을 방지하기 위해 SMB 트래픽 구분 및 엔드포인트 격리를 구성합니다.

인바운드 SMB 액세스 차단

회사 하드웨어 방화벽에서 인터넷에서 TCP 포트 445 인바운드를 차단합니다. 인바운드 SMB 트래픽을 차단하면 인터넷에서의 액세스를 차단하여 네트워크 내의 디바이스를 보호합니다.

사용자가 네트워크 가장자리에서 인바운드 파일에 액세스하도록 하려면 QUIC를 통해 SMB를 사용할 수 있습니다. 기본적으로 UDP 포트 443을 사용하며 SMB 트래픽에 대한 VPN과 같은 TLS 1.3 암호화 보안 터널을 제공합니다. 이 솔루션에는 Windows 11 및 Windows Server 2022 Datacenter: Azure Local에서 실행되는 Azure Edition 파일 서버가 필요합니다. 자세한 내용은 QUIC 넘어 SMB를 참조하세요.

아웃바운드 SMB 액세스 차단

회사 방화벽에서 인터넷에 대한 TCP 포트 445 아웃바운드를 차단합니다. 아웃바운드 SMB 트래픽을 차단하면 네트워크 내의 디바이스가 SMB를 사용하여 인터넷에 데이터를 전송하지 못하게 됩니다.

퍼블릭 클라우드 제품의 일부로 요구하지 않는 한 TCP 포트 445를 사용하여 인터넷에 아웃바운드 SMB를 허용할 필요가 없습니다. 기본 시나리오에는 Azure Files 및 Office 365가 포함됩니다.

Azure Files SMB를 사용하는 경우 아웃바운드 VPN 트래픽에 VPN을 사용합니다. VPN을 사용하여 아웃바운드 트래픽을 필요한 서비스 IP 범위로 제한합니다. Azure Cloud 및 Office 365 IP 주소 범위에 대한 자세한 내용은 다음을 참조하세요.

• Azure IP 범위 및 서비스 태그:

  • 퍼블릭 클라우드
  • 미국 정부 클라우드
  • 독일 클라우드
  • 중국 클라우드

  JSON 파일은 매주 업데이트되며 전체 파일 및 각 개별 서비스 태그에 대한 버전 관리가 포함됩니다. AzureCloud 태그는 클라우드(퍼블릭, 미국 정부, 독일 또는 중국)에 대한 IP 범위를 제공하며 해당 클라우드 내의 지역별로 그룹화됩니다. Azure 서비스가 추가되면 파일의 서비스 태그가 증가합니다.

• Office 365 URL 및 IP 주소 범위.

Windows 11 및 Windows Server 2022 Datacenter: Azure Edition을 사용하면 QUIC를 통해 SMB를 사용하여 Azure의 파일 서버에 연결할 수 있습니다. 기본적으로 UDP 포트 443을 사용하며 SMB 트래픽에 대한 VPN과 같은 TLS 1.3 암호화 보안 터널을 제공합니다. 자세한 내용은 QUIC 넘어 SMB를 참조하세요.

인벤토리 SMB 사용량 및 공유

네트워크의 SMB 트래픽을 인벤토리화하면 발생하는 트래픽을 파악하고 필요한지 확인할 수 있습니다. 다음 질문 검사 목록을 사용하여 불필요한 SMB 트래픽을 식별할 수 있습니다.

서버 엔드포인트에 대해

1. 역할을 수행하려면 인바운드 SMB 액세스가 필요한 서버 엔드포인트는 무엇입니까? 모든 클라이언트, 특정 네트워크 또는 특정 노드에서 인바운드 액세스가 필요한가요?
2. 나머지 서버 엔드포인트 중 인바운드 SMB 액세스가 필요한가요?

클라이언트 엔드포인트에 대해

1. 인바운드 SMB 액세스가 필요한 클라이언트 엔드포인트(예: Windows 10)는 무엇입니까? 모든 클라이언트, 특정 네트워크 또는 특정 노드에서 인바운드 액세스가 필요한가요?
2. 나머지 클라이언트 엔드포인트 중 인바운드 SMB 액세스가 필요한가요?
3. 나머지 클라이언트 엔드포인트 중 SMB 서버 서비스를 실행해야 합니까?

모든 엔드포인트에 대해 가장 안전하고 최소한의 방식으로 아웃바운드 SMB를 허용하는지 확인합니다.

