SMB-verkeer beveiligen in Windows Server

Van toepassing op: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Als diepgaande verdediging kunt u segmentatie- en isolatietechnieken gebruiken om SMB-verkeer te beveiligen en bedreigingen tussen apparaten in uw netwerk te verminderen.

SMB wordt gebruikt voor het delen van bestanden, afdrukken en communicatie tussen processen, zoals named pipes en RPC. Het wordt ook gebruikt als netwerkgegevensinfrastructuur voor technologieën zoals Storage Spaces Direct, Storage Replica, Hyper-V Live Migration en Cluster Shared Volumes. Gebruik de volgende secties om SMB-verkeerssegmentatie en eindpuntisolatie te configureren om uitgaande en zijdelingse netwerkcommunicatie te voorkomen.

Binnenkomende SMB-toegang blokkeren

Tcp-poort 445 binnenkomend vanaf internet blokkeren bij uw bedrijfshardwarefirewalls. Door binnenkomend SMB-verkeer te blokkeren, worden apparaten in uw netwerk beschermd door toegang vanaf internet te voorkomen.

Als u wilt dat gebruikers toegang hebben tot hun bestanden die binnenkomend zijn aan de rand van uw netwerk, kunt u SMB via QUIC gebruiken. Dit maakt standaard gebruik van UDP-poort 443 en biedt een met TLS 1.3 versleutelde beveiligingstunnel, zoals een VPN voor SMB-verkeer. Voor de oplossing zijn Windows 11 en Windows Server 2022 Datacenter vereist: Azure Edition-bestandsservers die worden uitgevoerd op Azure Local. Zie SMB via QUICvoor meer informatie.

Uitgaande SMB-toegang blokkeren

Tcp-poort 445 uitgaand naar internet blokkeren op uw bedrijfsfirewall. Als u uitgaand SMB-verkeer blokkeert, voorkomt u dat apparaten in uw netwerk gegevens verzenden met behulp van SMB naar internet.

Het is onwaarschijnlijk dat u uitgaande SMB via TCP-poort 445 naar internet toestaat, tenzij u deze nodig hebt als onderdeel van een openbare cloudaanbiedingen. De primaire scenario's omvatten Azure Files en Office 365.

Als u Azure Files SMB gebruikt, gebruikt u een VPN voor uitgaand VPN-verkeer. Met behulp van een VPN beperkt u het uitgaande verkeer tot de vereiste IP-adresbereiken van de service. Zie voor meer informatie over IP-adresbereiken van Azure Cloud en Office 365:

Azure IP-bereiken en servicetags:
De JSON-bestanden worden wekelijks bijgewerkt en bevatten versiebeheer voor zowel het volledige bestand als elke afzonderlijke servicetag. De AzureCloud-tag biedt de IP-bereiken voor de cloud (openbaar, amerikaanse overheid, Duitsland of China) en wordt gegroepeerd op regio binnen die cloud. Servicetags in het bestand nemen toe naarmate Azure-services worden toegevoegd.
URL's en IP-adresbereiken van Office 365.

Met Windows 11 en Windows Server 2022 Datacenter: Azure Edition kunt u SMB via QUIC gebruiken om verbinding te maken met bestandsservers in Azure. Dit maakt standaard gebruik van UDP-poort 443 en biedt een met TLS 1.3 versleutelde beveiligingstunnel, zoals een VPN voor het SMB-verkeer. Zie SMB via QUICvoor meer informatie.

SMB-gebruik en -shares inventariseren

Door het SMB-verkeer van uw netwerk te inventariseren, krijgt u inzicht in het verkeer dat zich voordoet en kunt u bepalen of dit nodig is. Gebruik de volgende controlelijst met vragen om onnodig SMB-verkeer te identificeren.

Voor servereindpunten:

Voor welke servereindpunten is binnenkomende SMB-toegang vereist om hun rol uit te voeren? Hebben ze binnenkomende toegang nodig vanaf alle clients, bepaalde netwerken of bepaalde knooppunten?
Is binnenkomende SMB-toegang nodig voor de resterende servereindpunten?

Voor clienteindpunten:

Voor welke clienteindpunten (bijvoorbeeld Windows 10) is binnenkomende SMB-toegang vereist? Hebben ze binnenkomende toegang nodig vanaf alle clients, bepaalde netwerken of bepaalde knooppunten?
Is binnenkomende SMB-toegang nodig voor de resterende clienteindpunten?
Van de resterende clienteindpunten moeten ze de SMB-serverservice uitvoeren?

