Skydda SMB-trafik i Windows Server

Som ett djupskyddsmått kan du använda segmenterings- och isoleringstekniker för att skydda SMB-trafik och minska hoten mellan enheter i nätverket.

SMB används för fildelning, utskrift och kommunikation mellan processer, till exempel namngivna pipes och RPC. Den används också som en nätverksdatainfrastruktur för tekniker som Storage Spaces Direct, Storage Replica, Hyper-V Live Migration och Cluster Shared Volumes. Använd följande avsnitt för att konfigurera SMB-trafiksegmentering och slutpunktsisolering för att förhindra utgående och lateral nätverkskommunikation.

Blockera inkommande SMB-åtkomst

Blockera TCP-port 445 inkommande från Internet i företagets maskinvarubrandväggar. Blockera inkommande SMB-trafik skyddar enheter i nätverket genom att förhindra åtkomst från Internet.

Om du vill att användarna ska få åtkomst till sina filer inkommande i utkanten av nätverket kan du använda SMB via QUIC. Detta använder UDP-port 443 som standard och tillhandahåller en TLS 1.3-krypterad säkerhetstunnel som ett VPN för SMB-trafik. Lösningen kräver Windows 11 och Windows Server 2022 Datacenter: Azure Edition-filservrar som körs på Azure Local. För mer information, se SMB över QUIC.

Blockera utgående SMB-åtkomst

Blockera TCP-port 445 utgående till Internet i företagets brandvägg. Om du blockerar utgående SMB-trafik hindras enheter i nätverket från att skicka data med hjälp av SMB till Internet.

Det är osannolikt att du behöver tillåta utgående SMB med TCP-port 445 till Internet om du inte behöver det som en del av ett offentligt molnerbjudande. De primära scenarierna är Azure Files och Office 365.

Om du använder Azure Files SMB använder du ett VPN för utgående VPN-trafik. Genom att använda ett VPN begränsar du den utgående trafiken till de ip-intervall som krävs för tjänsten. Mer information om IP-adressintervall för Azure Cloud och Office 365 finns i:

• Azure IP-intervall och tjänsttaggar:

  • offentliga moln
  • moln för amerikanska myndigheter
  • Molnmoln i Tyskland
  • Moln i Kina.

  JSON-filerna uppdateras varje vecka och innehåller versionshantering både för den fullständiga filen och varje enskild tjänsttagg. Taggen AzureCloud tillhandahåller IP-intervallen för molnet (offentliga myndigheter, amerikanska myndigheter, Tyskland eller Kina) och grupperas efter region i molnet. Tjänsttaggar i filen ökar när Azure-tjänster läggs till.

• Office 365 URL:er och IP-adressområden.

Med Windows 11 och Windows Server 2022 Datacenter: Azure Edition kan du använda SMB via QUIC för att ansluta till filservrar i Azure. Detta använder UDP-port 443 som standard och tillhandahåller en TLS 1.3-krypterad säkerhetstunnel som ett VPN för SMB-trafiken. För mer information, se SMB över QUIC.

Inventering av SMB-användning och -delningar

Genom att inventera nätverkets SMB-trafik får du en förståelse för trafik som inträffar och kan avgöra om det är nödvändigt. Använd följande checklista med frågor för att identifiera onödig SMB-trafik.

För serverslutpunkter:

1. Vilka serverslutpunkter kräver inkommande SMB-åtkomst för att utföra sin roll? Behöver de inkommande åtkomst från alla klienter, vissa nätverk eller vissa noder?
2. Är inkommande SMB-åtkomst nödvändig för de återstående serverslutpunkterna?

För klientslutpunkter:

1. Vilka klientslutpunkter (till exempel Windows 10) kräver inkommande SMB-åtkomst? Behöver de inkommande åtkomst från alla klienter, vissa nätverk eller vissa noder?
2. Är inkommande SMB-åtkomst nödvändig för de återstående klientslutpunkterna?
3. Behöver de köra SMB-servertjänsten av de återstående klientslutpunkterna?

