EA;m...Ẩn bớt
Tóm tắt
Khối tin nhắn máy chủ (SMB) là một tệp mạng chia sẻ và giao thức vải vóc dữ liệu. SMB được sản phẩm tỉ những thiết bị trong một bộ những hệ điều hành quản lý đa dạng, bao gồm Windows, Mac
OS, i
OS, Linux và Android. Quý khách sử dụng SMB để truy nhập dữ liệu trên máy chủ. Điều này cho phép chia sẻ tệp, quản lý dữ liệu triệu tập và giảm dung lượng lưu trữ cho những thiết bị di động. Sever cũng sử dụng SMB như 1 phần của Trung trọng tâm dữ liệu ứng dụng được xác định để cài các các bước như clustering cùng sao chép.
Bạn đang xem: Cách block port 445 trên win 10
Vì SMB là khối hệ thống tệp tự xa, nó yêu cầu bảo vệ khỏi các cuộc tiến công mà máy tính xách tay chạy Windows rất có thể bị lừa để contact với sản phẩm công nghệ chủ ô nhiễm đang chạy phía bên trong một mạng tin cậy hoặc đến sever từ xa bên ngoài chu vi mạng. Những cách thực hành và thông số kỹ thuật tường lửa rất tốt có thể nâng cao tính bảo mật thông tin và ngăn không cho lưu lượng truy vấn nhập độc hại khỏi laptop hoặc mạng của nó.
Hiệu lực của những thay đổi
Chặn kết nối đến SMB rất có thể ngăn các ứng dụng hoặc dịch vụ không giống nhau hoạt động. Để biết danh sách những ứng dụng và các dịch vụ của Windows cùng Windows Server có thể ngừng hoạt đụng trong tình huống này, hãy coi mục các yêu cầu thương mại dịch vụ và cổng thông tin mạng mang lại Windows
Thông tin Bổ sung
Phương pháp tiếp cận tường lửa chu vi
Phần cứng chu vi cùng tường lửa lắp thêm được xác định ở cạnh của mạng sẽ chặn liên lạc không mong muốn (từ Internet) và lưu lượng tróc nã nhập thư đi (Internet) đến các cổng sau đây.
Giao thức ứng dụng | Protocol | Đậu |
SMB | CỔNG | 445 |
Độ phân giải thương hiệu Net | UDP | 137 |
Dịch vụ dữ liệu Net | UDP | 138 |
Dịch vụ phiên Net | CỔNG | 139 |
Không có ngẫu nhiên giao tiếp SMB làm sao có bắt đầu từ mạng internet hoặc mệnh mang đến Internet là vừa lòng pháp. Trường hợp chính hoàn toàn có thể là so với máy nhà hoặc thương mại & dịch vụ dựa trên căn nguyên điện toán đám mây chẳng hạn như những tệp Azure. Chúng ta nên tạo các hạn chế dựa trên showroom IP trong tường lửa chu vi của doanh nghiệp để chỉ có thể chấp nhận được các điểm cuối chũm thể. Các tổ chức gồm thể chất nhận được truy nhập cổng 445 sang Trung trọng điểm dữ liệu rõ ràng Azure cùng dải IP O365 để có thể chấp nhận được các kịch phiên bản kết hòa hợp trong trang bị khách tại khu vực (phía sau tường lửa doanh nghiệp) thực hiện cổng SMB để thì thầm với Azure file Storage. Các bạn cũng phải chỉ cho phép SMB 3.x Traffic và yêu mong SMB AES-128 mã hóa. Xem phần "tham chiếu" để hiểu biết thêm thông tin.
lưu ý Việc áp dụng Net
BIOS for SMB Transport đã xong trong Windows Vista, Windows server 2008 và trong tất cả các hệ quản lý Microsoft về sau khi Microsoft ra mắt SMB 2,02. Mặc dù nhiên, bạn cũng có thể có phần mềm và những thiết bị khác với Windows trong môi trường của bạn. Chúng ta nên tắt và loại trừ SMB1 nếu như bạn chưa làm bởi vậy vì nó vẫn áp dụng Net
BIOS. Những phiên bạn dạng mới hơn của Windows Server với Windows ko còn thiết đặt SMB1 theo mang định cùng sẽ auto loại quăng quật nó ví như được mang lại phép.
Cách tiếp cận tường lửa của Windows Defender
Tất cả các phiên phiên bản được cung ứng của Windows cùng Windows Server đều phải có tường lửa Windows Defender (trước đây viết tên là tường lửa Windows). Tường lửa này cung cấp bảo vệ bổ sung cho những thiết bị, đặc biệt là khi thiết bị di chuyển bên ngoài một mạng hoặc khi chúng ta chạy trong vòng một.
