Proteger o tráfego SMB no Windows Server

Como uma medida de defesa em profundidade, você pode usar técnicas de segmentação e isolamento para proteger o tráfego SMB e reduzir as ameaças entre dispositivos em sua rede.

O SMB é usado para compartilhamento de arquivos, impressão e comunicação entre processos, como pipes nomeados e RPC. Ele também é usado como uma malha de dados de rede para tecnologias como Espaços de Armazenamento Diretos, Réplica de Armazenamento, Hyper-V Migração ao Vivo e Volumes Compartilhados de Cluster. Utilize as secções a seguir para configurar a segmentação de tráfego SMB e o isolamento de endpoints para prevenir comunicações de rede externas e laterais.

Bloquear o acesso SMB de entrada

Bloqueie a entrada da porta TCP 445 da Internet em seus firewalls de hardware corporativo. O bloqueio do tráfego SMB de entrada protege os dispositivos dentro da sua rede, impedindo o acesso a partir da Internet.

Se pretender que os utilizadores acedam aos seus ficheiros entrantes na periferia da rede, pode usar SMB sobre QUIC. Isso usa a porta UDP 443 por padrão e fornece um túnel de segurança criptografado TLS 1.3, como uma VPN para tráfego SMB. A solução requer servidores de arquivos Windows 11 e Windows Server 2022 Datacenter: Azure Edition em execução no Azure Local. Para obter mais informações, consulte SMB sobre QUIC.

Bloquear o acesso de saída ao SMB

Bloqueie a porta TCP 445 de saída para a Internet no firewall da sua empresa. O bloqueio do tráfego SMB de saída impede que os dispositivos dentro da sua rede enviem dados usando SMB para a Internet.

É improvável que você precise permitir qualquer SMB de saída usando a porta TCP 445 para a Internet, a menos que você precise dele como parte de uma oferta de nuvem pública. Os cenários principais incluem Arquivos do Azure e Office 365.

Se você estiver usando o Azure Files SMB, use uma VPN para tráfego VPN de saída. Ao usar uma VPN, você restringe o tráfego de saída aos intervalos de IP de serviço necessários. Para obter mais informações sobre a Nuvem do Azure e os intervalos de endereços IP do Office 365, consulte:

• Intervalos de IP do Azure e tags de serviço:

  • nuvem pública
  • nuvem do governo dos EUA
  • Alemanha nuvem
  • Nuvem da China.

  Os arquivos JSON são atualizados semanalmente e incluem controle de versão tanto para o arquivo completo quanto para cada tag de serviço individual. A tag AzureCloud fornece os intervalos de IP para a nuvem (Pública, governo dos EUA, Alemanha ou China) e é agrupada por região dentro dessa nuvem. As marcas de serviço no arquivo aumentarão à medida que os serviços do Azure forem adicionados.

• URLs e intervalos de endereços IP do Office 365.

Com o Windows 11 e o Windows Server 2022 Datacenter: Azure Edition, você pode usar SMB sobre QUIC para se conectar a servidores de arquivos no Azure. Isso usa a porta UDP 443 por padrão e fornece um túnel de segurança criptografado TLS 1.3, como uma VPN para o tráfego SMB. Para obter mais informações, consulte SMB sobre QUIC.

Inventário de uso e compartilhamentos de SMB

Ao inventariar o tráfego SMB da sua rede, obtém uma compreensão do tráfego que está a ocorrer e pode determinar se é necessário. Use a lista de verificação de perguntas a seguir para ajudar a identificar o tráfego SMB desnecessário.

Para pontos finais do servidor:

1. Quais pontos de extremidade de servidor requerem acesso SMB de entrada para desempenhar a sua função? Eles precisam de acesso de entrada de todos os usuários, determinadas redes ou determinados nós?
2. Dos pontos de extremidade de servidor restantes, o acesso SMB de entrada é necessário?

