Impedir o tráfego SMB de conexões laterais e entrar ou sair da rede (2023)

Abordagens de firewall de perímetro

O hardware de perímetro e os firewalls do dispositivo posicionados na borda da rede devem bloquear a comunicação não solicitada (da Internet) e o tráfego de saída (para a Internet) para as portas a seguir.

É improvável que qualquer comunicação de PME originada na Internet ou destinada à Internet seja legítima. O caso principal pode ser um servidor ou serviço baseado em nuvem, como o Azure Files. Você deve criar restrições baseadas em endereços IP em seu firewall de perímetro para permitir apenas esses pontos de extremidade específicos. As organizações podem permitir o acesso à porta 445 a intervalos específicos de Datacenter do Azure e IP O365 para permitir cenários híbridos em que os clientes locais (atrás de uma firewall empresarial) utilizam a porta SMB para comunicar com o armazenamento de ficheiros do Azure. Você também deve permitir apenas SMB 3.xtráfego e exigem criptografia SMB AES-128. Veja o "Referências"seção para obter mais informações.

ObservaçãoO uso do NetBIOS para transporte SMB terminou no Windows Vista, no Windows Server 2008 e em todos os sistemas operacionais posteriores da Microsoft, quando a Microsoft introduziu o SMB 2.02. No entanto, você pode ter software e dispositivos diferentes do Windows em seu ambiente. Você deve desabilitar e remover o SMB1, caso ainda não tenha feito isso, porque ele ainda usa NetBIOS. Versões posteriores do Windows Server e do Windows não instalam mais o SMB1 por padrão e o removerão automaticamente, se permitido.

Abordagens de firewall do Windows Defender

Todas as versões suportadas do Windows e do Windows Server incluem o Firewall do Windows Defender (anteriormente denominado Firewall do Windows). Esse firewall fornece proteção adicional para dispositivos, especialmente quando os dispositivos são movidos para fora de uma rede ou quando são executados dentro de uma rede.

O Firewall do Windows Defender possui perfis distintos para determinados tipos de redes: Domínio, Privado e Convidado/Público. A rede Convidada/Pública normalmente recebe configurações muito mais restritivas por padrão do que as redes Domínio ou Privadas mais confiáveis. Você pode ter diferentes restrições de SMB para essas redes com base na sua avaliação de ameaças versus necessidades operacionais.

Conexões de entrada para um computador

Para clientes e servidores Windows que não hospedam compartilhamentos SMB, você pode bloquear todo o tráfego SMB de entrada usando o Firewall do Windows Defender para evitar conexões remotas de dispositivos maliciosos ou comprometidos. No Firewall do Windows Defender, isso inclui as seguintes regras de entrada.

Você também deve criar uma nova regra de bloqueio para substituir quaisquer outras regras de firewall de entrada. Use as seguintes configurações sugeridas para qualquer cliente ou servidor Windows que não hospede compartilhamentos SMB:

• Nome: Bloquear todos os SMB 445 de entrada

• Descrição: bloqueia todo o tráfego SMB TCP 445 de entrada. Não deve ser aplicado a controladores de domínio ou computadores compartilhados por hostSMB.

• Ação: Bloqueie a conexão

• Programas: Todos

• Computadores remotos: Qualquer

• Tipo de protocolo: TCP

• Porto local: 445

• Porta remota: Qualquer

• Perfis: Todos

• Escopo (endereço IP local): Qualquer

• Escopo (endereço IP remoto): Qualquer

• Travessia de borda: Travessia da borda do bloco

Você não deve bloquear globalmente o tráfego SMB de entrada para controladores de domínio ou servidores de arquivos. No entanto, você pode restringir o acesso a eles a partir de faixas e dispositivos IP confiáveis ​​para reduzir sua superfície de ataque. Eles também devem ser restritos a perfis de firewall de domínio ou privado e não permitir tráfego de convidados/público.

ObservaçãoO Firewall do Windows bloqueou todas as comunicações SMB de entrada por padrão desde o Windows XP SP2 e o Windows Server 2003 SP1. Os dispositivos Windows permitirão comunicação SMB de entrada somente se um administrador criar um compartilhamento SMB ou alterar as configurações padrão do firewall. Você não deve confiar que a experiência pronta para uso padrão ainda estará presente nos dispositivos, de qualquer maneira. Sempre verifique e gerencie ativamente as configurações e o estado desejado usando a Política de Grupo ou outras ferramentas de gerenciamento.

Para mais informações, vejaProjetando um Firewall do Windows Defender com Estratégia de Segurança AvançadaeGuia de implantação do Firewall do Windows Defender com segurança avançada

Conexões de saída de um computador

Os clientes e servidores Windows exigem conexões SMB de saída para aplicar políticas de grupo de controladores de domínio e para que usuários e aplicativos acessem dados em servidores de arquivos, portanto, deve-se ter cuidado ao criar regras de firewall para evitar conexões laterais ou de Internet maliciosas. Por padrão, não há blocos de saída em um cliente ou servidor Windows conectado a compartilhamentos SMB, portanto, você terá que criar novas regras de bloqueio.

