Schützen des SMB-Datenverkehrs auf Windows Server

Zur Tiefgehenden Verteidigung können Sie Segmentierungs- und Isolationstechniken verwenden, um SMB-Datenverkehr zu schützen und Bedrohungen zwischen Geräten in Ihrem Netzwerk zu verringern.

SMB wird für Dateifreigabe, Druck und prozessübergreifende Kommunikation wie Named Pipes und RPC verwendet. Es wird auch als Netzwerk-Data Fabric für Technologien wie Speicherplätze Direct, Storage Replica, Hyper-V Livemigration und Freigegebene Clustervolumes verwendet. Verwenden Sie die folgenden Abschnitte, um die Segmentierung des SMB-Datenverkehrs und die Endpunktisolation zu konfigurieren, um ausgehende und laterale Netzwerkkommunikation zu verhindern.

Blockieren des eingehenden SMB-Zugriffs

Blockieren Sie den eingehenden TCP-Port 445 aus dem Internet an Den Hardwarefirewalls Ihres Unternehmens. Durch blockierenden eingehenden SMB-Datenverkehr werden Geräte in Ihrem Netzwerk geschützt, indem der Zugriff aus dem Internet verhindert wird.

Wenn Sie möchten, dass Benutzer auf ihre Dateien in eingehender Richtung am Rand Ihres Netzwerks zugreifen, können Sie SMB über QUIC verwenden. Dabei wird standardmäßig TCP-Port 443 verwendet, und es wird ein TLS 1.3-verschlüsselter Sicherheitstunnel wie ein VPN für SMB-Datenverkehr angezeigt. Die Lösung erfordert Windows 11 und Windows Server 2022 Datacenter: Azure Edition-Dateiserver, die auf Azure Stack HCI. Weitere Informationen finden Sie unter SMB über QUIC.

Blockieren des ausgehenden SMB-Zugriffs

Blockieren Sie den ausgehenden TCP-Port 445 an das Internet in Ihrer Unternehmensfirewall. Das Blockieren des ausgehenden SMB-Datenverkehrs verhindert, dass Geräte in Ihrem Netzwerk Daten mithilfe von SMB an das Internet senden.

Es ist unwahrscheinlich, dass Sie ausgehenden SMB über TCP-Port 445 in das Internet zulassen müssen, es sei denn, Sie benötigen ihn als Teil eines öffentlichen Cloudangebots. Zu den primären Szenarien gehören Azure Files und Office 365.

Wenn Sie SMB Azure Files verwenden, verwenden Sie ein VPN für ausgehenden VPN-Datenverkehr. Mithilfe eines VPN schränken Sie den ausgehenden Datenverkehr auf die erforderlichen Ip-Adressbereiche des Diensts ein. Weitere Informationen zu Azure Cloud und Office 365 IP-Adressbereichen finden Sie unter:

  • Azure-IP-Adressbereiche und Diensttags: öffentliche Cloud,US Government-Cloud,Deutschland-Cloudoder China-Cloud. Die JSON-Dateien werden wöchentlich aktualisiert und enthalten Versionsinformationen sowohl für die vollständige Datei als auch für jedes einzelne Diensttag. Das AzureCloud-Tag stellt die IP-Adressbereiche für die Cloud (Öffentlich, US-Regierung, Deutschland oder China) dar und ist nach Region innerhalb dieser Cloud gegruppen. Diensttags in der Datei nehmen zu, wenn Azure-Dienste hinzugefügt werden.
  • Office 365 URLs und IP-Adressbereiche.

Mit Windows 11 und Windows Server 2022 Datacenter: Azure Edition können Sie SMB über QUIC verwenden, um eine Verbindung mit Dateiservern in Azure herzustellen. Dabei wird standardmäßig TCP-Port 443 verwendet, und es wird ein TLS 1.3-verschlüsselter Sicherheitstunnel wie ein VPN für den SMB-Datenverkehr angezeigt. Weitere Informationen finden Sie unter SMB über QUIC.

Inventur von SMB-Nutzung und Freigaben

Indem Sie den SMB-Datenverkehr Ihres Netzwerks inventarieren, erhalten Sie ein Verständnis für den auftretenden Datenverkehr und können ermitteln, ob er erforderlich ist. Verwenden Sie die folgende Checkliste mit Fragen, um unnötigen SMB-Datenverkehr zu identifizieren.

Für Serverendpunkte:

  1. Welche Serverendpunkte benötigen eingehenden SMB-Zugriff, um ihre Rolle zu übernehmen? Benötigen sie eingehenden Zugriff von allen Clients, bestimmten Netzwerken oder bestimmten Knoten?
  2. Ist für die verbleibenden Serverendpunkte eingehender SMB-Zugriff erforderlich?

