我正在回复 Microsoft 的安全公告 ADV200005 | Microsoft 禁用 SMBv3 压缩指南。建议是禁用 SMBv3 压缩。
我正在运行一个不使用 SMBv3 或从其他服务器访问文件的 Azure Web 应用程序。所以我想完全禁用 SMBv3(不仅仅是 SMBv3 压缩)。
我如何能够从 Azure 门户中做到这一点?我什至可以这样做吗?
我正在回复 Microsoft 的安全公告 ADV200005 | Microsoft 禁用 SMBv3 压缩指南。建议是禁用 SMBv3 压缩。
我正在运行一个不使用 SMBv3 或从其他服务器访问文件的 Azure Web 应用程序。所以我想完全禁用 SMBv3(不仅仅是 SMBv3 压缩)。
我如何能够从 Azure 门户中做到这一点?我什至可以这样做吗?
所有 Azure Web 应用程序(以及移动应用程序/服务、WebJobs 和函数)都在称为沙盒的安全环境中运行。每个应用程序都在自己的沙箱内运行,将其执行与同一台机器上的其他实例隔离开来,并提供额外的安全性和隐私性,否则这些应用程序将无法使用。
在 Azure WebApps 上,无论地址如何,应用程序都无法使用端口 445、137、138 和 139 连接到任何地方。换句话说,即使连接到非私有 IP 地址或虚拟网络的地址,也无法连接到端口 445 , 137, 138 和 139 是不允许的。
就 Azure 应用服务 WebApps - 更新、安全和修补而言 - 应用服务是一种平台即服务,这意味着操作系统和应用程序堆栈由 Azure 为您管理;您只管理您的应用程序及其数据。
您可能希望了解如何以及何时应用操作系统更新:Azure 在两个级别上管理操作系统补丁,即物理服务器和运行应用服务资源的来宾虚拟机 (VM)。两者都每月更新一次,这与每月的补丁星期二时间表保持一致。这些更新会自动应用,以保证 Azure 服务的高可用性 SLA。
此外,仅强调一下 - 当严重漏洞需要立即修补时,例如零日漏洞,高优先级更新将根据具体情况进行处理。访问 Azure 安全博客 - https://azure.microsoft.com/blog/topics/security/ ,随时了解 Azure 中的关键安全公告
请查看此文档 - https://azure.github.io/AppService/2018/01/18/Demystifying-the-magic-behind-App-Service-OS-updates.html,了解有关 Azure App Service OS 修补的更多详细信息。
我们建议您不要禁用 SMBv2 或 SMBv3。禁用 SMBv2 或 SMBv3 仅作为临时故障排除措施。不要让 SMBv2 或 SMBv3 处于禁用状态。
在 Windows 中禁用:
Set-SmbServerConfiguration -EnableSMB3Protocol $false
更多细节,你可以参考这篇文章。