Tường lửa của Windows Defender có các hồ sơ đơn nhất cho một trong những loại mạng độc nhất vô nhị định: thương hiệu miền, riêng tứ và khách/công cộng. Mạng khách/công cộng thường sẽ có nhiều setup hạn chế theo mang định rộng là miền an toàn và đáng tin cậy hoặc mạng riêng rẽ tư. Bạn cũng có thể thấy mình có những giới hạn SMB không giống nhau cho các mạng này dựa trên việc reviews mối ăn hiếp dọa của công ty so với nhu cầu hoạt động.
Các kết nối trong đến máy tính
Đối với sản phẩm khách và máy chủ Windows không giữ trữ chia sẻ SMB, bạn có thể chặn tất cả lưu lượng SMB đến bằng phương pháp dùng tường lửa Windows Defender để chống chặn liên kết từ xa khỏi những thiết bị có hại hoặc bị xâm phạm. Trong tường lửa của Windows Defender, làm việc này bao hàm các quy tắc trong nước sau đây.
Tên | Nhân | Phép |
Chia sẻ tệp và máy in (SMB-in) | Thôi | Không |
Dịch vụ singin net(NP-in) | Thôi | Không |
Quản lý Nhật cam kết sự khiếu nại từ xa (NP-in) | Thôi | Không |
Quản lý thương mại dịch vụ từ xa (NP-in) | Thôi | Không |
Bạn cũng nên tạo một luật lệ chặn mới để ghi đè lên ngẫu nhiên quy tắc tường lửa cho nào khác. áp dụng các cài đặt được lời khuyên sau đây cho ngẫu nhiên ứng dụng khách Windows hoặc máy chủ nào không giữ trữ chia sẻ SMB:
Tên: chặn tất cả các 445 SMB vào nước
Mô tả: khối toàn bộ các giao thông vận tải SMB vào TCP 445. Không vận dụng cho bộ điều khiển và tinh chỉnh tên miền hoặc máy tính xách tay lưu trữ share SMB.
Hành động: ngăn kết nối
Chương trình: vớ cả
Máy tính từ bỏ xa: bất kỳ
Loại giao thức: TCP
Cổng viên bộ: 445
Cổng trường đoản cú xa: bất kỳ
Hồ sơ: vớ cả
Phạm vi (địa chỉ IP viên bộ): bất kỳ
Phạm vi (địa chỉ IP từ bỏ xa): bất kỳ
Cạnh traversal: Block cạnh traversal
Bạn quan yếu chặn lưu lượng truy vấn SMB nội địa vào bộ tinh chỉnh và điều khiển tên miền hoặc máy chủ tệp. Mặc dù nhiên, bạn có thể hạn chế quyền truy tìm nhập chúng từ dải IP và những thiết bị an toàn để giảm bề mặt tấn công của chúng. Chúng ta cũng nên được giới hạn đối với tên miền hoặc hồ sơ tường lửa riêng và không cho phép khách/lưu lượng công cộng.
Lưu ý Tường lửa Windows đã chặn toàn bộ các liên hệ SMB trong nước theo mặc định trường đoản cú Windows XP SP2 và Windows server 2003 SP1. Lắp thêm Windows sẽ được cho phép giao tiếp SMB nội địa chỉ khi người quản trị tạo một share SMB hoặc biến hóa thiết để mặc định của tường lửa. Các bạn không nên tin yêu trải nghiệm trong hộp mặc định để vẫn đã ở tại địa điểm trên thiết bị, bất kể. Luôn luôn xác minh và tích cực và lành mạnh quản lý thiết lập và trạng thái mong ước của họ bằng cách sử dụng cơ chế nhóm hoặc công cụ thống trị khác.
Để hiểu thêm thông tin, hãy xem thi công tường lửa Windows Defender với kế hoạch bảo mật cải thiện và tường lửa Windows Defender với gợi ý triển khai bảo mật thông tin nâng cao
Kết nối ra bên ngoài từ thứ tính
Máy khách hàng và sever Windows yêu thương cầu liên kết SMB ra phía bên ngoài để áp dụng cơ chế nhóm trường đoản cú bộ điều khiển và tinh chỉnh tên miền và so với người cần sử dụng và ứng dụng để truy nhập tài liệu trên máy chủ tệp, vì đó, việc âu yếm phải được thực hiện khi tạo những quy tắc tường lửa để ngăn chặn liên kết bên hoặc mạng internet độc hại. Theo mang định, không tồn tại khối đi trên máy khách hoặc máy chủ Windows kết nối với chia sẻ SMB, bởi vì vậy bạn sẽ phải tạo những quy tắc chặn mới.
