Windows Server에서 SMB 트래픽 보호

심층 방어 방법으로 분할 및 격리 기술을 사용하여 SMB 트래픽을 보호하고 네트워크의 디바이스 간 위협을 줄일 수 있습니다.

SMB는 명명된 파이프 및 RPC와 같은 파일 공유, 인쇄 및 프로세스 간 통신에 사용됩니다. 또한 저장소 공간 Direct, Storage 복제본, Hyper-V 실시간 마이그레이션 및 클러스터 공유 볼륨과 같은 기술에 대한 네트워크 데이터 패브릭으로도 사용됩니다. 다음 섹션에서는 아웃바운드 및 바운드 네트워크 통신을 방지하기 위해 SMB 트래픽 구분 및 엔드포인트 격리를 구성합니다.

인바운드 SMB 액세스 차단

회사 하드웨어 방화벽에서 인터넷에서 TCP 포트 445 인바운드를 차단합니다. 인바운드 SMB 트래픽을 차단하면 인터넷에서의 액세스를 차단하여 네트워크 내의 디바이스를 보호합니다.

사용자가 네트워크 에지에서 인바운드 파일에 액세스하도록 하려는 경우, 이 SMB를 사용하세요. 기본적으로 TCP 포트 443을 사용하며 SMB 트래픽에 대한 VPN과 같은 TLS 1.3 암호화 보안 터널을 제공합니다. 솔루션을 사용하려면 Windows 11 및 Windows Server 2022 Datacenter: Azure Stack HCI 실행되는 Azure Edition 파일 서버가 필요합니다. 자세한 내용은 SMB over QUIC를 참조하세요.

아웃바운드 SMB 액세스 차단

회사 방화벽에서 인터넷에 대한 TCP 포트 445 아웃바운드를 차단합니다. 아웃바운드 SMB 트래픽을 차단하면 네트워크 내의 디바이스가 SMB를 사용하여 인터넷으로 데이터를 보내지 않습니다.

퍼블릭 클라우드 제품의 일부로 필요하지 않는 한 TCP 포트 445를 사용하는 아웃바운드 SMB를 인터넷에 허용할 필요가 없습니다. 기본 시나리오에는 Azure Files 및 Office 365 포함됩니다.

Azure Files SMB를 사용하는 경우 아웃바운드 VPN 트래픽에 VPN을 사용합니다. VPN을 사용하면 아웃바운드 트래픽을 필요한 서비스 IP 범위로 제한할 수 있습니다. Azure 클라우드 및 Office 365 IP 주소 범위에 대한 자세한 내용은 다음을 참조하세요.

Windows 11 및 Windows Server 2022 Datacenter: Azure Edition을 사용하면 SMB over ASIAC를 사용하여 Azure의 파일 서버에 연결할 수 있습니다. 기본적으로 TCP 포트 443을 사용하며 SMB 트래픽에 대한 VPN과 같은 TLS 1.3 암호화 보안 터널을 제공합니다. 자세한 내용은 SMB over QUIC를 참조하세요.

인벤토리 SMB 사용량 및 공유

네트워크의 SMB 트래픽을 인벤토리화하면 발생하는 트래픽을 이해하고 필요한지 확인할 수 있습니다. 다음 질문 검사 목록을 사용하여 불필요한 SMB 트래픽을 식별할 수 있습니다.

서버 엔드포인트의 경우:

  1. 역할을 수행하려면 인바운드 SMB 액세스가 필요한 서버 엔드포인트는 무엇인가요? 모든 클라이언트, 특정 네트워크 또는 특정 노드에서 인바운드 액세스가 필요한가요?
  2. 나머지 서버 엔드포인트 중 인바운드 SMB 액세스가 필요한가요?

클라이언트 엔드포인트의 경우:

  1. 인바운드 SMB 액세스가 필요한 클라이언트 엔드포인트(예: Windows 10)는 무엇인가요? 모든 클라이언트, 특정 네트워크 또는 특정 노드에서 인바운드 액세스가 필요한가요?
  2. 나머지 클라이언트 엔드포인트 중 인바운드 SMB 액세스가 필요한가요?
  3. 나머지 클라이언트 엔드포인트 중에서 SMB 서버 서비스를 실행해야 합니까?

