Smb2 là gì
Windows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems Xem thêm...Ít hơn Show Tóm tắtKhối tin nhắn máy chủ (SMB) là một tệp mạng chia sẻ và giao thức vải dữ liệu. SMB được hàng tỉ các thiết bị trong một bộ các hệ điều hành đa dạng, bao gồm Windows, MacOS, iOS, Linux và Android. Khách hàng sử dụng SMB để truy nhập dữ liệu trên máy chủ. Điều này cho phép chia sẻ tệp, quản lý dữ liệu tập trung và giảm dung lượng lưu trữ cho các thiết bị di động. Máy chủ cũng sử dụng SMB như một phần của Trung tâm dữ liệu phần mềm được xác định để tải các công việc như clustering và sao chép. Vì SMB là hệ thống tệp từ xa, nó yêu cầu bảo vệ khỏi các cuộc tấn công mà máy tính chạy Windows có thể bị lừa để liên hệ với máy chủ độc hại đang chạy bên trong một mạng tin cậy hoặc đến máy chủ từ xa bên ngoài chu vi mạng. Các cách thực hành và cấu hình tường lửa tốt nhất có thể nâng cao tính bảo mật và ngăn không cho lưu lượng truy nhập độc hại khỏi máy tính hoặc mạng của nó. Hiệu lực của các thay đổi Chặn kết nối đến SMB có thể ngăn các ứng dụng hoặc dịch vụ khác nhau hoạt động. Để biết danh sách các ứng dụng và các dịch vụ của Windows và Windows Server có thể ngừng hoạt động trong tình huống này, hãy xem mục các yêu cầu dịch vụ và cổng thông tin mạng cho Windows Thông tin Bổ sungPhương pháp tiếp cận tường lửa chu viPhần cứng chu vi và tường lửa thiết bị được định vị ở cạnh của mạng sẽ chặn liên lạc không mong muốn (từ Internet) và lưu lượng truy nhập thư đi (Internet) đến các cổng sau đây.
Lưu ý Việc sử dụng NetBIOS for SMB Transport đã kết thúc trong Windows Vista, Windows Server 2008 và trong tất cả các hệ điều hành Microsoft sau này khi Microsoft giới thiệu SMB 2,02. Tuy nhiên, bạn có thể có phần mềm và các thiết bị khác với Windows trong môi trường của bạn. Bạn nên tắt và loại bỏ SMB1 nếu bạn chưa làm như vậy vì nó vẫn sử dụng NetBIOS. Các phiên bản mới hơn của Windows Server và Windows không còn cài đặt SMB1 theo mặc định và sẽ tự động loại bỏ nó nếu được cho phép. Cách tiếp cận tường lửa của Windows DefenderTất cả các phiên bản được hỗ trợ của Windows và Windows Server đều có tường lửa Windows Defender (trước đây đặt tên là tường lửa Windows). Tường lửa này cung cấp bảo vệ bổ sung cho các thiết bị, đặc biệt là khi thiết bị di chuyển bên ngoài một mạng hoặc khi họ chạy trong vòng một. Tường lửa của Windows Defender có các hồ sơ riêng biệt cho một số loại mạng nhất định: tên miền, riêng tư và khách/công cộng. Mạng khách/công cộng thường có nhiều thiết đặt hạn chế theo mặc định hơn là miền đáng tin cậy hoặc mạng riêng tư. Bạn có thể thấy mình có các giới hạn SMB khác nhau cho các mạng này dựa trên việc đánh giá mối đe dọa của bạn so với nhu cầu hoạt động. Các kết nối trong đến máy tínhĐối với máy khách và máy chủ Windows không lưu trữ chia sẻ SMB, bạn có thể chặn tất cả lưu lượng SMB đến bằng cách dùng tường lửa Windows Defender để ngăn chặn kết nối từ xa khỏi các thiết bị có hại hoặc bị xâm phạm. Trong tường lửa của Windows Defender, thao tác này bao gồm các quy tắc trong nước sau đây.
