SMB: необходимо открыть порты для совместного использования файлов и принтеров SMB: File and printer sharing ports should be open

Обновлено: 2 февраля 2011 г. Updated: February 2, 2011

Область применения: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, Windows Server 2008 R2 Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, Windows Server 2008 R2

Этот раздел предназначен для устранения определенной проблемы, обнаруженной анализатор соответствия рекомендациям сканированием. Сведения, приведенные в этом разделе, следует применять только к компьютерам, на которых были запущены файловые службы анализатор соответствия рекомендациям и которые столкнулись с проблемой, описанной в этом разделе. Дополнительные сведения о рекомендациях и проверках см. в разделе анализатор соответствия рекомендациям. This topic is intended to address a specific issue identified by a Best Practices Analyzer scan. You should apply the information in this topic only to computers that have had the File Services Best Practices Analyzer run against them and are experiencing the issue addressed by this topic. For more information about best practices and scans, see Best Practices Analyzer.

Операционная система Operating System

Windows Server Windows Server

Продукт или компонент Product/Feature

Файловые службы File Services

Уровень серьезности Severity

Категория Category

Проблема Issue

Порты брандмауэра, необходимые для общего доступа к файлам и принтерам, не открыты (порты 445 и 139). The firewall ports necessary for file and printer sharing are not open (ports 445 and 139).

Влияние Impact

Компьютеры не смогут получить доступ к общим папкам и другим сетевым службам на основе SMB на этом сервере. Computers will not be able to access shared folders and other Server Message Block (SMB)-based network services on this server.

Решение Resolution

Включите общий доступ к файлам и принтерам для обмена данными через брандмауэр компьютера. Enable File and Printer Sharing to communicate through the computer’s firewall.

Для выполнения этой процедуры как минимум необходимо быть участником группы Администраторы (либо аналогичной). Membership in the Administrators group, or equivalent, is the minimum required to complete this procedure.

Открытие портов брандмауэра для включения общего доступа к файлам и принтерам To open the firewall ports to enable file and printer sharing

Откройте панель управления, щелкните система и безопасность, а затем щелкните Брандмауэр Windows. Open Control Panel, click System and Security, and then click Windows Firewall.

В левой области щелкните Дополнительные параметры, а затем в дереве консоли щелкните правила для входящих подключений. In the left pane, click Advanced settings, and in the console tree, click Inbound Rules.

В разделе правила для входящих подключений выберите файлы правил и общий доступ к принтерам (сеансы с расширением NetBIOS) и общий доступ к ФАЙЛАМ и принтерам (SMB-in). Under Inbound Rules, locate the rules File and Printer Sharing (NB-Session-In) and File and Printer Sharing (SMB-In).

Щелкните правой кнопкой мыши на каждом правиле и нажмите Включить правило. For each rule, right-click the rule, and then click Enable Rule.

Как подключить сетевой диск

Многие пользователи, администрируя свою домашнюю локальную сеть сталкиваются с необходимостью подключать сетевые диски. Если вас также интересует этот вопрос, то данная стать должна вам помочь. Здесь мы расскажем о том, как подключить сетевой диск, а также правильно открыть доступ к папке для сетевого диска.

Шаг № 1. Открываем доступ к папке (подготовка первого компьютера).

Первое, что нужно сделать, это открыть доступ к папке, которая должна использоваться как сетевой диск на другом компьютере. Сделать это не сложно, но есть несколько деталей, о которых нужно знать.

Для начала нужно правильно настроить сеть. Для этого откройте «Центр управления сетями и общим доступом» и нажмите на ссылку «Изменить дополнительные параметры общего доступа» (скриншот внизу).

В открывшемся окне нужно включить «Сетевое обнаружение».

Также здесь нужно отключить «Общий доступ с парольной защитой» (если он вам не нужен).

После этого можно открывать доступ к папке, которую вы хотите подключать как диск. Для этого кликните по не правой кнопкой мышки и выберите пункт «Свойства».

Дальше перейдите на вкладку «Доступ» и нажмите там на кнопку «Общий доступ».

В появившемся окне нужно выбрать пункт «Все» и нажать на кнопку «Добавить».