Para terminais de cliente:

1. Quais pontos de extremidade do cliente (por exemplo, Windows 10) exigem acesso SMB de entrada? Eles precisam de acesso de entrada por parte de todos os clientes, de determinadas redes ou de determinados nós?
2. Para os restantes pontos de extremidade do cliente, é necessário o acesso SMB de entrada?
3. Os restantes pontos de extremidade de cliente, precisam executar o serviço de servidor SMB?

Para todos os endpoints, determine se você permite o SMB de saída da maneira mais segura e mínima.

Revise as funções e funcionalidades integradas do servidor que exigem SMB de entrada. Por exemplo, servidores de arquivos e controladores de domínio exigem entrada SMB para desempenhar sua função. Para obter mais informações sobre funções internas e requisitos de porta de rede de recursos, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

Analise os servidores que precisam ser acessados de dentro da rede. Por exemplo, controladores de domínio e servidores de arquivos provavelmente precisam ser acessados em qualquer lugar da rede. No entanto, o acesso ao servidor de aplicativos pode ser limitado a um conjunto de outros servidores de aplicativos na mesma sub-rede. Você pode usar as seguintes ferramentas e recursos para ajudá-lo a inventariar o acesso ao SMB:

• Use o comando Get-FileShareInfo do AZSBTools conjunto de módulos para examinar compartilhamentos em servidores e clientes.
• Habilite uma trilha de auditoria do acesso de entrada SMB usando a chave do Registro Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Como o número de eventos pode ser grande, considere habilitar por um período de tempo especificado ou usar Azure Monitor.

Ao examinar os logs SMB, permite-se saber quais nós estão a comunicar com os pontos de extremidade através de SMB. Você pode decidir se os compartilhamentos de um ponto de extremidade estão em uso e determinar quais devem existir.

Configurar o Firewall do Windows Defender

Use regras de firewall para adicionar segurança de conexão extra. Configure regras para bloquear comunicações de entrada e saída que incluam exceções. Uma política de firewall de saída que impede o uso de conexões SMB fora e dentro de sua rede gerenciada, permitindo o acesso ao conjunto mínimo de servidores e nenhum outro dispositivo, é uma medida lateral de defesa profunda.

Para obter informações sobre as regras de firewall SMB que você precisa definir para conexões de entrada e saída, consulte o artigo de suporte Impedindo o tráfego SMB de conexões laterais e entrando ou saindo da rede.

O artigo de suporte inclui modelos para:

• Regras de entrada baseadas em qualquer tipo de perfil de rede.
• Regras de saída para redes privadas ou de domínio (confiáveis).
• Regras de saída para redes convidadas/públicas (não confiáveis). Este modelo é importante para ser aplicado em dispositivos móveis e em teletrabalhadores domésticos que não estão protegidos por um firewall que bloqueie o tráfego de saída. A aplicação dessas regras em laptops reduz as chances de ataques de phishing que enviam os usuários a servidores mal-intencionados para coletar credenciais ou executar código de ataque.
• Regras de saída que contêm uma substituição de lista de permissões para controladores de domínio e servidores de arquivos chamada Permitir a conexão se estiver segura.

Para usar a autenticação IPSEC de encapsulamento nulo, você deve criar uma regra de Conexão de Segurança em todos os computadores da rede que participam das regras. Caso contrário, as exceções de firewall não funcionarão e você estará bloqueando apenas arbitrariamente.

Atenção

Você deve testar a regra de Conexão de Segurança antes da implementação geral. Uma regra incorreta pode impedir os utilizadores de acederem aos seus dados.

Para criar uma regra de Segurança de Conexão , use o painel de controle do Firewall do Windows Defender com Segurança Avançada ou o snap-in.

1. No Firewall do Windows Defender, selecione Regras de Segurança de Conexão e escolha uma Nova regra.
2. Em Tipo de Regra, selecione Isolamento e selecione Avançar.
3. Em Requisitos, selecione Pedir autenticação para conexões de entrada e saída, e em seguida selecione Próximo.
4. Em Método de Autenticação, selecione Computador e Usuário (Kerberos V5), em seguida, selecione Avançar.
5. No Perfil , verifique todos os perfis (Domínio, Privado, Público) e, em seguida, selecione Seguinte .
6. Introduza um nome para a sua regra e, em seguida, selecione Concluir.