Bepaal voor alle eindpunten of u uitgaande SMB op de veiligste en meest minimale manier toestaat.

Controleer ingebouwde serverrollen en -functies waarvoor inkomend SMB-verkeer vereist is. Voor bestandsservers en domeincontrollers is bijvoorbeeld inkomend verkeer van SMB vereist om hun rol uit te voeren. Zie Service-overzicht en netwerkpoortvereisten voor Windowsvoor meer informatie over ingebouwde rollen en functiepoortvereisten.

Controleer servers waartoe toegang moet worden verkregen vanuit het netwerk. Zo moeten domeincontrollers en bestandsservers waarschijnlijk overal in het netwerk worden geopend. Toegang tot de toepassingsserver kan echter worden beperkt tot een set andere toepassingsservers in hetzelfde subnet. U kunt de volgende hulpprogramma's en functies gebruiken om SMB-toegang te inventariseren:

Gebruik de Get-FileShareInfo opdracht uit de AZSBTools-module die is ingesteld om shares op servers en clients te onderzoeken.
Schakel een audittrail in van binnenkomende SMB-toegang met behulp van de registersleutel Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Aangezien het aantal gebeurtenissen groot kan zijn, kunt u overwegen om een opgegeven hoeveelheid tijd in te schakelen of Azure Monitor te gebruiken.

Als u SMB-logboeken bekijkt, weet u welke knooppunten communiceren met eindpunten via SMB. U kunt bepalen of de shares van een eindpunt in gebruik zijn en begrijpen welke er bestaan.

Windows Defender Firewall configureren

Gebruik firewallregels om extra verbindingsbeveiliging toe te voegen. Configureer regels om zowel binnenkomende als uitgaande communicatie met uitzonderingen te blokkeren. Een uitgaand firewallbeleid dat het gebruik van SMB-verbindingen zowel buiten als binnen uw beheerde netwerk verhindert, terwijl het toegang toestaat tot slechts de minimale set servers en geen andere apparaten, is een diepgaande verdedigingsmaatregel tegen laterale bewegingen.

Zie het ondersteuningsartikel over het voorkomen van SMB-verkeer van laterale verbindingen en het invoeren of verlaten van het netwerkvoor informatie over de SMB-firewallregels die u moet instellen voor binnenkomende en uitgaande verbindingen.

Het ondersteuningsartikel bevat sjablonen voor:

Regels voor inkomend verkeer die zijn gebaseerd op elk type netwerkprofiel.
Uitgaande regels voor privé-/domeinnetwerken (vertrouwde netwerken).
Uitgaande regels voor gast-/openbare (niet-vertrouwde) netwerken. Deze sjabloon is belangrijk om af te dwingen op mobiele apparaten en telewerkers die vanuit huis werken en zich niet achter uw firewall bevinden die uitgaand verkeer blokkeert. Het afdwingen van deze regels op laptops vermindert de kans op phishingaanvallen die gebruikers naar schadelijke servers sturen om referenties te verzamelen of aanvalscode uit te voeren.
Uitgaande regels met een onderdrukkingslijst voor domeincontrollers en bestandsservers met de naam Verbinding toestaan indien beveiligd.

Als u de IPSEC-verificatie voor nul-inkapseling wilt gebruiken, moet u een regel voor beveiligingsverbinding maken op alle computers in uw netwerk die aan de regels deelnemen. Anders werken de firewall-uitzonderingen niet en wordt er willekeurig geblokkeerd.

Caution

U moet de beveiligingsverbindingsregel testen voordat u een brede implementatie uitvoert. Een onjuiste regel kan voorkomen dat gebruikers toegang krijgen tot hun gegevens.

Als u een verbindingsbeveiligingsregel wilt maken, gebruikt u Windows Defender Firewall met het configuratiescherm of de module Advanced Security:

Selecteer in Windows Defender Firewall Verbindingsbeveiligingsregels en kies een nieuwe regel.
Selecteer In Regeltypeisolatie en selecteer vervolgens Volgende.
Selecteer in Vereistenverificatie aanvragen voor binnenkomende en uitgaande verbindingen en selecteer vervolgens Volgende.
Selecteer in verificatiemethodecomputer en gebruiker (Kerberos V5) en selecteer vervolgens Volgende.
Controleer in Profiel alle profielen (domein, privé, openbaar) en selecteer vervolgens Volgende.
Voer een naam in voor de regel en selecteer Voltooien.

