sécuriser le trafic SMB dans Windows Server

En guise de mesure de défense en profondeur, vous pouvez utiliser la segmentation et les techniques d’isolation pour sécuriser le trafic SMB et réduire les menaces entre les appareils de votre réseau.

SMB est utilisé pour le partage de fichiers, l’impression et la communication entre processus, tels que les canaux nommés et RPC. elle est également utilisée en tant que structure de données réseau pour des technologies telles que espaces de stockage directe, Stockage réplica, Hyper-V Migration dynamique et des Volumes partagés de Cluster. Utilisez les sections suivantes pour configurer la segmentation du trafic SMB et l’isolation des points de terminaison afin d’éviter les communications réseau sortantes et latérales.

Bloquer l’accès SMB entrant

Bloquez le port TCP 445 entrant à partir d’Internet sur les pare-feu matériels de votre entreprise. Le blocage du trafic SMB entrant protège les appareils à l’intérieur de votre réseau en empêchant l’accès à partir d’Internet.

Si vous souhaitez que les utilisateurs accèdent à leurs fichiers entrants à la périphérie de votre réseau, vous pouvez utiliser SMB sur QUIC. Cela utilise le port TCP 443 par défaut et fournit un tunnel de sécurité TLS chiffré 1,3 comme un VPN pour le trafic SMB. la solution requiert Windows 11 et Windows Server 2022 Datacenter : serveurs de fichiers Azure Edition s’exécutant sur Azure Stack HCI. Pour plus d’informations, consultez SMB sur QUIC.

Bloquer l’accès SMB sortant

Bloquez le port TCP 445 sortant sur Internet au niveau du pare-feu de votre entreprise. Le blocage du trafic SMB sortant empêche les appareils de votre réseau d’envoyer des données à Internet à l’aide de SMB.

Il est peu probable que vous ayez besoin d’autoriser un SMB sortant à l’aide du port TCP 445 vers Internet, sauf si vous en avez besoin dans le cadre d’une offre de cloud public. Les scénarios principaux incluent Azure Files et Office 365.

Si vous utilisez Azure Files SMB, utilisez un VPN pour le trafic VPN sortant. À l’aide d’un VPN, vous limitez le trafic sortant vers les plages d’adresses IP de service requises. pour plus d’informations sur les plages d’adresses IP du Cloud et Office 365 Azure, consultez :

  • Plages d’adresses IP Azure et balises de service : cloud public,Cloud US Government, Cloud d' Allemagneou Cloud de Chine. Les fichiers JSON sont mis à jour chaque semaine et incluent le contrôle de version pour le fichier complet et chaque balise de service individuelle. La balise AzureCloud fournit les plages d’adresses IP pour le Cloud (public, gouvernement des États-Unis, Allemagne ou Chine) et est regroupée par région au sein de ce Cloud. Les balises de service dans le fichier augmentent au fur et à mesure de l’ajout de services Azure.
  • Office 365 les url et les plages d’adresses IP.

avec Windows 11 et Windows Server 2022 Datacenter : édition azure, vous pouvez utiliser SMB sur QUIC pour vous connecter à des serveurs de fichiers dans azure. Cela utilise le port TCP 443 par défaut et fournit un tunnel de sécurité TLS chiffré 1,3 comme un VPN pour le trafic SMB. Pour plus d’informations, consultez SMB sur QUIC.

Inventaire de l’utilisation et des partages SMB

En stockant le trafic SMB de votre réseau, vous comprenez le trafic qui se produit et vous pouvez déterminer s’il est nécessaire. Utilisez la liste de vérification suivante pour vous aider à identifier le trafic SMB inutile.

Pour les points de terminaison de serveur :

  1. Quels points de terminaison de serveur requièrent un accès SMB entrant pour faire leur rôle ? Ont-ils besoin d’un accès entrant à partir de tous les clients, de certains réseaux ou de certains nœuds ?
  2. Parmi les autres points de terminaison de serveur, l’accès SMB entrant est-il nécessaire ?