Für Clientendpunkte:

  1. Welche Clientendpunkte (z. B. Windows 10) erfordern eingehenden SMB-Zugriff? Benötigen sie eingehenden Zugriff von allen Clients, bestimmten Netzwerken oder bestimmten Knoten?
  2. Ist für die verbleibenden Clientendpunkte eingehender SMB-Zugriff erforderlich?
  3. Muss der SMB-Serverdienst von den verbleibenden Clientendpunkten ausgeführt werden?

Ermitteln Sie für alle Endpunkte, ob Sie ausgehenden SMB auf die sicherste und minimalste Weise zulassen.

Überprüfen Sie die integrierten Serverrollen und -features, die eingehenden SMB-Datenverkehr erfordern. Dateiserver und Domänencontroller benötigen beispielsweise eingehendeN SMB-Datenverkehr, um ihre Rolle zu übernehmen. Weitere Informationen zu integrierten Rollen und Netzwerkportanforderungen für Features finden Sie unter Dienstübersicht undNetzwerkportanforderungen für Windows .

Überprüfen Sie die Server, auf die innerhalb des Netzwerks zugegriffen werden muss. Beispielsweise muss auf Domänencontroller und Dateiserver wahrscheinlich überall im Netzwerk zugegriffen werden. Der Anwendungsserverzugriff kann jedoch auf eine Reihe anderer Anwendungsserver im gleichen Subnetz beschränkt sein. Sie können die folgenden Tools und Features verwenden, um den SMB-Zugriff inventar zu machen:

Wenn Sie SMB-Protokolle untersuchen, können Sie wissen, welche Knoten über SMB mit Endpunkten kommunizieren. Sie können entscheiden, ob die Freigaben eines Endpunkts verwendet werden, und wissen, welche vorhanden sein sollen.

Konfigurieren Windows Defender Firewall

Verwenden Sie Firewallregeln, um zusätzliche Verbindungssicherheit hinzuzufügen. Konfigurieren Sie Regeln, um eingehende und ausgehende Kommunikationen zu blockieren, die Ausnahmen enthalten. Eine ausgehende Firewallrichtlinie, die die Verwendung von SMB-Verbindungen sowohl außerhalb als auch innerhalb Ihres verwalteten Netzwerks verhindert und gleichzeitig den Zugriff auf die minimale Gruppe von Servern und auf keine anderen Geräte ermöglicht, ist eine seitliche Defense-in-Depth-Maßnahme.

Informationen zu den SMB-Firewallregeln, die Sie für eingehende und ausgehende Verbindungen festlegen müssen, finden Sie im Supportartikel Verhindern von SMB-Datenverkehrvon Lateral Connections und dem Ein- oder Verlassen des Netzwerks.

Der Supportartikel enthält Vorlagen für Folgendes:

  • Eingehende Regeln, die auf einer beliebigen Art von Netzwerkprofil basieren.
  • Ausgehende Regeln für private/domänen (vertrauenswürdige) Netzwerke.
  • Ausgehende Regeln für Gast-/öffentliche (nicht vertrauenswürdige) Netzwerke. Diese Vorlage ist wichtig, um auf mobilen Geräten und heimbasierten Telekommunikationsgeräten zu erzwingen, die sich nicht hinter Ihrer Firewall befinden und ausgehenden Datenverkehr blockieren. Das Erzwingen dieser Regeln auf Laptops verringert die Wahrscheinlichkeit von Phishingangriffen, die Benutzer auf schädliche Server senden, um Anmeldeinformationen zu nutzen oder Angriffscode zu verwenden.
  • Ausgehende Regeln, die eine Außerkraftsetzungs-Allowlist für Domänencontroller und Dateiserver mit dem Namen Allow the connection if secure enthalten.

Um die IPSEC-Authentifizierung mit NULL-Kapselung zu verwenden, müssen Sie eine Sicherheitsverbindungsregel auf allen Computern in Ihrem Netzwerk erstellen, die an den Regeln teilnehmen. Andernfalls funktionieren die Firewallausnahmen nicht, und Sie blockieren nur willkürlich.

Achtung

Sie sollten die Sicherheitsverbindungsregel vor der umfassenden Bereitstellung testen. Eine falsche Regel könnte verhindern, dass Benutzer auf ihre Daten zugreifen.