Lembre-se, a regra de Segurança de Conexão deve ser criada em todos os clientes e servidores que participam de suas regras de entrada e saída ou eles serão impedidos de conectar a saída SMB. Essas regras podem já estar em vigor a partir de outros esforços de segurança em seu ambiente e, como as regras de entrada/saída do firewall, podem ser implantadas por meio da política de grupo.

Ao configurar regras com base nos modelos no artigo Impedindo o tráfego SMB de conexões laterais e entrando ou saindo da rede, defina o seguinte para personalizar a ação Permitir a conexão se estiver segura:

1. Na etapa Ação , selecione Permitir a conexão se ela for segura selecione Personalizar.
2. Em Personalizar Permissões em Configurações Seguras, selecione Permitir que a conexão use encapsulamento nulo.

A opção Permitir a conexão se ela for segura permite a substituição de uma regra de bloqueio global. Você pode usar a fácil, mas menos segura Permitir a conexão para usar encapsulamento nulo com regras de bloqueio de substituição, que dependem do Kerberos e da associação de domínio para autenticação. O Firewall do Windows Defender permite opções mais seguras, como o IPSEC.

Para obter mais informações sobre como configurar o firewall, consulte visão geral da implantação do Firewall do Windows Defender com Segurança Avançada.

Regras de firewall atualizadas

A partir do Windows 11, versão 24H2 e Windows Server 2025, as regras de firewall internas não contêm mais as portas SMB NetBIOS. Em versões anteriores do Windows Server, quando você criava um compartilhamento, o firewall habilitava automaticamente determinadas regras no grupo Compartilhamento de Arquivos e Impressoras. Em particular, o firewall integrado usou automaticamente as portas NetBIOS de entrada 137 a 139. Compartilhamentos feitos com SMB2 ou posterior não usam as portas NetBIOS 137-139. Se você precisar usar um servidor SMB1 por motivos de compatibilidade herdada, deverá reconfigurar manualmente o firewall para abrir essas portas

Fizemos essa alteração para melhorar a segurança da rede. Essa alteração torna as regras de firewall SMB mais alinhadas com o comportamento padrão para a função de Servidor de Arquivos do Windows Server. Por padrão, a regra de firewall abre apenas o número mínimo de portas necessárias para compartilhar dados. Os administradores podem reconfigurar as regras para restaurar as portas herdadas.

Desative o servidor SMB se não for usado

Os clientes Windows e alguns dos seus Servidores Windows na rede podem não necessitar que o serviço Servidor SMB esteja em execução. Se o serviço SMB Server não for necessário, você poderá desativá-lo. Antes de desativar o serviço SMB Server, certifique-se de que nenhum aplicativo e processo no computador exija o serviço.

Você pode usar as Preferências de Política de Grupo para desabilitar o serviço em um grande número de máquinas quando estiver pronto para implementar. Para obter mais informações sobre como configurar as Preferências de Política de Grupo, consulte Configurar um Item de Serviço.

Testar e implantar usando política

Comece testando usando implantações manuais de pequena escala em servidores e clientes selecionados. Utilize implementações graduais de políticas de grupo para fazer essas alterações. Por exemplo, comece com o usuário mais pesado do SMB, como sua própria equipe de TI. Se os laptops e aplicativos da sua equipe e o acesso ao compartilhamento de arquivos funcionarem bem depois de implantar suas regras de firewall de entrada e saída, crie uma política de grupo de teste em seus ambientes de teste e controle de qualidade amplos. Com base nos resultados, comece a amostragem de algumas máquinas departamentais e, em seguida, expanda-a.

Próximos passos

Assista à sessão da conferência Ignite de Jessica Payne Desmistificando o Firewall do Windows