SMB ポート ガイド: ポート 445 でのファイル共有

SMB を使用すると、クライアントはネットワーク上の共有の参照、ファイルの読み取りと書き込み、ファイルのロック、プリンターの使用、名前付きパイプへのアクセスが可能になります。クライアントは SMB サーバーに接続し、SMB ダイアレクトをネゴシエートし、ローカル、ドメイン、またはディレクトリに基づく資格情報で認証して、特定の共有へのアクセスを要求します。

最新の展開では、SMB 2 または SMB 3 を使用する必要があります。SMB 1 は廃止されており、厳密に分離された従来の依存関係で本当に必要な場合を除き、無効にする必要があります。 SMB 3 は、署名、暗号化、マルチチャネル パフォーマンス、および回復力の向上をサポートできますが、これらの機能は依然として正しいサーバーとクライアントのポリシーに依存します。

SMB はプロトコルです。 Samba は、Linux および Unix 系システムが SMB ファイル共有を提供し、Windows ネットワークと統合できるようにするオープンソース実装です。 Windows では、SMB はオペレーティング システムに組み込まれており、ファイルとプリンターの共有機能を通じて公開されます。

ポート 445 は直接ホストされる SMB であり、最新のファイル共有をチェックするための主要なポートです。古い NetBIOS ベースの SMB には、UDP 137、UDP 138、および TCP 139 が含まれる場合があります。これらのレガシー ポートは、445 の直接 SMB とは異なり、特定の古いネットワーク要件がない限り、通常は閉じたままにする必要があります。

ほとんどの場合、いいえ。 SMB は、プライベート ネットワーク、VPN、サイト間トンネル、ゼロトラスト アクセス パス、または厳密に範囲が限定されたソース IP 許可リスト上に留まる必要があります。 SMB が公開されると、パスワード スプレー、共有の列挙、ランサムウェアのステージング、古いシステムの悪用が引き起こされます。

リモート ユーザーがファイル アクセスを必要とする場合は、VPN、マネージド ファイル転送サービス、クラウド ファイル ゲートウェイ、プライベート エンドポイント、または Web ベースのドキュメント プラットフォームを選択します。外部パートナーが SMB にアクセスする必要がある場合は、ソース ネットワークを制限し、強力な ID 制御を要求し、すべての接続を監視し、広範囲の書き込み権限を回避します。

TCP 445 を許可する前に、実際の SMB サービスがリッスンしていること、および共有、ユーザー、グループ、および権限が意図したワークフローと一致していることを確認してください。ゲスト アクセスを無効にするかどうか、SMB 署名または暗号化が必要かどうか、SMB 1 などの古い方言をブロックするかどうかを決定します。

ポート チェッカーは、ネットワークの外部から TCP 445 に到達できるかどうかを示しますが、ユーザーが共有に安全にアクセスできることを証明することはできません。 SMB クライアント テストとサーバー ログを使用して、認証、共有レベルのアクセス許可、NTFS またはファイル システムの ACL、監査ポリシーを検証します。

Windows Server または Windows Pro で、ファイルとプリンターの共有またはファイル サーバーの役割を有効にし、共有を作成し、共有アクセス許可とファイル システム ACL を設定し、Windows Defender ファイアウォールで受信 TCP 445 を許可します。ドメイン環境では、個々のユーザーに権限を割り当てるのではなく、グループを使用する必要があります。

Linux では、Samba をインストールして構成し、smb.conf で共有を定義し、ユーザーを作成またはマップして、ufw、firewalld、nftables、またはクラウド セキュリティ グループを介した TCP 445 を許可します。混合環境の場合は、共有をユーザーに公開する前に、名前解決と認証の統合を確認してください。

NAS アプライアンスでは、必要なネットワークに対してのみ SMB を有効にし、意図的でない限りゲスト共有を無効にし、ファームウェアを最新の状態に保ちます。 NAS セキュリティ インシデントの多くは、インターネットに公開される管理インターフェイスや、公開されることを意図していなかったファイル共有サービスに起因しています。

ホスト名または IP アドレスとポート 445 に対する外部ポート チェックから開始します。結果がオープンであれば、リモート クライアントは SMB リスナーに到達できます。次に、\\server\share などの Windows UNC パス、Linux 上の smbclient、または SMB をサポートするファイル マネージャーを使用して実際の共有をテストします。

サーバー上で、PowerShell、netstat、ss、または NAS ステータス ページを使用してリスナーを確認します。ポートは開いているが共有アクセスが失敗する場合は、資格情報、ドメインの信頼、共有アクセス許可、ファイルシステム ACL、SMB 方言ポリシー、署名要件、およびサーバー イベント ログを検査します。

ポート 445 が閉じられている場合、SMB サービスは無効になっているか、ホスト ファイアウォールによってブロックされているか、プライベート インターフェイスにのみバインドされているか、VPN パスの背後に隠されている可能性があります。接続がタイムアウトした場合、ルーター、クラウド ファイアウォール、ISP、企業の下りポリシー、または送信元 IP 許可リストによってトラフィックがドロップされている可能性があります。

ポート 445 は開いているが、ユーザーが共有にアクセスできない場合は、正確な共有名、ユーザー名の形式、ドメイン メンバーシップ、クロック同期、パスワードの状態、NTFS または POSIX のアクセス許可、ゲスト制限、および SMB 署名または暗号化ポリシーを確認してください。 SMB の障害の多くは、ポートの問題ではなく、権限または ID の問題です。

可能な限り SMB を公共のインターネットから遠ざけてください。 SMB 1 を無効にし、強力な認証を要求し、ゲスト アクセスを削除し、最小特権のアクセス許可を適用し、Windows、Samba、NAS ファームウェアに迅速にパッチを適用します。機密性の高い共有の場合、パフォーマンスとクライアント サポートが許可する場合は、SMB 署名または暗号化が必要です。

共有データのバックアップ、復元のテスト、機密フォルダーへのアクセスのログ記録、および異常な書き込み量、ログインの失敗、または予期しないネットワークからのアクセスに関するアラートを作成します。 SMB がサイトをまたがる必要がある場合は、そのままインターネットにさらすのではなく、VPN、専用回線、またはゼロトラスト アクセス層を介して実行します。