SMB: необходимо открыть порты для совместного использования файлов и принтеров SMB: File and printer sharing ports should be open

Обновлено: 2 февраля 2011 г. Updated: February 2, 2011

Область применения: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, Windows Server 2008 R2 Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, Windows Server 2008 R2

Этот раздел предназначен для устранения определенной проблемы, обнаруженной анализатор соответствия рекомендациям сканированием. Сведения, приведенные в этом разделе, следует применять только к компьютерам, на которых были запущены файловые службы анализатор соответствия рекомендациям и которые столкнулись с проблемой, описанной в этом разделе. Дополнительные сведения о рекомендациях и проверках см. в разделе анализатор соответствия рекомендациям. This topic is intended to address a specific issue identified by a Best Practices Analyzer scan. You should apply the information in this topic only to computers that have had the File Services Best Practices Analyzer run against them and are experiencing the issue addressed by this topic. For more information about best practices and scans, see Best Practices Analyzer.

Операционная система Operating System

Windows Server Windows Server

Продукт или компонент Product/Feature

Файловые службы File Services

Уровень серьезности Severity

Категория Category

Проблема Issue

Порты брандмауэра, необходимые для общего доступа к файлам и принтерам, не открыты (порты 445 и 139). The firewall ports necessary for file and printer sharing are not open (ports 445 and 139).

Влияние Impact

Компьютеры не смогут получить доступ к общим папкам и другим сетевым службам на основе SMB на этом сервере. Computers will not be able to access shared folders and other Server Message Block (SMB)-based network services on this server.

Решение Resolution

Включите общий доступ к файлам и принтерам для обмена данными через брандмауэр компьютера. Enable File and Printer Sharing to communicate through the computer’s firewall.

Для выполнения этой процедуры как минимум необходимо быть участником группы Администраторы (либо аналогичной). Membership in the Administrators group, or equivalent, is the minimum required to complete this procedure.

Открытие портов брандмауэра для включения общего доступа к файлам и принтерам To open the firewall ports to enable file and printer sharing

Откройте панель управления, щелкните система и безопасность, а затем щелкните Брандмауэр Windows. Open Control Panel, click System and Security, and then click Windows Firewall.

В левой области щелкните Дополнительные параметры, а затем в дереве консоли щелкните правила для входящих подключений. In the left pane, click Advanced settings, and in the console tree, click Inbound Rules.

В разделе правила для входящих подключений выберите файлы правил и общий доступ к принтерам (сеансы с расширением NetBIOS) и общий доступ к ФАЙЛАМ и принтерам (SMB-in). Under Inbound Rules, locate the rules File and Printer Sharing (NB-Session-In) and File and Printer Sharing (SMB-In).

Щелкните правой кнопкой мыши на каждом правиле и нажмите Включить правило. For each rule, right-click the rule, and then click Enable Rule.

Все о брандмауэре для портов SMB, о котором вы должны знать

Протокол SMB обеспечивает межпроцессное взаимодействие. Этот протокол позволяет службам и приложениям в сетевых системах взаимодействовать друг с другом. Другими словами, можно сказать, что SMB является одним из распространенных языков, которые системы используют для общения друг с другом. Вот все о SMB Ports Firewall для вас.

Как работает этот протокол SMB?

В более ранних версиях Windows SMB использовался для работы в сетевой архитектуре NetBIOS. Microsoft модифицировала SMB в Windows 2000 для работы с некоторыми основными TCP, где она использовала выделенный порт IP. В последних версиях Windows он продолжает использовать тот же порт.

Microsoft даже внесла улучшения в SMB для повышения безопасности и производительности. С SMB2 это уменьшило всю детализацию протокола. С другой стороны, SMB3 состоит из улучшений и производительности для виртуализированной среды и поддержки сквозного и надежного шифрования.

Протоколы SMB

Как и другие языки, программисты создали разнообразные диалекты SMB для использования в разных целях. Например, CIFS (Common Internet File System) — это конкретная реализация SMB, которая позволяет осуществлять общий доступ к файлам. Большинство людей рассматривают CIFS в качестве другого протокола вместо SMB, где на самом деле они используют одинаковую базовую архитектуру.

