بستن share کلاینت های شبکه برای همه به جز یک کاربر/کامپیوتر

دوستان کسی تجربه ی این کار رو نداره؟

ممنون دوست عزیز

اصرار به بستن پورت 445 هستش

توی فایروال موقع تعریف رول سه تا سربرگ scope، computer و user داره ک فکر میکنم مربوط به همین باشه ولی هر سه تاشو تست گرفتم جواب نداد احتمالا یه نکته داره. حالا یوزر نشه تعریف کرد آی پی یه سیستم هم ک بشه اوکیه

DHCP وقتی به مشکل میخوره که شما NetBIOS over TCP/IP رو روی کامپیوتر ها فعال کرده باشید الان مگه کی از NetBIOS استفاده می کنه زمانیکه DNS Server هست و بخوبی با اکتیودایرکتوری Intergrate میشه ؟ در ضمن ، شما مجبور نیستید که از نسخه های قدیمی SMB استفاده کنید ، شما میتونید از نسخه های SMB 3.x.x روی سیستم ها استفاده کنید امنیتش هم بالاتر هست.

تعریف کردن رنج IP هم سخت نیست. IP range باید وارد کنید دیگه همین. کلا ۲ دقیقه زمان میبره.

پ.ن : همه پروتکل و سرویس ها نا امن هستند. تو شبکه هیچ چیزی ۱۰۰ درصد امن نیست.

تو وب سایت زیر هم عین این سوال رو پرسیدید (حتی دو بار!) ولی هنوز پاسخی از شما دریافت نکردیم ...

لینک سوال شما : 

https://community.spiceworks.com/topic/2460563-how-to-block-445-port-on-all-clients-domain-for-any-source-except-one-ip-admin?page=1#entry-10198596

https://community.spiceworks.com/topic/2460098-how-to-block-445-port-on-all-clients-domain-for-any-source-except-one-ip-admin

 دوستان الووو

بله کاربران عادی مجوز ایجاد share ندارن اما مهم اینه که پورت 445 برای اونها بازه و میدونید که بسیاری از حملات و انتشار بدافزارها از طریق این پورت انجام میشه.

به هر حال هدف اینه که این پورت روی تمامی کلاینت های شبکه برای همه کلاینت ها به جز یک کلاینت که ادمین هستش بسته بشه. به عبارتی هیچ کاربری از شبکه به جز ادمین نتونه share کاربر دیگه رو باز کنه

اگر از یک فایروال جامع تحت شبکه استفاده میکنید آنگاه امکان دارد که بتوانید بر اساس source port و یا destination port محدودیتهایی رو ایجاد کنید. لینک پست قبلی من فایروال ویندوز را نشان میداد. شما از چه فایروالی استفاده میکنید؟

فایروال pfsense رو دارم ولی تو لبه شبکه خودم و شبکه بیرونی هستش

بعید میدونم با اون بشه ترافیک شبکه داخلی رو مدیریت کرد

من تا الان ترافیک بین شبکه داخلی و بیرونی رو مدیریت میکردم یعنی توش rul مینوشتم که چه کلاینتایی از شبکه داخلی بتونن چه سامانه هایی از شبکه بیرونی رو ببینن

درست میگین. اگر بخواین روی pfsense رول بنویسید باید تمامی ترافیک SMB و پورت 445 رو هدایت کنید به فایروالتون...

به نظرم نمیشه بدون وجود فایروال UTM و صرفا با فایروال ویندوز ، جلوی پورت 445 را جوری سد کرد که برای ادمین باز باشد و برای باقی کاربران خیر... ولی لزوما نظرم ممکنه درست نباشه

من smb رو روی سرورها بستم مشکلی نداشت ولی به صورت دسترسی روی یک کلاینت این کار رو انجام دادم که باعث شد کاربر دیگه نتونه به سیستم login بکنه که ظاهرا توی لینک های بالا هم افراد گفتند که با این کار dhcp به مشکل برمیخوره.

حالا اینکه چرا سرورها مشکلی براشون پیش نیومده رو نمیدونم.

""آقای کریم پور""گفتند که توی scope باید بیایم همه ip ها رو به جز ip مجاز تعریف کنیم.خیلی سخت نیست؟؟

چیزیم که هس اینه که smb رو یه پروتکل ناامن میشناسن برا همین گفته میشه که باید بسته بشه

کاربر های عادی روی سیستم های کلاینت مجوز Share کردن فایل و فولدر رو ندارن. شما احتمالا کاربر هایی رو دارین که دسترسی Local Admin روی سیستم هاشون دارن.

سلام. شما میتوانید از فیچر FSRM مخفف File Server Resource Manager در بخش add roles and features سرور خودتون اقدام به اضافه کردن این قابلیت کنید. سپس تنظیمات آن را به نحوی انجام بدید که هر کاربری، تنها قادر به دیدن فولدرهایی که به آنها مستقیما دسترسی دارد، باشد

آموزش گام به گام راه اندازی FSRM در ویندوز سرور 2012

اگر اصرار به لزوما بستن پورت 445 دارید، این لینک ، راهنمای بستن 445 با سه روشه. فایروال ، کامند و تغییر رجیستری... منتها اینکه میخواهید برای یک یوزر باز باشد، مشکل اینجاست که این پورت، سیستمی کار میکند و تحت کاربر User نیست که بتوانید تحت یک یوزر آن را enable کنید و تحت یک یوزر آن را disable... یا باید کلا باز باشد یا باید کلا بسته باشد

موفق باشید

@آبتین جعفری فیروزآبادی

با Firewall/UTM نمیشه ترافیک رد و بدل شده بین کلاینت های توی یک subnet/LAN رو مسدود کرد چون فایروال تحت شبکه رو این ترافیک کنترل نداره یعنی از Default Gateway عبور داده نمیشه که فایروال پکت ها رو ببینه و تغییرات خودش رو روش اعمال کنه. این کار از طریق Endpoint Firewall باید انجام بشه.

ممنون ازگوشزد این نکته. اشتباه من بود.

نظر شما چیه