Você também deve criar uma nova regra de bloqueio para substituir quaisquer outras regras de firewall de entrada. Use as configurações sugeridas a seguir para qualquer cliente ou servidor Windows que não hospede compartilhamentos SMB.

Redes convidadas/públicas (não confiáveis)

• Nome: Bloquear SMB público/convidado de saída 445

• Descrição: Bloqueia todo o tráfego SMB TCP 445 de saída quando em uma rede não confiável

• Ação: Bloqueie a conexão

• Programas: Todos

• Computadores remotos: Qualquer

• Tipo de protocolo: TCP

• Porto local: Qualquer

• Porta remota: 445

• Perfis: Convidado/Público

• Escopo (endereço IP local): Qualquer

• Escopo (endereço IP remoto): Qualquer

• Travessia de borda: Travessia da borda do bloco

ObservaçãoOs usuários de pequenos escritórios e escritórios domésticos, ou usuários móveis que trabalham em redes corporativas confiáveis ​​e depois se conectam às suas redes domésticas, devem ter cuidado antes de bloquear a rede pública de saída. Isso pode impedir o acesso aos dispositivos NAS locais ou a determinadas impressoras.

Redes privadas/de domínio (confiáveis)

• Nome: Permitir domínio de saída/SMB privado 445

• Descrição: permite tráfego SMB TCP 445 de saída apenas para controladores de domínio e servidores de arquivos quando estiver em uma rede confiável

• Ação: Permitir a conexão se for segura

• Personalizar configurações de Permitir se seguro:escolha uma das opções, defina Substituir regras de bloqueio = ON

• Programas: Todos

• Tipo de protocolo: TCP

• Porto local: Qualquer

• Porta remota: 445

• Perfis: Privado/Domínio

• Escopo (endereço IP local): Qualquer

• Escopo (endereço IP remoto):

• Travessia de borda: Travessia da borda do bloco

ObservaçãoVocê também pode usar Computadores Remotos em vez de endereços IP remotos do Escopo, se a conexão segura usar autenticação que transporta a identidade do computador. Reveja oDocumentação do Defender Firewallpara obter mais informações sobre“Permitir a conexão se for segura” e as opções de Computador Remoto.

• Nome: Bloquear domínio de saída/SMB privado 445

• Descrição: bloqueia o tráfego SMB TCP 445 de saída. Substitua usando a regra “Permitir domínio de saída/SMB privado 445”

• Ação: Bloqueie a conexão

• Programas: Todos

• Computadores remotos: N / D

• Tipo de protocolo: TCP

• Porto local: Qualquer

• Porta remota: 445

• Perfis: Privado/Domínio

• Escopo (endereço IP local): Qualquer

• Escopo (endereço IP remoto): N / D

• Travessia de borda: Travessia da borda do bloco

Você não deve bloquear globalmente o tráfego SMB de saída de computadores para controladores de domínio ou servidores de arquivos. No entanto, você pode restringir o acesso a eles a partir de faixas e dispositivos IP confiáveis ​​para reduzir sua superfície de ataque.

Para mais informações, vejaProjetando um Firewall do Windows Defender com Estratégia de Segurança AvançadaeGuia de implantação do Firewall do Windows Defender com segurança avançada

Regras de conexão de segurança

Você deve usar uma regra de conexão de segurança para implementar as exceções de regra de firewall de saída para as configurações "Permitir a conexão se for segura" e "Permitir que a conexão use encapsulamento nulo". Se você não definir essa regra em todos os computadores baseados no Windows e no Windows Server, a autenticação falhará e o SMB será bloqueado na saída.

Por exemplo, as seguintes configurações são necessárias:

• Tipo de regra: Isolamento

• Requisitos: Solicitar autenticação para conexões de entrada e saída

• Método de autenticação: Computador e usuário (Kerberos V5)

• Perfil:Domínio, Privado, Público

• Nome: Autenticação ESP de isolamento para substituições SMB

Para obter mais informações sobre regras de conexão de segurança, consulte os seguintes artigos:

• Projetando um Firewall do Windows Defender com Estratégia de Segurança Avançada

• Lista de verificação: configurando regras para uma zona de servidor isolada

Serviço de estação de trabalho e servidor Windows

Para computadores gerenciados de consumo ou altamente isolados que não exigem SMB, você pode desabilitar os serviços de Servidor ou Estação de Trabalho. Você pode fazer isso manualmente usando o snap-in “Serviços” (Services.msc) e o PowerShellDefinir serviçocmdlet ou usando Preferências de Política de Grupo. Quando você interrompe e desabilita esses serviços, o SMB não pode mais fazer conexões de saída ou receber conexões de entrada.

Você não deve desabilitar o serviço Servidor em controladores de domínio ou servidores de arquivos ou nenhum cliente poderá mais aplicar política de grupo ou conectar-se aos seus dados. Você não deve desabilitar o serviço Estação de Trabalho em computadores que sejam membros de um domínio do Active Directory ou eles não aplicarão mais a política de grupo.