För alla slutpunkter avgör du om du tillåter utgående SMB på det säkraste och mest minimala sättet.

Granska inbyggda roller och funktioner för servern som kräver inkommande SMB. Till exempel kräver filservrar och domänkontrollanter inkommande SMB för att utföra sin roll. Mer information om inbyggda roller och krav på funktionsnätverksport finns i Service-översikt och krav på nätverksportar för Windows.

Granska servrar som måste nås inifrån nätverket. Till exempel behöver domänkontrollanter och filservrar troligen nås var som helst i nätverket. Åtkomsten till programservern kan dock begränsas till en uppsättning andra programservrar i samma undernät. Du kan använda följande verktyg och funktioner för att inventera SMB-åtkomst:

• Använd kommandot Get-FileShareInfo från modulen AZSBTools för att undersöka resurser på servrar och klienter.
• Aktivera en spårningslogg för inkommande SMB-åtkomst med hjälp av registernyckeln Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Eftersom antalet händelser kan vara stort kan du överväga att aktivera under en angiven tid eller använda Azure Monitor-.

Genom att undersöka SMB-loggar kan du veta vilka noder som kommunicerar med slutpunkter via SMB. Du kan bestämma om en slutpunkts resurser används och förstå vilka som ska finnas.

Konfigurera Windows Defender-brandväggen

Använd brandväggsregler för att lägga till extra anslutningssäkerhet. Konfigurera regler för att blockera både inkommande och utgående kommunikation som innehåller undantag. En utgående brandväggsprincip som förhindrar användning av SMB-anslutningar både utanför och i det hanterade nätverket samtidigt som åtkomst till den minsta uppsättningen servrar och inga andra enheter tillåts är ett lateralt skydd på djupet.

Information om de SMB-brandväggsregler som du behöver ange för inkommande och utgående anslutningar finns i supportartikeln Förhindra SMB-trafik från laterala anslutningar och ange eller lämna nätverket.

Supportartikeln innehåller mallar för:

• Regler för inkommande trafik som baseras på alla typer av nätverksprofiler.
• Regler för utgående trafik för privata/domänbaserade (betrodda) nätverk.
• Utgående regler för gäst-/offentliga (ej betrodda) nätverk. Den här mallen är viktig att tillämpa på mobila enheter och hembaserade distansarbetare som inte befinner sig bakom en brandvägg som blockerar utgående trafik. Om du tillämpar dessa regler på bärbara datorer minskar oddsen för nätfiskeattacker som skickar användare till skadliga servrar för att hämta autentiseringsuppgifter eller köra attackkod.
• Regler för utgående trafik som innehåller en åsidosättning allowlist- för domänkontrollanter och filservrar med namnet Tillåt anslutningen om den är säker.

Om du vill använda IPSEC-autentisering med null-inkapsling måste du skapa en regel för säkerhetsanslutning på alla datorer i nätverket som deltar i reglerna. Annars fungerar inte undantag för brandväggen och du blockerar bara godtyckligt.

Försiktighet

Du bör testa regeln för säkerhetsanslutning före bred distribution. En felaktig regel kan hindra användare från att komma åt sina data.

Om du vill skapa en regel för anslutningssäkerhet använder du Windows Defender-brandväggen med kontrollpanelen 'Avancerad säkerhet' eller snap-in modulen.

1. I Windows Defender-brandväggen väljer du Anslutningssäkerhetsregler och väljer en Ny regel.
2. I regeltypväljer du Isolering och väljer sedan Nästa.
3. Under Krav, välj Begär autentisering för inkommande och utgående anslutningar, välj sedan Nästa.
4. I autentiseringsmetodväljer du dator och användare (Kerberos V5) och väljer sedan Nästa.
5. I Profilkontrollerar du alla profiler (Domän, Privat, Offentlig) och väljer sedan Nästa.
6. Ange ett namn på regeln och välj sedan Slutför.