SMB 인바운드가 필요한 서버 기본 제공 역할 및 기능을 검토합니다. 예를 들어 파일 서버 및 도메인 컨트롤러는 역할을 수행하려면 SMB 인바운드가 필요합니다. 기본 제공 역할 및 기능 네트워크 포트 요구 사항에 대한 자세한 내용은 Windows의 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

네트워크 내에서 액세스해야 하는 서버를 검토합니다. 예를 들어 도메인 컨트롤러 및 파일 서버는 네트워크의 어디에서나 액세스해야 할 수 있습니다. 그러나 애플리케이션 서버 액세스는 동일한 서브넷에 있는 다른 애플리케이션 서버 집합으로 제한될 수 있습니다. 다음 도구와 기능을 사용하여 SMB 액세스를 인벤토리로 만들 수 있습니다.

• Get-FileShareInfo 모듈 집합의 명령을 사용하여 서버 및 클라이언트에서 공유를 검사합니다.
• 레지스트리 키를 사용한 SMB 인바운드 액세스의 감사 내역Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share을 사용하도록 설정합니다. 이벤트 수가 클 수 있으므로 지정된 시간 동안 사용하도록 설정하거나 Azure Monitor를 사용하는 것이 좋습니다.

SMB 로그를 검사하면 SMB를 통해 엔드포인트와 통신하는 노드를 알 수 있습니다. 엔드포인트의 공유가 사용 중인지 여부를 결정하고 존재할 대상을 파악할 수 있습니다.

Windows Defender 방화벽을 구성

방화벽 규칙을 사용하여 추가 연결 보안을 추가합니다. 예외를 포함하는 인바운드 및 아웃바운드 통신을 모두 차단하도록 규칙을 구성합니다. 관리되는 네트워크 외부 및 내부에서 SMB 연결을 사용하지 못하게 하는 아웃바운드 방화벽 정책으로, 최소 서버 집합에 대한 액세스를 허용하고 다른 디바이스는 횡적 방어 심층 측정값이 아닙니다.

인바운드 및 아웃바운드 연결에 대해 설정해야 하는 SMB 방화벽 규칙에 대한 자세한 내용은 횡적 연결에서 SMB 트래픽을 방지하고 네트워크에 진입하거나 나가기 지원 문서를 참조하세요.

지원 문서에는 다음에 대한 템플릿이 포함되어 있습니다.

• 모든 종류의 네트워크 프로필을 기반으로 하는 인바운드 규칙입니다.
• 프라이빗/도메인(신뢰할 수 있는) 네트워크에 대한 아웃바운드 규칙입니다.
• 게스트/공용(신뢰할 수 없는) 네트워크에 대한 아웃바운드 규칙입니다. 이 템플릿은 아웃바운드 트래픽을 차단하는 방화벽 뒤에 있지 않은 모바일 디바이스 및 홈 기반 텔레콤뮤터에 적용하는 데 중요합니다. 노트북에 이러한 규칙을 적용하면 사용자를 악성 서버로 보내 자격 증명을 수집하거나 공격 코드를 실행하는 피싱 공격의 확률이 줄어듭니다.
• 도메인 컨트롤러 및 파일 서버에 대한 재정의 허용 목록을 포함하는 아웃바운드 규칙(안전한 경우 연결 허용).

Null 캡슐화 IPSEC 인증을 사용하려면 규칙에 참여하는 네트워크의 모든 컴퓨터에 보안 연결 규칙을 만들어야 합니다. 그렇지 않으면 방화벽 예외가 작동하지 않으며 임의로만 차단됩니다.

주의

광범위한 배포 전에 보안 연결 규칙을 테스트해야 합니다. 잘못된 규칙으로 인해 사용자가 데이터에 액세스하지 못할 수 있습니다.

연결 보안 규칙을 만들 려면 고급 보안 제어판 또는 스냅인에서 Windows Defender 방화벽을 사용합니다.

1. Windows Defender 방화벽에서 연결 보안 규칙을 선택하고 새 규칙을 선택합니다.
2. 규칙 유형에서 격리를 선택한 다음, 다음을 선택합니다.
3. 요구 사항에서 인바운드 및 아웃바운드 연결에 대한 인증 요청을 선택한 다음, 다음을 선택합니다.
4. 인증 방법에서 컴퓨터 및 사용자(Kerberos V5)를 선택한 다음, 다음을 선택합니다.
5. 프로필에서 모든 프로필(도메인, 프라이빗, 공용)을 확인한 다음, 다음을 선택합니다.
6. 규칙 이름을 입력한 다음 마침을 선택합니다.