Houd er rekening mee dat de verbindingsbeveiligingsregel moet worden gemaakt op alle clients en servers die deelnemen aan uw regels voor inkomend en uitgaand verkeer, anders kunnen ze geen verbinding maken met SMB-uitgaande verbindingen. Deze regels zijn mogelijk al van toepassing op andere beveiligingsinspanningen in uw omgeving en kunnen, zoals de inkomende/uitgaande firewallregels, worden geïmplementeerd via groepsbeleid.

Wanneer u regels configureert op basis van de sjablonen in het ondersteuningsartikel 'Voorkomen dat SMB-verkeer zijdelingse verbindingen maakt en het netwerk binnenkomt of verlaat', stelt u het volgende in om de actie 'Verbinden toestaan als het veilig is' aan te passen:

Selecteer in de actiestapDe verbinding toestaan als deze veilig is en selecteer Aanpassen.
Selecteer in Toestaan als Beveiligde Instellingende optie Toestaan dat de verbinding null-encapsulatiegebruikt.

De optie De verbinding toestaan als deze beveiligd is maakt het mogelijk om een globale blokregel te overschrijven. U kunt gebruikmaken van de eenvoudige maar minst veilige optie om de verbinding null-inkapseling te laten gebruiken met *regels voor het negeren van blokkades, die afhankelijk zijn van Kerberos en domeinlidmaatschap voor authenticatie. Windows Defender Firewall biedt veiligere opties, zoals IPSEC.

Zie Windows Defender Firewall met geavanceerde beveiligingsimplementatievoor meer informatie over het configureren van de firewall.

Bijgewerkte firewallregels

Vanaf Windows 11, versie 24H2 en Windows Server 2025 bevatten de ingebouwde firewallregels de SMB NetBIOS-poorten niet meer. In eerdere versies van Windows Server, toen u een share maakte, heeft de firewall automatisch bepaalde regels ingeschakeld in de groep Bestands- en printerdeling. Met name de ingebouwde firewall gebruikt automatisch binnenkomende NetBIOS-poorten 137 tot en met 139. Shares die zijn gemaakt met SMB2 of hoger, gebruiken geen NetBIOS-poorten 137-139. Als u een SMB1-server wilt gebruiken om verouderde compatibiliteitsredenen, moet u de firewall handmatig opnieuw configureren om deze poorten te openen

We hebben deze wijziging aangebracht om de netwerkbeveiliging te verbeteren. Deze wijziging brengt SMB-firewallregels meer in overeenstemming met het standaardgedrag voor de Windows Server-bestandsserverfunctie . Standaard opent de firewallregel alleen het minimale aantal poorten dat nodig is voor het delen van gegevens. Beheerders kunnen de regels opnieuw configureren om de verouderde poorten te herstellen.

SMB-server uitschakelen als deze niet wordt gebruikt

Voor Windows-clients en sommige van uw Windows-servers in uw netwerk is mogelijk niet vereist dat de SMB Server-service wordt uitgevoerd. Als de SMB Server-service niet vereist is, kunt u de service uitschakelen. Voordat u de SMB Server-service uitschakelt, moet u ervoor zorgen dat er geen toepassingen en processen op de computer nodig zijn voor de service.

U kunt voorkeuren voor groepsbeleid gebruiken om de service op een groot aantal computers uit te schakelen wanneer u klaar bent om te implementeren. Zie Een service-item configurerenvoor meer informatie over het configureren van voorkeuren voor groepsbeleid.

Testen en implementeren met behulp van beleid

Begin met testen met behulp van kleinschalige, handmatige implementaties op bepaalde servers en clients. Gebruik gefaseerde implementaties voor groepsbeleid om deze wijzigingen aan te brengen. Begin bijvoorbeeld met de zwaarste gebruiker van SMB, zoals uw eigen IT-team. Als de laptops, apps en bestandsdeling van uw team goed werken na het implementeren van uw inkomende en uitgaande firewallregels, stelt u een testgroepsbeleid op binnen uw uitgebreide test- en QA-omgevingen. Op basis van de resultaten begint u met het nemen van steekproeven van enkele afdelingsmachines en vouwt u vervolgens uit.

Volgende stappen

Bekijk de Ignite-conferentiesessie van Jessica Payne Demystifying the Windows Firewall

Feedback

Is deze pagina nuttig?

Last updated on 2025-08-16