在 Windows Server 中保護 SMB 流量。

作為深度防禦措施，您可以使用分割和隔離技術來保護 SMB 流量，減少網路上設備之間的威脅。

SMB 用於文件共享、影印以及名稱管道和 RPC 的進程間通訊。 它也被用作技術的網路數據基礎設施，例如 Storage Spaces Direct、Storage Replica、Hyper-V Live Migration和 Cluster Shared Volumes.。 使用以下部分來配置 SMB 流量分割和端點隔離，以幫助防止外部和橫向網路通訊。

阻止 SMB 造訪內部。

在您企業的硬體防火牆上，阻止來自網路的 TCP 端口 445 造訪。 阻止內部 SMB 流量可以透過防止來自網路的造訪來保護網路內的設備。

如果您希望使用者在您網路的邊緣處內部造訪他們的文件，您可以使用透過 QUIC 的 SMB。 這將預設使用 UDP 端口 443，並提供一個像 VPN 一樣的 TLS 1.3 加密安全通道，用於 SMB 流量。 此解決方案需要 Windows 11 和 Windows Server 2022 Datacenter：在 Azure 本機上執行的 Azure Edition 檔伺服器。 更多詳細資訊請參閱基於 QUIC 的 SMB .

阻止外部 SMB 訪問。

在您企業的防火牆上，阻止 TCP 端口 445 外部連結到網路。 阻止外部 SMB 流量可以防止您網路內的設備使用 SMB 向網路發送數據。

除非您需要將其作為公共雲端服務的一部分，否則您不太可能需要允許任何使用 TCP 端口 445 到網路的外部 SMB。 主要情境包括 Azure Files 和 Office 365。

如果您正在使用 Azure Files SMB，請使用 VPN 進行外部 VPN 流量。 透過使用 VPN，您可以將外部流量限制在所需的服務 IP 範圍內。 如需 Azure 雲端和 Office 365 IP 位址範圍的詳細資訊，請參閱：

• Azure IP 範圍和服務標籤：

  • 公用雲端
  • 美國政府雲端
  • 德國雲端
  • 中國雲端.

  JSON 檔案會每周更新，並包含完整檔案和每個個別服務標籤的版本設定。 此 AzureCloud 標籤提供雲端的 IP 範圍（公共、美國政府、德國或中國），並按區域內的區域區分雲端。 隨著 Azure 服務的增加，檔案中的服務標籤將會增加。

• Office 365 URL 和 IP 位址範圍。

使用 Windows 11 和 Windows Server 2022 Datacenter：Azure 版，您可以透過基於 QUIC 的 SMB 連接到 Azure 中的檔案伺服器。 這將使用預設UDP 端口 443，並提供類似 VPN 的 TLS 1.3 加密安全通道，用於 SMB 流量。 更多詳細資訊請參閱基於 QUIC 的 SMB .

盤點 SMB 使用情況和共享。

透過盤點您網路中的 SMB 流量，您可以了解正在發生的流量並確定其是否必要。 使用以下問題清單來幫助辨識不必要的 SMB 流量。

針對伺服器端點：

1. 哪些伺服器端點需要內部 SMB 造訪以履行其角色？ 它們是否需要來自所有客戶端、特定網路或特定節點的內部造訪？
2. 在剩下的伺服器端點中，是否需要內部 SMB 造訪？

針對客戶端端點：

1. 哪些客戶端端點（例如，Windows 10）需要內部 SMB 造訪？ 它們是否需要來自所有客戶端、特定網路或特定節點的內部造訪？
2. 在剩下的客戶端端點中，是否需要內部 SMB 造訪？
3. 在剩下的客戶端端點中，它們是否需要執行 SMB 伺服器服務？

對於所有端點，確定您是否以最安全和最簡單的方式允許外部 SMB。

審查需要內部 SMB 的伺服器內建角色和功能。 例如，檔案伺服器和域控制器需要內部 SMB 以履行其角色。 有關內建角色和功能網路連接埠要求的更多資訊，請參閱 Windows 的服務概述和網路連接埠需求。

審查需要從內部網路造訪的伺服器。 例如，區域控制器和檔案伺服器可能需要在網路中的任何地方進行造訪。 然而，應用伺服器的造訪可能僅限於同一子網域上的一組其他應用伺服器。 您可以使用以下工具和功能來幫助您盤點 SMB 造訪：

• 使用Get-FileShareInfo來自的命令將模組集用於檢查伺服器和使用者端上的共用。
• 啟用 SMB 內部造訪審核追蹤使用註冊表項Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. 由於事件數量可能很大，請考慮啟用指定的時間或使用 Azure Monitor .