모든 엔드포인트에 대해 가장 안전하고 최소한의 방식으로 아웃바운드 SMB를 허용하는지 확인합니다.

SMB 인바운드가 필요한 서버 기본 제공 역할 및 기능을 검토합니다. 예를 들어 파일 서버 및 도메인 컨트롤러는 역할을 수행하려면 SMB 인바운드가 필요합니다. 기본 제공 역할 및 기능 네트워크 포트 요구 사항에 대한 자세한 내용은 Windows 대한 서비스 개요 및 네트워크 포트 요구 사항을참조하세요.

네트워크 내에서 액세스해야 하는 서버를 검토합니다. 예를 들어 도메인 컨트롤러 및 파일 서버는 네트워크의 어디에서나 액세스해야 할 수 있습니다. 그러나 애플리케이션 서버 액세스는 동일한 서브넷에 있는 다른 애플리케이션 서버 집합으로 제한될 수 있습니다. 다음 도구 및 기능을 사용하여 SMB 액세스 인벤토리를 만들 수 있습니다.

SMB 로그를 검사하면 SMB를 통해 엔드포인트와 통신하는 노드를 알 수 있습니다. 엔드포인트의 공유가 사용 중인지 결정하고 어떤 공유가 있는지 파악할 수 있습니다.

Windows Defender 방화벽 구성

방화벽 규칙을 사용하여 추가 연결 보안을 추가합니다. 예외를 포함하는 인바운드 및 아웃바운드 통신을 모두 차단하는 규칙을 구성합니다. 최소 서버 집합 및 기타 디바이스에 대한 액세스를 허용하는 동시에 관리되는 네트워크 외부 및 내부에서 SMB 연결을 사용하지 못하게 하는 아웃바운드 방화벽 정책은 측측 심층 방어 조치입니다.

인바운드 및 아웃바운드 연결에 대해 설정해야 하는 SMB 방화벽 규칙에 대한 자세한 내용은 지원 문서 바운드 연결에서 SMB 트래픽 방지 및 네트워크 입력 또는 나가기를참조하세요.

지원 문서에는 다음을 위한 템플릿이 포함되어 있습니다.

  • 모든 종류의 네트워크 프로필을 기반으로 하는 인바운드 규칙입니다.
  • 프라이빗/도메인(신뢰할 수 있는) 네트워크에 대한 아웃바운드 규칙입니다.
  • 게스트/공용(신뢰할 수 없는) 네트워크에 대한 아웃바운드 규칙입니다. 이 템플릿은 아웃바운드 트래픽을 차단하는 방화벽 뒤에 있지 않은 모바일 디바이스 및 홈 기반 재택 통신 장치에 적용하는 데 중요합니다. 랩톱에 이러한 규칙을 적용하면 사용자를 악성 서버로 보내 자격 증명을 수집하거나 공격 코드를 실행하는 피싱 공격의 가능성이 줄어듭니다.
  • 안전한 경우 연결 허용이라는 도메인 컨트롤러 및 파일 서버에 대한 재정의허용 목록을 포함하는 아웃바운드 규칙입니다.

null 캡슐화 IPSEC 인증을 사용하려면 규칙에 참여하는 네트워크의 모든 컴퓨터에 보안 연결 규칙을 만들어야 합니다. 그렇지 않으면 방화벽 예외가 작동하지 않으며 임의로만 차단됩니다.

주의

광범위한 배포 전에 보안 연결 규칙을 테스트해야 합니다. 잘못된 규칙으로 인해 사용자가 데이터에 액세스하지 못할 수 있습니다.

연결 보안 규칙을 만들려면 Windows Defender 고급 보안 제어판 또는 스냅인이 있는 방화벽을 사용합니다.

