Recentemente sono stato attaccato da alcuni cryptolocker (non sono sicuro che si tratti di WannaCry) e ora sto rivedendo le mie politiche di rete. Per raggiungere questo scopo, voglio disabilitare tutte le attività SMB per PC infetti. Sorprendentemente, anche facendo tutto secondo linee guida , il mio traffico SMB non è bloccato comunque.
Ho bloccato le porte 137,138 (UDP) e 139, 445 (TCP) a livello di router (AsusWRT), ma I può ancora accedere alle condivisioni di PC di destinazione. Perché? L'unica misura che ha aiutato è l'arresto del servizio Server sul PC di destinazione. Ecco la mia tabella delle regole del firewall riguardante queste due macchine.
Voglio evidenziare, questa è la tabella white-list , quindi indica solo le connessioni consentite tra Server (cioè server SMB) e Client (cioè SMB- client).
Come puoi vedere, quelle porte sono permesse sul client. È la ragione per cui il traffico SMB sta scorrendo? Possiamo bloccare efficacemente SMB solo per un server, senza influire sul client?
P.S. Il server è Win8.1 Pro, il client è Win10 Pro Creators Update, entrambi hanno indirizzi 192.168.X.X.