Bạn không thể chặn lưu lượng truy cập SMB trong nước vào bộ điều khiển tên miền hoặc máy chủ tệp. Tuy nhiên, bạn có thể hạn chế quyền truy nhập chúng từ dải IP và các thiết bị đáng tin cậy để giảm bề mặt tấn công của chúng. Họ cũng nên được giới hạn đối với tên miền hoặc hồ sơ tường lửa riêng và không cho phép khách/lưu lượng công cộng. Lưu ý Tường lửa Windows đã chặn tất cả các liên lạc SMB trong nước theo mặc định từ Windows XP SP2 và Windows Server 2003 SP1. Thiết bị Windows sẽ cho phép giao tiếp SMB trong nước chỉ khi người quản trị tạo một chia sẻ SMB hoặc thay đổi thiết đặt mặc định của tường lửa. Bạn không nên tin cậy trải nghiệm trong hộp mặc định để vẫn đang ở tại chỗ trên thiết bị, bất kể. Luôn xác minh và tích cực quản lý thiết đặt và trạng thái mong muốn của họ bằng cách sử dụng chính sách nhóm hoặc công cụ quản lý khác. Để biết thêm thông tin, hãy xem thiết kế tường lửa Windows Defender với chiến lược bảo mật nâng cao và tường lửa Windows Defender với hướng dẫn triển khai bảo mật nâng cao Kết nối ra ngoài từ máy tínhMáy khách và máy chủ Windows yêu cầu kết nối SMB ra ngoài để áp dụng chính sách nhóm từ bộ điều khiển tên miền và đối với người dùng và ứng dụng để truy nhập dữ liệu trên máy chủ tệp, do đó, việc chăm sóc phải được thực hiện khi tạo các quy tắc tường lửa để ngăn chặn kết nối bên hoặc Internet độc hại. Theo mặc định, không có khối đi trên máy khách hoặc máy chủ Windows kết nối với chia sẻ SMB, vì vậy bạn sẽ phải tạo các quy tắc chặn mới. Bạn cũng nên tạo một quy tắc chặn mới để ghi đè lên bất kỳ quy tắc tường lửa đến nào khác. Sử dụng các thiết đặt được đề xuất sau đây cho bất kỳ ứng dụng khách Windows hoặc máy chủ nào không lưu trữ chia sẻ SMB. Mạng của khách/công cộng (không tin cậy)
Lưu ý Người dùng Office và Office nhỏ, hoặc người dùng di động làm việc trong các mạng tin cậy của công ty và sau đó kết nối với mạng nhà riêng của họ, nên sử dụng thận trọng trước khi chặn mạng ra nước ngoài công cộng. Thực hiện điều này có thể ngăn chặn quyền truy nhập vào các thiết bị NAS cục bộ của họ hoặc một số máy in. Mạng riêng/miền (tin cậy)
Lưu ý Bạn cũng có thể sử dụng máy tính từ xa thay vì phạm vi địa chỉ IP từ xa, nếu kết nối được bảo mật sử dụng xác thực mang định danh của máy tính. Xem lại tài liệu tường lửa Defender để biết thêm thông tin về "cho phép kết nối nếu được bảo mật" và tùy chọn máy tính từ xa.
Bạn phải không lưu lượng truy nhập SMB đi từ máy tính sang tên miền hoặc máy chủ tệp. Tuy nhiên, bạn có thể hạn chế quyền truy nhập chúng từ dải IP và các thiết bị đáng tin cậy để giảm bề mặt tấn công của chúng. Để biết thêm thông tin, hãy xem thiết kế tường lửa Windows Defender với chiến lược bảo mật nâng cao và tường lửa Windows Defender với hướng dẫn triển khai bảo mật nâng cao Quy tắc kết nối bảo mậtBạn phải sử dụng quy tắc kết nối bảo mật để thực hiện ngoại lệ cho quy tắc tường lửa ra ngoài cho "cho phép kết nối nếu nó là bảo mật" và "cho phép kết nối sử dụng thiết đặt gói null". Nếu bạn không đặt quy tắc này trên tất cả các máy tính chạy Windows trên Windows và Windows Server, xác thực sẽ không thành công, và SMB sẽ bị chặn ra ngoài. Ví dụ, các thiết đặt sau đây là bắt buộc:
Để biết thêm thông tin về quy tắc kết nối bảo mật, hãy xem các bài viết sau đây:
Windows Workstation và dịch vụ máy chủĐối với người dùng hoặc các máy tính được quản lý cao mà không yêu cầu SMB ở tất cả, bạn có thể vô hiệu hóa các dịch vụ máy chủ hoặc máy trạm. Bạn có thể thực hiện điều này theo cách thủ công bằng cách sử dụng "Services" đính (Services. msc) và lệnh ghép ngắn Set-Service PowerShell, hoặc bằng cách sử dụng tùy chọn chính sách nhóm. Khi bạn dừng và vô hiệu hóa các dịch vụ này, SMB không còn có thể thực hiện kết nối ra ngoài hoặc nhận các kết nối đến. Bạn không bị vô hiệu hóa dịch vụ máy chủ trên bộ điều khiển tên miền hoặc máy chủ tệp hoặc không có khách hàng sẽ có thể áp dụng chính sách nhóm hoặc kết nối với dữ liệu của họ nữa. Bạn không bị vô hiệu hóa dịch vụ máy trạm trên các máy tính là thành viên của một miền Active Directory hoặc họ sẽ không còn áp dụng chính sách nhóm. Tham khảo Thiết kế tường lửa của Windows Defender với chiến lược Cần thêm trợ giúp? |