  1. Windows Defender 방화벽에서 연결 보안 규칙을 선택하고 새 규칙을 선택합니다.
  2. 규칙 유형에서격리를 선택한 후 다음을선택합니다.
  3. 요구 사항에서인바운드 및 아웃바운드 연결에 대한 인증 요청을 선택한 후 다음을선택합니다.
  4. 인증 방법에서컴퓨터 및 사용자(Kerberos V5)를 선택한 후 다음을선택합니다.
  5. 프로필에서모든프로필(도메인, 프라이빗,공용)을 확인한 후 다음을선택합니다.
  6. 규칙 이름을 입력한 다음, 마침을선택합니다.

인바운드 및 아웃바운드 규칙에 참여하는 모든 클라이언트 및 서버에서 연결 보안 규칙을 만들어야 합니다. 그렇지 않으면 SMB 아웃바운드 연결이 차단됩니다. 이러한 규칙은 사용자 환경의 다른 보안 활동에서 이미 제공되고 있으며 방화벽 인바운드/아웃바운드 규칙과 마찬가지로 그룹 정책을 통해 배포할 수 있습니다.

평면 연결에서 SMB 트래픽 방지 및 네트워크 지원 입출력 문서의 템플릿을 기반으로 규칙을 구성하는 경우 다음을 설정하여 안전한 경우 연결 허용 작업을 사용자 지정합니다.

  1. 작업 단계에서 안전한 경우 연결 허용을 선택한 다음, 사용자 지정을선택합니다.
  2. 보안 설정 허용 사용자 지정에서연결에서 null 캡슐화를 사용하도록 허용을선택합니다.

안전한 경우 연결 허용 옵션을 사용하면 전역 블록 규칙을 재정의할 수 있습니다. 인증을 위해 Kerberos 및 도메인 멤버 자격을 사용하는 *override 블록 규칙을 사용하여 연결에서 null 캡슐화를 사용하도록 허용을 쉽고 덜 안전하게 사용할 수 있습니다. Windows Defender 방화벽을 사용하면 IPSEC와 같은 더 안전한 옵션을 사용할 수 있습니다.

방화벽을 구성하는 방법에 대한 자세한 내용은 Windows Defender 고급 보안 배포가 있는 방화벽 개요를 참조하세요.

사용하지 않는 경우 SMB 서버 사용 안 함

Windows 클라이언트 및 네트워크의 Windows 서버 중 일부는 SMB 서버 서비스를 실행하지 않아도 될 수 있습니다. SMB 서버 서비스가 필요하지 않은 경우 서비스를 사용하지 않도록 설정할 수 있습니다. SMB 서버 서비스를 사용하지 않도록 설정하기 전에 컴퓨터의 애플리케이션 및 프로세스에 서비스가 필요하지 않은지 확인합니다.

그룹 정책 기본 설정을 사용하여 구현할 준비가 되면 많은 수의 컴퓨터에서 서비스를 사용하지 않도록 설정할 수 있습니다. 그룹 정책 기본 설정을 구성하는 방법에 대한 자세한 내용은 서비스 항목 구성을 참조하세요.

정책을 사용하여 테스트 및 배포

먼저 선택한 서버 및 클라이언트에서 소규모의 수작업 배포를 사용하여 테스트합니다. 단계별 그룹 정책 롤아웃을 사용하여 이러한 변경을 만듭니다. 예를 들어 자체 IT 팀과 같이 SMB의 가장 많은 사용자로 시작합니다. 인바운드 및 아웃바운드 방화벽 규칙을 배포한 후 팀의 랩톱 및 앱 및 파일 공유 액세스가 잘 작동하는 경우 광범위한 테스트 및 QA 환경 내에서 테스트 그룹 정책을 만듭니다. 결과에 따라 일부 부서별 컴퓨터 샘플링을 시작한 다음, 확장합니다.

다음 단계

Windows 방화벽을 전문가가 제공 자세히 jessica Payne의 Ignite 컨퍼런스 세션을 시청 하세요.