Pour les points de terminaison clients :

  1. quels points de terminaison clients (par exemple, Windows 10) requièrent un accès SMB entrant ? Ont-ils besoin d’un accès entrant à partir de tous les clients, de certains réseaux ou de certains nœuds ?
  2. Parmi les autres points de terminaison clients, l’accès SMB entrant est-il nécessaire ?
  3. Des points de terminaison restants du client, doivent-ils exécuter le service SMB Server ?

Pour tous les points de terminaison, déterminez si vous autorisez le protocole SMB sortant de la manière la plus sûre et la plus minimale.

Examinez les rôles et fonctionnalités intégrés au serveur qui requièrent le protocole SMB entrant. Par exemple, les serveurs de fichiers et les contrôleurs de domaine nécessitent le protocole SMB entrant pour faire leur rôle. Pour plus d’informations sur les rôles intégrés et les caractéristiques des ports réseau, consultez vue d’ensemble des services et exigences de ports réseau pour Windows.

Examinez les serveurs qui doivent être accessibles à partir du réseau. Par exemple, les contrôleurs de domaine et les serveurs de fichiers doivent probablement être accessibles n’importe où sur le réseau. Toutefois, l’accès au serveur d’applications peut être limité à un ensemble d’autres serveurs d’applications sur le même sous-réseau. Vous pouvez utiliser les outils et fonctionnalités suivants pour vous aider à inventorier l’accès SMB :

  • Utilisez le script partages pour examiner les partages sur les serveurs et les clients.
  • Activez une piste d’audit de l’accès entrant SMB à l’aide de la clé de Registre . Étant donné que le nombre d’événements peut être important, envisagez d’activer pendant un laps de temps spécifié ou utilisez Azure Monitor.

L’examen des journaux SMB vous permet de savoir quels nœuds communiquent avec les points de terminaison sur SMB. Vous pouvez décider si les partages d’un point de terminaison sont en cours d’utilisation et comprendre ce qui doit exister.

configurer Windows Defender pare-feu

Utilisez les règles de pare-feu pour ajouter une sécurité de connexion supplémentaire. Configurez des règles pour bloquer les communications entrantes et sortantes qui incluent des exceptions. Une stratégie de pare-feu sortante qui empêche l’utilisation de connexions SMB à l’extérieur et à l’intérieur de votre réseau géré tout en autorisant l’accès à l’ensemble minimal de serveurs, et aucun autre appareil n’est une mesure de défense approfondie.

Pour plus d’informations sur les règles de pare-feu SMB que vous devez définir pour les connexions entrantes et sortantes, consultez l’article sur la prise en charge empêchant le trafic SMB des connexions latérales et l’entrée ou la sortie du réseau.

L’article de support technique comprend des modèles pour :

  • Règles de trafic entrant basées sur n’importe quel type de profil réseau.
  • Règles de trafic sortant pour les réseaux privés/de domaine (approuvés).
  • Règles de trafic sortant pour les réseaux invités/publics (non approuvés). Ce modèle est important pour appliquer sur les périphériques mobiles et les télétravailleurs à la base qui ne se trouvent pas derrière votre pare-feu qui bloque le trafic sortant. L’application de ces règles sur les ordinateurs portables réduit les risques d’attaques par hameçonnage qui envoient des utilisateurs à des serveurs malveillants pour collecter des informations d’identification ou exécuter du code d’attaque.
  • Les règles de trafic sortant qui contiennent un allowlist de remplacement pour les contrôleurs de domaine et les serveurs de fichiers appelés autorisent la connexion si elle est sécurisée.

Pour utiliser l’authentification IPSEC avec encapsulation null, vous devez créer une règle de connexion de sécurité sur tous les ordinateurs de votre réseau qui participent aux règles. Dans le cas contraire, les exceptions de pare-feu ne fonctionneront pas et vous ne verrez que le blocage arbitraire.