После этого пользователь «Все» появится в списке пользователей, которые имеют доступ к этой папке. При необходимости вы можете изменить права этого пользователя с чтения на запись. После внесения всех настроек нужно нажать на кнопку «Поделиться».

Последний шаг – подтверждаем открытие доступа к папке нажатием на кнопку «Готово».

Все, доступ к папке открыт. Теперь можно переходить к подключению сетевого диска на втором компьютере.

Шаг № 2. Запускаем мастер для подключения сетевых дисков (на втором компьютере).

Если вы используете Windows 8 или Windows 10, то для того чтобы подключить сетевой диск вам нужно открыть окно «Мой компьютер» и на вкладке «Компьютер» нажать на кнопку «Подключить сетевой диск».

Если же вы используете Windows 7, то вам нужно просто нажать на кнопку «Подключить сетевой диск», которая также доступна из окна «Мой компьютер».

В операционной системе Windows XP для подключения сетевого диска нужно открыть «Мой компьютер», а потом меню «Сервис – Подключить сетевой диск».

Шаг № 3. Подключаем сетевой диск следуя инструкциям мастера.

Итак, после запуска мастера для подключения сетевых дисков перед вами должно появиться примерно такое окно, как на скриншоте внизу. В данном окне нужно выбрать букву для сетевого диска, а также указать адрес к сетевой папке, которую вы хотите подключить как диск.

Букву диска можете выбрать любую, которая вам понравится. А адрес папки нужно указать в таком формате:

Также адрес папки можно указывать с использованием IP адреса:

В нашем случае мы выберем букву диска Z, а адрес папки укажем как \\notebook\tmp. Если вы не помните точно название компьютера и общей папки, то можете воспользоваться кнопкой «Обзор»

Также установим галочку напротив пункта «Восстанавливать подключение при входе в систему» для того чтобы после перезагрузки компьютера наш сетевой диск был подключен заново.

После внесения всех настроек, нужно подтвердить подключение сетевого диска нажимаем на кнопку «Готово».

Если вы сделали все правильно, то после этого система должна подключить общую папку как сетевой диск и открыть окно с этим диском. Также подключенный сетевой диск должен появиться в окне «Мой компьютер» (скриншот внизу).

Подключение сетевого диска с помощью командной строки

Также вы можете подключать сетевые диски с помощью командной строки. Это делается при помощи команды NET USE. Например, для того чтобы подключить сетевой диск нужно выполнить следующую команду:

Где Z – это буква диска, которую вы хотите использовать для сетевого диска, а \\notebook\tmp – это сетевой адрес нужно вам папки. На скриншоте внизу демонстрируется выполнение данной команды.

Для того чтобы подключенный диск восстанавливался при каждом входе в систему нужно выполнить следующую команду:

Если выполнить net use /Persistent:No, то подключенный диск не восстановится после перезагрузки. Для удаления подключенных дисков можно использовать команду net use z: /delete. Где Z – это буква сетевого диска, который нужно удалить.

Что такое порт SMB? Для чего используются порт 445 и 139?

NetBIOS означает Базовая сетевая система ввода-вывода . Это программный протокол, который позволяет приложениям, ПК и настольным компьютерам в локальной сети (LAN) обмениваться данными с сетевым оборудованием и передавать данные по сети. Программные приложения, работающие в сети NetBIOS, обнаруживают и идентифицируют друг друга по именам NetBIOS. Имя NetBIOS имеет длину до 16 символов и обычно отделено от имени компьютера. Два приложения запускают сеанс NetBIOS, когда одно (клиент) отправляет команду «вызвать» другого клиента (сервер) через TCP-порт 139 .

Для чего используется порт 139

Однако NetBIOS в вашей глобальной сети или через Интернет представляет собой огромный риск для безопасности. Все виды информации, такие как ваш домен, имена рабочих групп и систем, а также информация об учетной записи могут быть получены через NetBIOS. Поэтому важно поддерживать NetBIOS в предпочтительной сети и следить за тем, чтобы он никогда не покидал вашу сеть.