Некоторые из важных реализаций SMB включают в себя:

• самбаЭто относится к реализации с открытым исходным кодом из Microsoft Active Directory. Эта реализация позволяет системам, отличным от Windows, взаимодействовать с системой Windows.
• CIFS: Это типичный протокол разделения огня, который используют серверы Windows. CIFS также совместим с устройствами NAS.
• MoSMB: Эта реализация является частным SMB, который был представлен Рюсси Технологии.
• NQЭто еще одна портативная реализация SMB для обмена файлами. Системы визуальности разработал эту реализацию SMB.
• также: Это многопротокольный сетевой протокол с поддержкой идентификации для обмена файлами. EMC приобрел этот протокол в 2012 году.
• смокинг SMBЭто еще одна проприетарная реализация SMB, которая работает либо в пользовательском пространстве, либо в ядре.

Теперь пришло время узнать о брандмауэре портов SMB и о других вещах о портах SMB. Начнем с разговоров о портах SMB 445 и 139.

Кроме того, нажмите здесь, чтобы прочитать больше о полной IDS VS. Межсетевой экран VS. IPS сравнение и Mikrotik Firewall правила.

Что вы подразумеваете под SMB-портами 445 и 139?

SMB — это сетевой протокол для обмена файлами. Для связи с другими системами требуются сетевые порты SMB на сервере или компьютере. Для этого он использует порты SMB, порт 445 или 139.

• Порт 139Первоначально SMB использовался для запуска поверх NetBIOS с портом 139. Здесь NetBIOS относится к более старому транспортному уровню, который позволяет системам Windows взаимодействовать друг с другом, совместно используя аналогичную сеть.
• Порт 445: Более поздние версии SMB, появившиеся после Windows 2000, начали использовать IP-порт 445 в верхних стеках TCK. Благодаря TCP он позволяет SMB работать через Интернет.

IP-порт 139 технически называется какNBT через IP, ‘в то время как IP-порт 445 называется’SMB через IP». Здесь SMB относится кБлоки сообщений сервера.» На современном языке SMB также называетсяОбщая Интернет Файловая Система.» Он функционирует как сетевой протокол прикладного уровня, который в основном используется для предоставления общего доступа к принтерам, файлам, последовательным портам или другим видам связи между узлами в сети.

Большая часть использования SMB касалась систем, работающих на Microsoft Windows. Здесь эта сеть стала известна какСеть Microsoft Windows‘до последующего введения Active Directory. Он работает на верхних сетевых уровнях Session различными способами. Например, SMB работает непосредственно через IP / TCP в Windows без требования NetBIOS через IP / TCP. В этом случае вы будете использовать IP-порт 445. На других компьютерах вы будете сталкиваться с приложениями и службами, использующими IP-порт 139. Это означает, что межсетевой экран портов SMB работает с NetBIOS через IP / TCP.

NetBIOS относится к базовой системе ввода-вывода сети. Этот программный протокол позволяет настольным компьютерам, приложениям и ПК в локальной сети (локальной сети) взаимодействовать друг с другом или с сетевым оборудованием. Это даже позволяет им передавать данные по сети. Например, программные приложения, которые работают в сетях NetBIOS, идентифицируют и определяют местоположение друг друга по именам пользователей NetBIOS.

Имена NetBIOS имеют длину до 16 символов и обычно отличаются от имени системы. Когда клиент отправляет команду для вызова другого (сервера), два приложения начинают конференцию NetBIOS через порт TCP 139.

Злоумышленники признают, что IP-порт 445 восприимчив и имеет различные недостатки. Пример неправильного использования порта SMB — сравнительно тихий NetBIOS-черви‘ внешность. Медленно, эти черви сканируют Интернет в манере, в то время как порт использует такие инструменты, как PsExec для перевода себя в новую систему жертвы. После этого черви удваивают усилия сканирования. Таким незнакомым образом, огромныйБот Армии«Тысячи и тысячи червей NetBIOS уступали машинам, собирались и находились в Интернете.

PS: узнайте больше о том, как создать Межсетевой экран Raspberry Pi и как отключить брандмауэр, так же хорошо как важность брандмауэра.

Зачем пользователям нужен порт SMB 139?

NetBIOS через Интернет или через WAV — это риск высокого уровня безопасности. Через NetBIOS можно получить доступ ко всем видам информации, таким как имена вашей рабочей группы, системы и домена, а также сведения об учетной записи. Таким образом, важно сохранить NetBIOS в предпочтительной сети, а также убедиться, что он не покидает вашу сеть.