Attention

Vous devez tester la règle de connexion de sécurité avant un déploiement de grande échelle. Une règle incorrecte peut empêcher les utilisateurs d’accéder à leurs données.

pour créer une règle de sécurité de connexion , utilisez Windows Defender panneau de configuration ou le composant logiciel enfichable pare-feu de sécurité avancée :

  1. dans Windows Defender pare-feu, sélectionnez règles de sécurité de connexion et choisissez une nouvelle règle.
  2. Dans type de règle, sélectionnez isolation , puis sélectionnez suivant.
  3. Dans spécifications, sélectionnez demander l’authentification pour les connexions entrantes et sortantes , puis sélectionnez suivant.
  4. Dans méthode d’authentification, sélectionnez ordinateur et utilisateur (Kerberos V5) , puis sélectionnez suivant.
  5. Dans Profil, cochez tous les profils (domaine, privé, public), puis sélectionnez suivant.
  6. Entrez un nom pour votre règle, puis sélectionnez Terminer.

N’oubliez pas que la règle de sécurité de connexion doit être créée sur tous les clients et serveurs participant à vos règles entrantes et sortantes, ou si la connexion de SMB sortant est bloquée. Ces règles peuvent être déjà en place par rapport à d’autres efforts de sécurité de votre environnement et comme les règles de trafic entrant/sortant du pare-feu, peuvent être déployées via la stratégie de groupe.

Quand vous configurez des règles basées sur les modèles dans la rubrique prévention du trafic SMB à partir de connexions latérales et entrée ou sortie de l' article prise en charge du réseau, définissez les éléments suivants pour personnaliser l’action autoriser la connexion en cas de sécurité :

  1. Dans l’étape action , sélectionnez autoriser la connexion si elle est sécurisée , puis sélectionnez personnaliser.
  2. dans personnaliser autoriser si Paramètres sécurisé, sélectionnez autoriser la connexion à utiliser l’encapsulation nulle.

L’option autoriser la connexion si elle est sécurisée permet de remplacer une règle de blocage globale. Vous pouvez utiliser la solution la plus simple, mais la moins sécurisée, permet à la connexion d’utiliser l’encapsulation nulle avec les règles de bloc de remplacement *, qui s’appuie sur Kerberos et l’appartenance au domaine pour l’authentification. Windows Defender pare-feu autorise des options plus sécurisées comme IPSEC.

pour plus d’informations sur la configuration du pare-feu, consultez Windows Defender vue d’ensemble du déploiement du pare-feu avec sécurité avancée.

Désactiver le serveur SMB s’il n’est pas utilisé

les clients Windows et certains de vos serveurs Windows sur votre réseau peuvent ne pas nécessiter l’exécution du service serveur SMB. Si le service de serveur SMB n’est pas requis, vous pouvez désactiver le service. Avant de désactiver le service serveur SMB, assurez-vous qu’aucune application ni aucun processus sur l’ordinateur ne nécessite le service.

Vous pouvez utiliser stratégie de groupe préférences pour désactiver le service sur un grand nombre d’ordinateurs lorsque vous êtes prêt à implémenter. Pour plus d’informations sur la configuration des préférences de stratégie de groupe, consultez configurer un élément de service.

Tester et déployer à l’aide de la stratégie

Commencez par effectuer des tests à l’aide de déploiements à petite échelle et à petite échelle sur certains serveurs et clients. Utilisez des déploiements de stratégie de groupe échelonnés pour apporter ces modifications. Par exemple, commencez avec l’utilisateur le plus lourd de SMB, tel que votre propre équipe informatique. Si les ordinateurs portables et les applications et l’accès au partage de fichiers de votre équipe fonctionnent bien après le déploiement de vos règles de pare-feu entrantes et sortantes, créez une stratégie de groupe test dans vos environnements de test et d’assurance qualité. En fonction des résultats, commencez par échantillonner certaines machines départementales, puis développez-les.

Étapes suivantes

regardez Windows la session de conférence de l’allumage d’Payne