Kom ihåg att anslutningssäkerhetsregeln måste skapas på alla klienter och servrar som deltar i dina regler för inkommande och utgående trafik, annars blockeras de från att ansluta SMB-utgående trafik. Dessa regler kan redan finnas på plats från andra säkerhetsinsatser i din miljö och kan, precis som brandväggens regler för inkommande/utgående trafik, distribueras via en grupprincip.

När du konfigurerar regler baserat på mallarna i Förhindra SMB-trafik från laterala anslutningar och inträder eller lämnar nätverket supportartikeln, ställ in följande för att anpassa Tillåt anslutningen om den är säker åtgärden:

1. I steget Åtgärd väljer du Tillåt anslutningen om den är säker välj sedan Anpassa.
2. I Anpassa Tillåt om säkra inställningarväljer du Tillåt att anslutningen använder null-inkapsling.

Alternativet Tillåt anslutningen om den är säker tillåter åsidosättning av en global blockregel. Du kan använda det enkla men minst säkra alternativet Tillåt anslutningen att använda inkapsling utan säkerhet med regler för åsidosättningsblock, som förlitar sig på Kerberos och domänmedlemskap för autentisering. Windows Defender-brandväggen möjliggör säkrare alternativ som IPSEC.

Mer information om hur du konfigurerar brandväggen finns i Windows Defender-brandväggen med översikt över avancerad säkerhetsdistribution.

Uppdaterade brandväggsregler

Från och med Windows 11, version 24H2 och Windows Server 2025 innehåller de inbyggda brandväggsreglerna inte längre SMB NetBIOS-portarna. I tidigare versioner av Windows Server aktiverade brandväggen automatiskt vissa regler i gruppen Fil- och skrivardelning när du skapade en resurs. I synnerhet använder den inbyggda brandväggen automatiskt inkommande NetBIOS-portar 137 till 139. Delningar som görs med SMB2 eller senare använder inte NetBIOS-portarna 137-139. Om du behöver använda en SMB1-server av äldre kompatibilitetsskäl måste du konfigurera om brandväggen manuellt för att öppna dessa portar

Vi har gjort den här ändringen för att förbättra nätverkssäkerheten. Den här ändringen gör SMB-brandväggsregler mer i linje med standardbeteendet för Windows Server Filserver roll. Som standard öppnar brandväggsregeln bara det minsta antal portar som krävs för att dela data. Administratörer kan konfigurera om reglerna för att återställa de äldre portarna.

Inaktivera SMB-server om den inte används

Windows-klienter och vissa av dina Windows-servrar i nätverket kanske inte kräver att SMB Server-tjänsten körs. Om SMB Server-tjänsten inte krävs kan du inaktivera tjänsten. Innan du inaktiverar SMB Server-tjänsten måste du se till att inga program och processer på datorn kräver tjänsten.

Du kan använda grupprincipinställningar för att inaktivera tjänsten på ett stort antal datorer när du är redo att implementera. Mer information om hur du konfigurerar grupprincipinställningar finns i Konfigurera ett tjänstobjekt.

Testa och distribuera med hjälp av en policy

Börja med att testa med småskaliga, handgjorda distributioner på utvalda servrar och klienter. Använd stegvisa gruppolicydistributioner för dessa ändringar. Börja till exempel med den tyngsta användaren av SMB, till exempel ditt eget IT-team. Om teamets bärbara datorer och appar och filresursåtkomst fungerar bra när du har distribuerat dina regler för inkommande och utgående brandvägg skapar du en testgruppsprincip i dina breda test- och QA-miljöer. Baserat på resultaten, börja med att testa vissa avdelningsdatorer och expandera därefter vidare.

Nästa steg

Titta på Jessica Paynes Ignite-konferenssession Avmystifiera Windows-brandväggen