Bạn cũng đề nghị tạo một phép tắc chặn mới để ghi đè lên ngẫu nhiên quy tắc tường lửa mang đến nào khác. Sử dụng các setup được đề xuất sau trên đây cho bất kỳ ứng dụng khách hàng Windows hoặc sever nào không lưu trữ share SMB.
Xem thêm: Thủ Thuật Đánh Máy Tính Nhanh Không Cần Nhìn Phím, Mẹo Và Thủ Thuật Để Gõ Cực Nhanh Trên Bàn Phím
Mạng của khách/công cộng (không tin cậy)
Tên: khối khách mời/công cộng SMB 445
Mô tả: Blocks all OUTBOUND SMB TCP 445 Traffic khi ở trên mạng thiếu tín nhiệm cậy
Hành động: chặn kết nối
Chương trình: vớ cả
Máy tính tự xa: bất kỳ
Loại giao thức: TCP
Cổng cục bộ: bất kỳ
Cổng từ xa: 445
Hồ sơ: khách/công cộng
Phạm vi (địa chỉ IP cục bộ): bất kỳ
Phạm vi (địa chỉ IP trường đoản cú xa): bất kỳ
Cạnh traversal: Block cạnh traversal
Lưu ý người tiêu dùng Office với Office nhỏ, hoặc người tiêu dùng di động thao tác làm việc trong những mạng tin cậy của chúng ta và tiếp đến kết nối cùng với mạng bên riêng của họ, nên thực hiện thận trọng trước lúc chặn mạng ra quốc tế công cộng. Triển khai điều này rất có thể ngăn ngăn quyền truy vấn nhập vào những thiết bị NAS toàn thể của bọn họ hoặc một số trong những máy in.
Mạng riêng/miền (tin cậy)
Tên: chất nhận được Domain/Private SMB 445
Mô tả: chất nhận được gửi đi giao thông vận tải SMB TCP 445 lịch sự chỉ các máy nhà và tệp lúc ở bên trên một mạng tin cậy
Hành động: được cho phép kết nối nếu nó được bảo mật
Tùy chỉnh chất nhận được nếu các cài đặt bảo mật: chọn một trong các tùy chọn, đặt các quy tắc chặn ghi đè = bật
Chương trình: tất cả
Loại giao thức: TCP
Cổng cục bộ: bất kỳ
Cổng trường đoản cú xa: 445
Hồ sơ: Private/Domain
Phạm vi (địa chỉ IP cục bộ): bất kỳ
Phạm vi (địa chỉ IP từ bỏ xa):
Cạnh traversal: Block cạnh traversal
Lưu ý Bạn cũng hoàn toàn có thể sử dụng laptop từ xa thay bởi vì phạm vi địa chỉ cửa hàng IP tự xa, nếu liên kết được bảo mật thông tin sử dụng chuẩn xác mang định danh của dòng sản phẩm tính. Xem lại tài liệu tường lửa Defender để hiểu thêm tin tức về "cho phép liên kết nếu được bảo mật" cùng tùy chọn máy tính từ xa.
Tên: Block domain Outbound/Private SMB 445
Mô tả: Block OUTBOUND SMB TCP 445 Traffic. Ghi đè bằng phương pháp sử dụng luật lệ "cho phép đi Domain/Private SMB 445"
Hành động: ngăn kết nối
Chương trình: tất cả
Máy tính trường đoản cú xa: N/A
Loại giao thức: TCP
Cổng viên bộ: bất kỳ
Cổng tự xa: 445
Hồ sơ: Private/Domain
Phạm vi (địa chỉ IP cục bộ): bất kỳ
Phạm vi (địa chỉ IP tự xa): N/A
Cạnh traversal: Block cạnh traversal
Bạn yêu cầu không lưu lại lượng tầm nã nhập SMB đi từ máy tính xách tay sang tên miền hoặc máy chủ tệp. Tuy nhiên, chúng ta có thể hạn chế quyền truy nã nhập bọn chúng từ dải IP và những thiết bị an toàn và tin cậy để giảm mặt phẳng tấn công của chúng.
Để hiểu thêm thông tin, hãy xem xây đắp tường lửa Windows Defender với kế hoạch bảo mật nâng cấp và tường lửa Windows Defender với giải đáp triển khai bảo mật nâng cao
Quy tắc kết nối bảo mật
Bạn phải sử dụng quy tắc liên kết bảo mật để thực hiện ngoại lệ cho quy tắc tường lửa ra bên ngoài cho "cho phép kết nối nếu nó là bảo mật" cùng "cho phép kết nối sử dụng thiết đặt gói null". Nếu bạn không để quy tắc này trên tất cả các máy vi tính chạy Windows trên Windows và Windows Server, xác thực sẽ không thành công, cùng SMB có khả năng sẽ bị chặn ra ngoài.