Verwenden Sie zum Erstellen einer Verbindungssicherheitsregel Windows Defender Firewall mit erweiterter Sicherheit oder das Snap-In:

  1. Wählen Windows Defender Firewall die Option Verbindungssicherheitsregeln aus, und wählen Sie eine neue Regel aus.
  2. Wählen Sie unter Regeltypdie Option Isolation und dann Weiter aus.
  3. Wählen Sie unterAnforderungen die Option Authentifizierung für eingehende und ausgehende Verbindungen anfordern und dann Weiter aus.
  4. Wählen Sie unter Authentifizierungsmethodedie Option Computer und Benutzer (Kerberos V5) und dann Weiter aus.
  5. Überprüfen Sie unterProfil alle Profile (Domäne, Privat, Öffentlich), und wählen Sie dann Weiter aus.
  6. Geben Sie einen Namen für Ihre Regel ein, und wählen Sie dann Fertig stellen aus.

Denken Sie daran, dass die Verbindungssicherheitsregel auf allen Clients und Servern erstellt werden muss, die an Ihren Regeln für eingehenden und ausgehenden Datenverkehr teilnehmen, oder sie werden daran blockiert, eine ausgehende SMB-Verbindung herzustellen. Diese Regeln sind möglicherweise bereits aus anderen Sicherheitsbemühungen in Ihrer Umgebung vorhanden und können wie die Firewallregeln für eingehenden/ausgehenden Datenverkehr über eine Gruppenrichtlinie bereitgestellt werden.

Legen Sie beim Konfigurieren von Regeln basierend auf den Vorlagen im Artikel Verhindern von SMB-Datenverkehr von Lateral Connections und Beim Eingeben oder Verlassen des Netzwerksupports Folgendes fest, um die Aktion Verbindung zulassen, falls sicher anzupassen:

  1. Wählen Sie im Schritt Aktion die Option Verbindung zulassen aus, wenn sie sicher ist, und wählen Sie dann Anpassen aus.
  2. Wählen Sie unter Zulassen bei Einstellungenanpassen die Option Allow the connection to use NULL encapsulation(Nullkapselung für die Verbindung zulassen) aus.

Die Option Verbindung bei sicherer Verbindung zulassen ermöglicht das Überschreiben einer globalen Blockregel. Sie können die einfache, aber am wenigsten sichere Option Verwenden der NULL-Kapselung für die Verbindung mit *Override-Blockregeln zulassen, die für die Authentifizierung auf Kerberos und Domänenmitgliedschaften angewiesen sind. Windows Defender Firewall ermöglicht sicherere Optionen wie IPSEC.

Weitere Informationen zum Konfigurieren der Firewall finden Sie unter Windows Defender Firewall with Advanced Security deployment overview (Übersicht über die Firewall mit erweiterter Sicherheit).

Deaktivieren des SMB-Servers, wenn er nicht verwendet wird

Windows Clients und einige Ihrer Windows Server in Ihrem Netzwerk erfordern möglicherweise nicht, dass der SMB-Serverdienst ausgeführt wird. Wenn der SMB-Serverdienst nicht erforderlich ist, können Sie den Dienst deaktivieren. Stellen Sie vor dem Deaktivieren des SMB-Serverdiensts sicher, dass der Dienst für keine Anwendungen und Prozesse auf dem Computer erforderlich ist.

Sie können die Gruppenrichtlinie verwenden, um den Dienst auf einer großen Anzahl von Computern zu deaktivieren, wenn Sie zur Implementierung bereit sind. Weitere Informationen zum Konfigurieren von Gruppenrichtlinie-Einstellungen finden Sie unter Konfigurieren eines Dienstelements.

Testen und Bereitstellen mithilfe der Richtlinie

Testen Sie zunächst kleine, handgearbeite Bereitstellungen auf ausgewählten Servern und Clients. Verwenden Sie schrittweise Gruppenrichtlinienrollouts, um diese Änderungen vorzunehmen. Beginnen Sie beispielsweise mit dem schwersten Benutzer von SMB, z. B. Ihrem eigenen IT-Team. Wenn die Laptops, Apps und der Dateifreigabezugriff Ihres Teams gut funktionieren, nachdem Sie Ihre Firewallregeln für eingehenden und ausgehenden Datenverkehr bereitgestellt haben, erstellen Sie eine Testgruppenrichtlinie in Ihren umfassenden Test- und QA-Umgebungen. Beginnen Sie basierend auf den Ergebnissen mit der Stichprobenentnahme für einige Abteilungscomputer, und erweitern Sie dann die Daten.

Nächste Schritte

Sehen Sie sich die Ignite-Konferenzsitzung von Payne demystifying the Windows Firewall (Demystifying the Windows Firewall) an.