Guide des ports SMB : partage de fichiers sur le port 445

SMB permet aux clients de parcourir les partages, de lire et d'écrire des fichiers, de verrouiller des fichiers, d'utiliser des imprimantes et d'accéder à des canaux nommés sur le réseau. Un client se connecte au serveur SMB, négocie le dialecte SMB, s'authentifie avec des informations d'identification locales, de domaine ou basées sur un répertoire, puis demande l'accès à un partage spécifique.

Les déploiements modernes doivent utiliser SMB 2 ou SMB 3. SMB 1 est obsolète et doit être désactivé à moins qu'une dépendance héritée étroitement isolée ne l'exige vraiment. SMB 3 peut prendre en charge la signature, le chiffrement, les performances multicanaux et une meilleure résilience, mais ces fonctionnalités dépendent toujours d'une politique correcte du serveur et du client.

SMB est le protocole. Samba est une implémentation open source qui permet aux systèmes Linux et Unix de fournir des partages de fichiers SMB et de s'intégrer aux réseaux Windows. Sous Windows, SMB est intégré au système d'exploitation et exposé via les fonctionnalités de partage de fichiers et d'imprimantes.

Le port 445 est un SMB hébergé directement et est le port principal pour vérifier le partage de fichiers moderne. Les anciens SMB basés sur NetBIOS peuvent impliquer UDP 137, UDP 138 et TCP 139. Ces ports hérités sont différents du SMB direct sur 445 et doivent normalement rester fermés, sauf si vous avez une exigence réseau spécifique plus ancienne.

Dans la plupart des cas, non. Les PME doivent rester sur les réseaux privés, les VPN, les tunnels de site à site, les chemins d'accès zéro confiance ou les listes autorisées d'adresses IP sources étroitement définies. L’exposition publique des PME invite à la pulvérisation de mots de passe, à l’énumération de partages, à la mise en scène de ransomwares et à l’exploitation de systèmes obsolètes.

Si un utilisateur distant a besoin d'accéder aux fichiers, préférez un VPN, un service de transfert de fichiers géré, une passerelle de fichiers cloud, un point de terminaison privé ou une plate-forme de documents Web. Si un partenaire externe doit atteindre SMB, restreignez le réseau source, exigez des contrôles d'identité stricts, surveillez chaque connexion et évitez les autorisations d'écriture étendues.

Avant d'autoriser TCP 445, vérifiez qu'un véritable service SMB écoute et que les partages, les utilisateurs, les groupes et les autorisations correspondent au flux de travail prévu. Décidez si l'accès invité est désactivé, si la signature ou le cryptage SMB est requis et si les dialectes plus anciens tels que SMB 1 sont bloqués.

Un vérificateur de port peut vous dire si TCP 445 est accessible depuis l'extérieur du réseau, mais il ne peut pas prouver qu'un utilisateur peut accéder à un partage en toute sécurité. Utilisez les tests du client SMB et les journaux du serveur pour valider l'authentification, les autorisations au niveau du partage, les ACL NTFS ou du système de fichiers et la stratégie d'audit.

Sur Windows Server ou Windows Pro, activez le partage de fichiers et d'imprimantes ou le rôle de serveur de fichiers, créez le partage, définissez les autorisations de partage et les ACL du système de fichiers, et autorisez le TCP 445 entrant dans le pare-feu Windows Defender. Les environnements de domaine doivent utiliser des groupes au lieu d'attribuer des autorisations à des utilisateurs individuels.

Sous Linux, installez et configurez Samba, définissez des partages dans smb.conf, créez ou mappez des utilisateurs et autorisez TCP 445 via ufw, firewalld, nftables ou votre groupe de sécurité cloud. Pour les environnements mixtes, confirmez la résolution de nom et l’intégration de l’authentification avant d’exposer le partage aux utilisateurs.

Sur les appliances NAS, activez SMB uniquement pour les réseaux qui en ont besoin, désactivez les partages invités sauf s'ils sont intentionnels et maintenez le micrologiciel à jour. De nombreux incidents de sécurité NAS proviennent d'interfaces de gestion exposées à Internet et de services de partage de fichiers qui n'ont jamais été censés être publics.

Commencez par une vérification du port externe par rapport au nom d'hôte ou à l'adresse IP et au port 445. Si le résultat est ouvert, un client distant peut atteindre l'écouteur SMB. Testez ensuite le partage réel avec un chemin Windows UNC tel que \\server\share, smbclient sous Linux ou un gestionnaire de fichiers prenant en charge SMB.

Sur le serveur, confirmez l'écouteur avec PowerShell, netstat, ss ou la page d'état de votre NAS. Si le port est ouvert mais que l'accès au partage échoue, inspectez les informations d'identification, l'approbation du domaine, les autorisations de partage, les ACL du système de fichiers, la politique de dialecte SMB, les exigences de signature et les journaux d'événements du serveur.

Si le port 445 est fermé, le service SMB peut être désactivé, bloqué par le pare-feu de l'hôte, lié uniquement à une interface privée ou caché derrière un chemin VPN. Si la connexion expire, un routeur, un pare-feu cloud, un FAI, une politique de sortie d'entreprise ou une liste autorisée d'adresse IP source peuvent supprimer le trafic.

Si le port 445 est ouvert mais que les utilisateurs ne peuvent pas accéder à un partage, vérifiez le nom exact du partage, le format du nom d'utilisateur, l'appartenance au domaine, la synchronisation de l'horloge, l'état du mot de passe, les autorisations NTFS ou POSIX, les restrictions d'invité et la stratégie de signature ou de chiffrement SMB. De nombreux échecs SMB sont dus à des problèmes d’autorisation ou d’identité plutôt qu’à des problèmes de port.

Gardez SMB hors de l'Internet public autant que possible. Désactivez SMB 1, exigez une authentification forte, supprimez l'accès invité, appliquez les autorisations de moindre privilège et corrigez rapidement les micrologiciels Windows, Samba et NAS. Pour les partages sensibles, exigez la signature ou le chiffrement SMB lorsque les performances et la prise en charge client le permettent.

Sauvegardez les données partagées, testez les restaurations, enregistrez l'accès aux dossiers sensibles et alertez en cas de volume d'écriture inhabituel, d'échecs de connexion ou d'accès à partir de réseaux inattendus. Si une PME doit traverser des sites, transférez-la via un VPN, un circuit privé ou une couche d'accès zéro confiance au lieu d'une exposition Internet brute.