Ví dụ, các cài đặt sau đấy là bắt buộc:
Loại quy tắc: cách ly
Yêu cầu: yêu cầu đúng đắn cho liên kết trong và ngoại trừ nước
Phương pháp xác thực: máy tính và người tiêu dùng (Kerberos v5)
Hồ sơ: Domain, Private, Public
Tên: xác xắn ESP phân tách cho SMB ghi đè
Để biết thêm tin tức về quy tắc kết nối bảo mật, hãy coi các nội dung bài viết sau đây:
Windows Workstation và thương mại & dịch vụ máy chủ
Đối với người dùng hoặc các máy tính được làm chủ cao nhưng mà không yêu mong SMB sống tất cả, bạn có thể vô hiệu hóa những dịch vụ máy chủ hoặc sản phẩm công nghệ trạm. Bạn cũng có thể thực hiện điều này theo biện pháp thủ công bằng cách sử dụng "Services" lắp (Services. Msc) và lệnh ghép ngắn Set-Service Power
Shell, hoặc bằng phương pháp sử dụng tùy chọn chế độ nhóm. Khi chúng ta dừng và loại bỏ hóa những dịch vụ này, SMB không còn rất có thể thực hiện tại kết nối ra phía bên ngoài hoặc nhận những kết nối đến.
Bạn không bị vô hiệu hóa dịch vụ máy chủ trên bộ tinh chỉnh và điều khiển tên miền hoặc máy chủ tệp hoặc không có khách hàng sẽ có thể áp dụng chính sách nhóm hoặc kết nối với dữ liệu của họ nữa. Bạn không biến thành vô hiệu hóa thương mại & dịch vụ máy trạm trên các máy tính là thành viên của một miền Active Directory hoặc bọn họ sẽ không còn áp dụng cơ chế nhóm.
Tham khảo
xây đắp tường lửa của Windows Defender với chiến lược bảo mật nâng cao Tường lửa Windows Defender với lý giải triển khai bảo mật thông tin nâng caoỨng dụng Azure Remote Địa chỉ IP của Azure Datacenter Địa chỉ IP của Microsoft O365
I"m trying khổng lồ disable services that I do not need, to lớn improve latency và improve security.I found that port 445 is still open by doing telnet on localhost và port 445. As I bởi vì not need port 445, I would prefer lớn close it.
How can I find out who is listening on port 445 & how bởi vì I disable it?
Note that I vày not want lớn block port 445 using the firewall or something lượt thích that, but want lớn disable the program that has port 445 open.
Following is just quotation of two different sources which I used khổng lồ successfully disable port 445 on Windows XP machines. I was closing port 445 and 135, 137 - 139, so I followed all instruction in the article và it worked for me.
General information about port 445 (archive link)
Among the new ports used by Windows 2000 is TCP port 445 which is used for SMB over TCP. The SMB (Server Message Block) protocol is used among other things for tệp tin sharing in Windows NT/2000/XP. In Windows NT it ran on đứng đầu of Net
BT (Net
BIOS over TCP/IP), which used the famous ports 137, 138 (UDP) và 139 (TCP). In Windows 2000/XP, Microsoft added the possibility to lớn run SMB directly over TCP/IP, without the extra layer of Net
BT. For this they use TCP port 445.
At its simplest Net
BIOS on your LAN may just be a necessary evil for legacy software. Net
BIOS on your WAN or over the Internet, however, is an enormous (read foolish...) security risk. All sorts of information, such as your domain, workgroup & system names, as well as trương mục information is obtainable via Net
BIOS. It really is in your best interests khổng lồ ensure that Net
BIOS never leaves your network.
If you are using a multi-homed machine i.e. More than 1 network card, then you should disable Net
BIOS on every network card, or Dial-Up Connection under the TCP/IP properties, that is not part of your local network.
How to disable port 445
To disable Port 445:
Add the following registry key:
Key: HKEY_LOCAL_MACHINESYSTEMCurrent
Control
SetServicesNet
BTParameters Name: SMBDevice
Enabled Type: DWORD (REG_DWORD) Data: 0
Don’t forget to lớn restart your computer after disabling the above ports for effect. Also, to kiểm tra that those ports are disabled, you can mở cửa a command prompt và type netstat -an lớn confirm that your computer is no longer listening khổng lồ those ports.
(the registry keys are different for Windows 7 onwards, see this Microsoft article)