Брандмауэры, в качестве меры безопасности, всегда сначала блокируют этот порт, если он у вас открыт. Порт 139 используется для общего доступа к файлам и принтерам , но оказывается самым опасным портом в Интернете. Это так, потому что он оставляет жесткий диск пользователя уязвимым для хакеров.

После того, как злоумышленник обнаружит активный порт 139 на устройстве, он может запустить NBSTAT диагностический инструмент для NetBIOS через TCP/IP, в первую очередь предназначенный для устранения неполадок с разрешением имен NetBIOS. Это знаменует собой важный первый шаг атаки – Footprinting .

Используя команду NBSTAT, злоумышленник может получить некоторую или всю критическую информацию, связанную с

1. Список локальных имен NetBIOS
2. Имя компьютера
3. Список имен, разрешенных WINS
4. IP-адреса
5. Содержимое сеансовой таблицы с IP-адресами назначения

Имея вышеупомянутые подробности, злоумышленник имеет всю важную информацию об ОС, службах и основных приложениях, работающих в системе. Помимо этого, у него также есть частные IP-адреса, которые LAN/WAN и инженеры по безопасности старались скрыть за NAT. Кроме того, идентификаторы пользователей также включены в списки, предоставляемые запуском NBSTAT.

Это позволяет хакерам получить удаленный доступ к содержимому каталогов или дисков жесткого диска. Затем они могут автоматически загружать и запускать любые программы по своему выбору с помощью некоторых бесплатных инструментов, даже если владелец компьютера не узнает об этом.

Если вы используете компьютер с несколькими компьютерами, отключите NetBIOS на каждой сетевой карте или Dial-Up Connection в свойствах TCP/IP, которые не являются частью вашей локальной сети.

Что такое порт SMB

Хотя порт 139 технически известен как «NBT через IP», порт 445 – «SMB через IP». SMB означает Блоки сообщений сервера ’. Блок сообщений сервера на современном языке также известен как Общая интернет-файловая система . Система работает как сетевой протокол прикладного уровня, в основном используемый для предоставления общего доступа к файлам, принтерам, последовательным портам и другим видам связи между узлами в сети.

Большая часть использования SMB связана с компьютерами под управлением Microsoft Windows , где он был известен как «Сеть Microsoft Windows» до последующего внедрения Active Directory. Он может работать поверх сеансовых (и нижних) сетевых уровней несколькими способами.

Например, в Windows SMB может работать напрямую через TCP/IP без необходимости использования NetBIOS через TCP/IP. Он будет использовать, как вы указали, порт 445. В других системах вы найдете службы и приложения, использующие порт 139. Это означает, что SMB работает с NetBIOS через TCP/IP .

Злобные хакеры признают, что порт 445 уязвим и имеет много опасностей. Одним из замечательных примеров неправильного использования порта 445 является относительно тихое появление червей NetBIOS . Эти черви медленно, но четко определенным образом сканируют Интернет на наличие портов 445, используют такие инструменты, как PsExec , чтобы перенести себя на новый компьютер-жертву, а затем удвоить усилия по сканированию. Именно с помощью этого малоизвестного метода собираются огромные « Бот-армии », содержащие десятки тысяч зараженных червем компьютеров NetBIOS, и теперь они обитают в Интернете.

Как бороться с портом 445

Учитывая вышеперечисленные опасности, в наших интересах не предоставлять порт 445 Интернету, но, как и порт Windows 135, порт 445 глубоко встроен в Windows и его трудно безопасно закрыть.Тем не менее, его закрытие возможно, однако, другие зависимые сервисы, такие как DHCP (протокол динамической конфигурации хоста), который часто используется для автоматического получения IP-адреса от серверов DHCP, используемых многими корпорациями и интернет-провайдерами, перестанет функционировать.

Принимая во внимание все причины безопасности, описанные выше, многие интернет-провайдеры считают необходимым блокировать этот порт от имени своих пользователей. Это происходит только в том случае, если порт 445 не защищен маршрутизатором NAT или персональным межсетевым экраном. В такой ситуации ваш интернет-провайдер, возможно, не позволит трафику порта 445 достичь вас.