연결 보안 규칙은 인바운드 및 아웃바운드 규칙에 참여하는 모든 클라이언트 및 서버에 만들어야 합니다. 그렇지 않으면 SMB 아웃바운드 연결이 차단됩니다. 이러한 규칙은 사용자 환경의 다른 보안 작업에서 이미 시행되고 있으며 방화벽 인바운드/아웃바운드 규칙과 마찬가지로 그룹 정책을 통해 배포할 수 있습니다.

횡적 연결에서 SMB 트래픽 방지의 템플릿을 기반으로 규칙을 구성하고 네트워크 지원 문서를 입력하거나 나가는 경우 다음을 설정하여 보안 작업이 수행되면 연결 허용을 사용자 지정합니다.

1. 작업 단계에서 안전한 경우 연결 허용을 선택한 다음 사용자 지정을 선택합니다.
2. 보안 설정인 경우 허용 사용자 지정에서 연결에서 null 캡슐화를 사용하도록 허용을 선택합니다.

보안인 경우 연결 허용 옵션은 전역 블록 규칙의 재정의를 허용합니다. 쉽지만 안전 하지 않은 인증을 위해 Kerberos 및 도메인 멤버 자격을 사용하는 *재정의 블록 규칙과 함께 연결이 null 캡슐화를 사용하도록 허용합니다. Windows Defender 방화벽을 사용하면 IPSEC와 같은 더 안전한 옵션을 사용할 수 있습니다.

방화벽을 구성하는 방법에 대한 자세한 내용은 고급 보안 배포 개요가 설정된 Windows 방화벽을 참조하세요.

업데이트된 방화벽 규칙

Windows 11, 버전 24H2 및 Windows Server 2025부터 기본 제공 방화벽 규칙에는 더 이상 SMB NetBIOS 포트가 포함되지 않습니다. 이전 버전의 Windows Server에서는 공유를 만들 때 방화벽에서 파일 및 프린터 공유 그룹의 특정 규칙을 자동으로 사용하도록 설정했습니다. 특히 기본 제공 방화벽은 인바운드 NetBIOS 포트 137~139를 자동으로 사용합니다. SMB2 이상으로 만든 공유는 NetBIOS 포트 137-139를 사용하지 않습니다. 레거시 호환성을 위해 SMB1 서버를 사용해야 하는 경우 방화벽을 수동으로 다시 구성하여 해당 포트를 열어야 합니다.

네트워크 보안을 개선하기 위해 이 변경을 수행했습니다. 이 변경은 Windows Server 파일 서버 역할에 대한 표준 동작에 따라 SMB 방화벽 규칙을 더 많이 제공합니다. 기본적으로 방화벽 규칙은 데이터 공유에 필요한 최소 포트 수만 엽니다. 관리자는 레거시 포트를 복원하는 규칙을 다시 구성할 수 있습니다.

사용하지 않는 경우 SMB 서버 사용 안 함

Windows 클라이언트 및 네트워크의 일부 Windows Server는 SMB 서버 서비스를 실행하지 않아도 될 수 있습니다. SMB 서버 서비스가 필요하지 않은 경우 서비스를 사용하지 않도록 설정할 수 있습니다. SMB Server 서비스를 사용하지 않도록 설정하기 전에 컴퓨터의 애플리케이션 및 프로세스에 서비스가 필요하지 않은지 확인합니다.

구현할 준비가 되면 그룹 정책 기본 설정을 사용하여 많은 수의 컴퓨터에서 서비스를 사용하지 않도록 설정할 수 있습니다. 그룹 정책 기본 설정을 구성하는 방법에 대한 자세한 내용은 서비스 항목 구성을 참조 하세요.

정책을 사용하여 테스트 및 배포

먼저 선택한 서버 및 클라이언트에서 소규모의 수작업 배포를 사용하여 테스트합니다. 단계별 그룹 정책 롤아웃을 사용하여 변경합니다. 예를 들어 SMB의 가장 무거운 사용자(예: 사용자 고유의 IT 팀)로 시작합니다. 인바운드 및 아웃바운드 방화벽 규칙을 배포한 후 팀의 랩톱 및 앱 및 파일 공유 액세스가 제대로 작동하는 경우 광범위한 테스트 및 QA 환경 내에서 테스트 그룹 정책을 만듭니다. 결과에 따라 일부 부서별 머신 샘플링을 시작한 다음 확장합니다.

다음 단계

Windows 방화벽을 신비화하는 제시카 페인의 Ignite 컨퍼런스 세션 시청