檢查 SMB 日誌可以讓您了解哪些節點正在透過 SMB 與端點進行通訊。 您可以判斷端點的共享是否正在使用，並了解存在哪些共享。

Configure Windows Defender Firewall

使用防火牆規則增加額外的連接安全性。 配置規則以阻止包含例外情況的內部和外部通訊。 一個外部防火牆策略，可以阻止在您管理的網路內外使用 SMB 連接，同時允許對最小一組伺服器的造訪，而不允許對其他設備的造訪，這是一種橫向深度防禦措施。

有關需要為內部和外部連接設置的 SMB 防火牆規則的資訊，請參閱支援的文章防止 SMB 流量橫向連接以及進入或離開網路。

該支援的文章包括以下模板：

• 基於任何種類的網路配置文件的內部規則。
• 私有/區域（可信任）網路的外部規則。
• 訪客/公共（不受信任）網路的外部規則。 這個模板對於在您的防火牆後面沒有阻止外部流量的移動設備和居家遠距工作者是很重要的。 對筆記型電腦實施這些規則可降低針對使用者的釣魚攻擊的風險，這些攻擊引導使用者至惡意伺服器以收集憑證或執行攻擊代碼。
• 包含覆蓋的外部規則用於名為的網域控制站與檔案伺服器在安全的情況下允許連接。

要使用空封裝的 IPSEC 驗證，您必須在參與這些規則的網路中的所有計算機上建立一個安全連接規則。 否則，防火牆例外將不起作用，您只會任意地阻擋連接。

警告

在廣泛部署之前，應該測試安全連接規則。 一個不正確的規則可能會阻止使用者造訪其數據。

建立 Connection Security 規則，使用具有 Advanced Security 控制面板或管理單元的 Windows Defender Firewall：

1. 在Windows Defender Firewall 中，選擇 Connection Security Rules 並選擇 New rule。
2. 在 Rule Type 選擇 Isolation 然後選擇 Next。
3. 在 Requirements選擇請求內部和外部連接身份驗證然後選擇Next。
4. 在 Authentication Method 選擇 Computer and User (Kerberos V5) 然後選擇Next。
5. 在 Profile 檢查所有設定檔(Domain、Private、Public )然後選擇 Next。
6. 輸入規則的名稱，然後選擇 Finish。

請記住，Connection Security 規則必須在參與內部和外部規則的所有客戶端和伺服器上建立，否則它們將被阻止連接 SMB 外部。 這些規則可能已經存在於您情境中的其他安全功能中，而且與防火牆的內部/外部規則一樣，可以透過群組策略進行設置。

根據中的範本配置規則時，防止 SMB 流量經由橫向連線進入或離開網路支援文章，設定以下內容來自訂在安全的情況下允許連接操作：

1. 在 Action步驟，選擇如果安全，則允許連接然後選擇 Customize 。
2. 在Secure Settings 下 Customize Allow 選擇允許連接使用空封裝。

如果安全，則允許連接選項允許覆蓋全域阻止規則。 您可以使用簡單但最不安全的允許連接使用空封裝有*覆蓋區塊規則，依賴 Kerberos 和網域會員驗證。 Windows Defender 防火牆允許使用 IPSEC 等更安全的選項。

有關設置防火牆的詳細資訊，請參閱具有 Advanced Security 的 Windows Defender Firewall 設置概述。

已更新防火牆規則

從 Windows 11 版本 24H2 和 Windows Server 2025 開始，內建防火牆規則不再包含 SMB NetBIOS 連接埠。 在舊版 Windows Server 中，當您建立共用時，防火牆會自動啟用檔案和列印機共用群組中的特定規則。 特別是內建防火牆會自動使用輸入 NetBIOS 連接埠 137 到 139。 使用 SMB2 或更高版本建立的共用不會使用 NetBIOS 連接埠 137-139。 如果出於舊版相容性原因需要使用 SMB1 伺服器，則必須手動重新設定防火牆以開啟這些連接埠

我們進行了這項變更，以改善網路安全性。 這項變更讓 SMB 防火牆規則更符合 Windows Server 檔案伺服器角色的標準行為。 根據預設，防火牆規則只會開啟共用資料所需的最小數量的連接埠。 系統管理員可以重新設定規則以恢復舊版連接埠。

停用未使用的 SMB 伺服器

您網路上的 Windows 客戶端和一些 Windows 伺服器可能無需執行 SMB 伺服器服務。 如果不需要 SMB 伺服器服務，您可以禁用該服務。 在禁用 SMB 伺服器服務之前，請確保電腦上沒有應用程序和進程需要使用該服務。

當您準備執行時，您可以使用 Group Policy Preferences 來在大量機器上禁用該服務。 有關設置 Group Policy Preferences 的詳細資訊，請參閱Configure a Service Item 。

使用策略進行測試和設置。

首先，從在選定的伺服器和客戶端上進行小規模手動設置的測試開始。 使用分階段的群組策略推出來進行這些更改。 例如，從使用 SMB 最頻繁的使用者開始，比如您的 IT 團隊。 如果在設置內部和外部防火牆規則後，您的團隊的筆記型電腦、應用程式和文件共享造訪執行正常，則在您的廣泛測試和 QA 環境中建立測試群組策略。 根據結果，開始對一些部門的機器進行抽樣測試，然後逐漸擴大範圍。

下一步

請觀看 Jessica Payne 的 Ignite 會議 Demystifying the Windows Firewall