SMB-Port-Anleitung: Dateifreigabe auf Port 445

Mit SMB können Clients Freigaben durchsuchen, Dateien lesen und schreiben, Dateien sperren, Drucker verwenden und über das Netzwerk auf Named Pipes zugreifen. Ein Client stellt eine Verbindung zum SMB-Server her, handelt den SMB-Dialekt aus, authentifiziert sich mit lokalen, domänen- oder verzeichnisgestützten Anmeldeinformationen und fordert dann Zugriff auf eine bestimmte Freigabe an.

Moderne Bereitstellungen sollten SMB 2 oder SMB 3 verwenden. SMB 1 ist veraltet und sollte deaktiviert werden, es sei denn, eine streng isolierte Legacy-Abhängigkeit erfordert dies wirklich. SMB 3 kann Signierung, Verschlüsselung, Mehrkanalleistung und bessere Ausfallsicherheit unterstützen, aber diese Funktionen hängen immer noch von der richtigen Server- und Client-Richtlinie ab.

SMB ist das Protokoll. Samba ist eine Open-Source-Implementierung, die es Linux- und Unix-ähnlichen Systemen ermöglicht, SMB-Dateifreigaben bereitzustellen und in Windows-Netzwerke zu integrieren. Unter Windows ist SMB in das Betriebssystem integriert und wird über Datei- und Druckerfreigabefunktionen verfügbar gemacht.

Port 445 ist ein direkt gehosteter SMB-Port und der Hauptport für die Überprüfung auf moderne Dateifreigabe. Ältere NetBIOS-basierte SMB-Ports können UDP 137, UDP 138 und TCP 139 umfassen. Diese Legacy-Ports unterscheiden sich vom direkten SMB auf 445 und sollten normalerweise geschlossen bleiben, es sei denn, Sie haben eine bestimmte ältere Netzwerkanforderung.

In den meisten Fällen nein. KMU sollten private Netzwerke, VPNs, Site-to-Site-Tunnel, Zero-Trust-Zugriffspfade oder eng begrenzte Quell-IP-Zulassungslisten nutzen. Öffentliche SMB-Exposition führt zu Passwort-Spraying, Share-Enumeration, Ransomware-Inszenierung und der Ausnutzung veralteter Systeme.

Wenn ein Remote-Benutzer Dateizugriff benötigt, bevorzugen Sie ein VPN, einen verwalteten Dateiübertragungsdienst, ein Cloud-Datei-Gateway, einen privaten Endpunkt oder eine webbasierte Dokumentenplattform. Wenn ein externer Partner SMB erreichen muss, schränken Sie das Quellnetzwerk ein, fordern Sie strenge Identitätskontrollen, überwachen Sie jede Verbindung und vermeiden Sie weitreichende Schreibberechtigungen.

Bevor Sie TCP 445 zulassen, stellen Sie sicher, dass ein echter SMB-Dienst lauscht und dass die Freigaben, Benutzer, Gruppen und Berechtigungen dem beabsichtigten Workflow entsprechen. Entscheiden Sie, ob der Gastzugriff deaktiviert ist, ob SMB-Signierung oder -Verschlüsselung erforderlich ist und ob ältere Dialekte wie SMB 1 blockiert sind.

Ein Portprüfer kann Ihnen sagen, ob TCP 445 von außerhalb des Netzwerks erreichbar ist, er kann jedoch nicht nachweisen, dass ein Benutzer sicher auf eine Freigabe zugreifen kann. Verwenden Sie SMB-Clienttests und Serverprotokolle, um Authentifizierung, Berechtigungen auf Freigabeebene, NTFS- oder Dateisystem-ACLs und Prüfrichtlinien zu validieren.

Aktivieren Sie unter Windows Server oder Windows Pro die Datei- und Druckerfreigabe oder die Dateiserverrolle, erstellen Sie die Freigabe, legen Sie Freigabeberechtigungen und Dateisystem-ACLs fest und lassen Sie eingehendes TCP 445 in der Windows Defender-Firewall zu. In Domänenumgebungen sollten Gruppen verwendet werden, anstatt Berechtigungen einzelnen Benutzern zuzuweisen.