Брандмауэр портов SMB всегда ограничивает этот порт в первую очередь в качестве меры безопасности, если пользователи открыли его. Этот порт 139 используется для общего доступа к файлам и распечаткам. Тем не менее, это, кажется, самый опасный порт, который вы найдете в Интернете. Это связано с тем, что порт оставляет жесткий диск пользователя доступным для киберпреступников.

Как только злоумышленник обнаружил активный IP-порт 139 на любом устройстве, он запускает NBSTAT это диагностическая программа для NetBIOS через IP / TCP. Это приложение предназначено в первую очередь для устранения неполадок, связанных с разрешением имен, связанных с NetBIOS. Это делает значительный шаг в вспышке под названием Footprinting.

С помощью команды NBSTAT злоумышленники могут получить доступ ко всем или некоторым критическим данным, связанным с:

1. Имя системы
2. IP-адреса
3. Запись локальных имен пользователей NetBIOS
4. Список имен, установленный WINS
5. Содержимое сеансовой таблицы вместе с назначением IP-адресов

Наряду с этими подробностями киберпреступник получает всю важную информацию, касающуюся службы, ОС и основных приложений, которые запускаются на компьютере. Помимо этого, злоумышленник отслеживает частные IP-адреса, которые WAN / LAN, которые инженеры безопасности стараются сохранить за NAT. Более того, идентификаторы пользователей даже включаются в списки, предлагаемые запуском NBSTAT.

Он позволяет злоумышленникам получить удаленный доступ к содержимому дисков или каталогов жесткого диска. После этого они автоматически загружают и запускают предпочитаемые программы через некоторые бесплатные программы без ведома владельца системы.

Пользователи, которые используют многодомную систему, могут отключить NetBIOS на всех сетевых картах или в свойствах IP / TCP, Dial-Up Connection, который не является частью локальной сети.

Как пользователи могут обращаться с IP-портом 445?

Принимая во внимание вышеупомянутые опасности, лучше всего, чтобы пользователи не открывали порт 445 в Интернет. Тем не менее, порт 445 глубоко укоренился в Windows, как и порт 135. Таким образом, становится трудным закрыть его безопасно. Сказав это, вполне возможно, чтобы закрыть его; однако, различные другие зависимые инструменты или сервисы, такие как протокол динамической конфигурации хоста (DHCP), который часто используется для автоматического получения IP-адресов от серверов DHCP, который используется большинством интернет-провайдеров, и корпорации перестают работать.

Кстати, нажмите здесь для полной Прокси против Брандмауэра сравнение.

Различные способы обеспечения безопасности портов SMB

Сохранение сетевых SMB-портов открытыми для работы приложений сопряжено с угрозой безопасности. Таким образом, пользователи могут думать о том, как они могут защитить свои сети и поддерживать работу приложений. Здесь мы предложили несколько вариантов, которые помогут вам защитить два самых важных и популярных брандмауэра для портов SMB.

1. Загрузите VPN для защиты и шифрования сетевого трафика.
2. Разрешить защиту конечных точек или брандмауэр портов SMB для защиты портов от киберпреступников. Многие решения содержат черный список для предотвращения соединения со знакомыми IP-адресами злоумышленников.
3. Внедрить VLAN для изоляции внутреннего сетевого трафика.
4. Используйте фильтры MAC-адресов для хранения неизвестных систем для доступа к сети. Тем не менее, это требует существенного управления для поддержания списка постоянно поддерживается.

Помимо указанных выше конкретных средств защиты сети, пользователи также могут реализовать стратегию защиты, ориентированную на данные, для защиты своего наиболее значимого ресурса, а именно хранилищ данных на общих файловых ресурсах SMB.

Понять, кто все может получить доступ к конфиденциальным данным через общие ресурсы SMB, довольно сложно. Varonis отслеживает данные и права доступа. Он даже обнаруживает конфиденциальные данные, представленные на акциях SMB. Важно отслеживать данные для выявления прогрессивных атак. Кроме того, важно защитить данные от взлома.

Varonis показывает вам, где данные небезопасны на портах SMB. Он даже контролирует эти акции SMB на предмет нерегулярного доступа и надвигающихся кибератак. Прежде чем перейти к брандмауэру портов SMB, лучше всего проверить демонстрацию того, как Varonis отслеживает CIFS в EMC, общих папках NetApp, Samba и Windows для обеспечения безопасности данных.

Отслеживайте местоположения, сообщения, звонки и приложения.
Делайте это удаленно и на 100% незаметно.