Guia da porta SMB: compartilhamento de arquivos na porta 445

O SMB permite que os clientes naveguem em compartilhamentos, leiam e gravem arquivos, bloqueiem arquivos, usem impressoras e acessem pipes nomeados pela rede. Um cliente se conecta ao servidor SMB, negocia o dialeto SMB, autentica com credenciais locais, de domínio ou de diretório e, em seguida, solicita acesso a um compartilhamento específico.

As implantações modernas devem usar SMB 2 ou SMB 3. O SMB 1 é obsoleto e deve ser desativado, a menos que uma dependência herdada fortemente isolada realmente exija isso. O SMB 3 pode suportar assinatura, criptografia, desempenho multicanal e melhor resiliência, mas esses recursos ainda dependem da política correta do servidor e do cliente.

SMB é o protocolo. Samba é uma implementação de código aberto que permite que sistemas Linux e semelhantes a Unix forneçam compartilhamentos de arquivos SMB e se integrem a redes Windows. No Windows, o SMB é integrado ao sistema operacional e exposto por meio de recursos de compartilhamento de arquivos e impressoras.

A porta 445 é SMB hospedada diretamente e é a porta principal para verificar o compartilhamento moderno de arquivos. O SMB mais antigo baseado em NetBIOS pode envolver UDP 137, UDP 138 e TCP 139. Essas portas herdadas são diferentes do SMB direto em 445 e normalmente devem permanecer fechadas, a menos que você tenha um requisito específico de rede mais antigo.

Na maioria dos casos, não. As SMB devem permanecer em redes privadas, VPNs, túneis site a site, caminhos de acesso de confiança zero ou listas de permissões de IP de origem com escopo restrito. A exposição pública de pequenas e médias empresas convida à pulverização de senhas, enumeração de compartilhamentos, preparação de ransomware e exploração de sistemas desatualizados.

Se um usuário remoto precisar de acesso a arquivos, prefira uma VPN, serviço gerenciado de transferência de arquivos, gateway de arquivos em nuvem, endpoint privado ou plataforma de documentos baseada na web. Se um parceiro externo precisar acessar SMB, restrinja a rede de origem, exija controles de identidade fortes, monitore todas as conexões e evite permissões amplas de gravação.

Antes de permitir o TCP 445, confirme se um serviço SMB real está escutando e se os compartilhamentos, usuários, grupos e permissões correspondem ao fluxo de trabalho pretendido. Decida se o acesso de convidados está desabilitado, se a assinatura ou criptografia SMB é necessária e se dialetos mais antigos, como SMB 1, estão bloqueados.

Um verificador de porta pode dizer se o TCP 445 pode ser acessado de fora da rede, mas não pode provar que um usuário pode acessar um compartilhamento com segurança. Use testes de cliente SMB e logs de servidor para validar autenticação, permissões em nível de compartilhamento, NTFS ou ACLs de sistema de arquivos e política de auditoria.

No Windows Server ou Windows Pro, habilite o compartilhamento de arquivos e impressoras ou a função de servidor de arquivos, crie o compartilhamento, defina permissões de compartilhamento e ACLs do sistema de arquivos e permita TCP 445 de entrada no Firewall do Windows Defender. Os ambientes de domínio devem usar grupos em vez de atribuir permissões a usuários individuais.

No Linux, instale e configure o Samba, defina compartilhamentos em smb.conf, crie ou mapeie usuários e permita TCP 445 por meio de ufw, firewalld, nftables ou seu grupo de segurança em nuvem. Para ambientes mistos, confirme a resolução de nomes e a integração de autenticação antes de expor o compartilhamento aos usuários.

Em dispositivos NAS, ative o SMB apenas para as redes que precisam dele, desative os compartilhamentos de convidados, a menos que sejam intencionais, e mantenha o firmware atualizado. Muitos incidentes de segurança NAS vêm de interfaces de gerenciamento expostas à Internet e serviços de compartilhamento de arquivos que nunca foram concebidos para serem públicos.

Comece com uma verificação de porta externa em relação ao nome do host ou endereço IP e porta 445. Se o resultado for aberto, um cliente remoto poderá acessar o ouvinte SMB. Em seguida, teste o compartilhamento real com um caminho UNC do Windows, como \\server\share, smbclient no Linux ou um gerenciador de arquivos que suporte SMB.

No servidor, confirme o ouvinte com PowerShell, netstat, ss ou sua página de status NAS. Se a porta estiver aberta, mas o acesso ao compartilhamento falhar, inspecione credenciais, confiança de domínio, permissões de compartilhamento, ACLs do sistema de arquivos, política de dialeto SMB, requisitos de assinatura e logs de eventos do servidor.

Se a porta 445 estiver fechada, o serviço SMB poderá ser desabilitado, bloqueado pelo firewall do host, vinculado apenas a uma interface privada ou oculto atrás de um caminho VPN. Se a conexão expirar, um roteador, um firewall em nuvem, um ISP, uma política de saída corporativa ou uma lista de permissões de IP de origem poderão estar interrompendo o tráfego.

Se a porta 445 estiver aberta, mas os usuários não puderem acessar um compartilhamento, verifique o nome exato do compartilhamento, o formato do nome de usuário, a associação ao domínio, a sincronização do relógio, o estado da senha, as permissões NTFS ou POSIX, as restrições de convidados e a política de assinatura ou criptografia SMB. Muitas falhas de SMB são problemas de permissão ou identidade, e não de porta.

Mantenha as pequenas e médias empresas fora da Internet pública sempre que possível. Desative o SMB 1, exija autenticação forte, remova o acesso de convidados, aplique permissões de privilégio mínimo e corrija o firmware do Windows, Samba e NAS rapidamente. Para compartilhamentos confidenciais, exija assinatura ou criptografia SMB onde o desempenho e o suporte ao cliente permitirem.

Faça backup de dados compartilhados, teste restaurações, registre acesso a pastas confidenciais e alerte sobre volumes de gravação incomuns, falhas de login ou acesso de redes inesperadas. Se as pequenas e médias empresas precisarem cruzar sites, transporte-o por meio de uma VPN, de um circuito privado ou de uma camada de acesso de confiança zero, em vez de exposição bruta à Internet.