Unter Linux installieren und konfigurieren Sie Samba, definieren Sie Freigaben in smb.conf, erstellen oder ordnen Sie Benutzer zu und lassen Sie TCP 445 über ufw, firewalld, nftables oder Ihre Cloud-Sicherheitsgruppe zu. Bestätigen Sie bei gemischten Umgebungen die Namensauflösung und die Authentifizierungsintegration, bevor Sie die Freigabe Benutzern zugänglich machen.

Aktivieren Sie SMB auf NAS-Geräten nur für die Netzwerke, die es benötigen, deaktivieren Sie Gastfreigaben, sofern dies nicht beabsichtigt ist, und halten Sie die Firmware auf dem neuesten Stand. Viele NAS-Sicherheitsvorfälle sind auf im Internet verfügbare Verwaltungsschnittstellen und Dateifreigabedienste zurückzuführen, die nie für die Öffentlichkeit bestimmt waren.

Beginnen Sie mit einer externen Portprüfung anhand des Hostnamens oder der IP-Adresse und Port 445. Wenn das Ergebnis offen ist, kann ein Remote-Client den SMB-Listener erreichen. Testen Sie dann die tatsächliche Freigabe mit einem Windows-UNC-Pfad wie \\server\share, smbclient unter Linux oder einem Dateimanager, der SMB unterstützt.

Bestätigen Sie auf dem Server den Listener mit PowerShell, Netstat, SS oder Ihrer NAS-Statusseite. Wenn der Port geöffnet ist, aber der Freigabezugriff fehlschlägt, überprüfen Sie Anmeldeinformationen, Domänenvertrauen, Freigabeberechtigungen, Dateisystem-ACLs, SMB-Dialektrichtlinie, Signaturanforderungen und Serverereignisprotokolle.

Wenn Port 445 geschlossen ist, ist der SMB-Dienst möglicherweise deaktiviert, von der Host-Firewall blockiert, nur an eine private Schnittstelle gebunden oder hinter einem VPN-Pfad verborgen. Wenn bei der Verbindung eine Zeitüberschreitung auftritt, kann es sein, dass ein Router, eine Cloud-Firewall, ein ISP, eine Unternehmensrichtlinie für ausgehenden Datenverkehr oder eine Quell-IP-Zulassungsliste den Datenverkehr verwirft.

Wenn Port 445 geöffnet ist, Benutzer aber nicht auf eine Freigabe zugreifen können, überprüfen Sie den genauen Freigabenamen, das Benutzernamenformat, die Domänenmitgliedschaft, die Uhrsynchronisierung, den Kennwortstatus, NTFS- oder POSIX-Berechtigungen, Gasteinschränkungen und die SMB-Signatur- oder Verschlüsselungsrichtlinie. Bei vielen SMB-Fehlern handelt es sich eher um Berechtigungs- oder Identitätsprobleme als um Portprobleme.

Halten Sie SMB nach Möglichkeit vom öffentlichen Internet fern. Deaktivieren Sie SMB 1, fordern Sie eine starke Authentifizierung, entfernen Sie den Gastzugriff, wenden Sie Berechtigungen mit der geringsten Berechtigung an und patchen Sie Windows-, Samba- und NAS-Firmware schnell. Erfordern Sie für vertrauliche Freigaben eine SMB-Signatur oder -Verschlüsselung, sofern Leistung und Client-Unterstützung dies zulassen.

Sichern Sie freigegebene Daten, testen Sie Wiederherstellungen, protokollieren Sie den Zugriff auf vertrauliche Ordner und warnen Sie bei ungewöhnlichem Schreibvolumen, fehlgeschlagenen Anmeldungen oder Zugriff von unerwarteten Netzwerken. Wenn KMU standortübergreifend arbeiten müssen, übertragen Sie die Daten über ein VPN, eine private Verbindung oder eine Zero-Trust-Zugriffsschicht, anstatt sie im Internet offenzulegen.