Руководство по порту SMB: общий доступ к файлам через порт 445

SMB позволяет клиентам просматривать общие ресурсы, читать и записывать файлы, блокировать файлы, использовать принтеры и получать доступ к именованным каналам по сети. Клиент подключается к SMB-серверу, согласовывает диалект SMB, проходит проверку подлинности с использованием локальных, доменных или каталогизированных учетных данных, а затем запрашивает доступ к определенному общему ресурсу.

В современных развертываниях следует использовать SMB 2 или SMB 3. SMB 1 устарел и его следует отключить, если этого действительно не требует строго изолированная устаревшая зависимость. SMB 3 может поддерживать подпись, шифрование, многоканальную производительность и повышенную устойчивость, но эти функции по-прежнему зависят от правильной политики сервера и клиента.

SMB — это протокол. Samba — это реализация с открытым исходным кодом, которая позволяет Linux и Unix-подобным системам предоставлять общие файловые ресурсы SMB и интегрироваться с сетями Windows. В Windows SMB встроен в операционную систему и доступен через функции общего доступа к файлам и принтерам.

Порт 445 предназначен для прямого размещения SMB и является основным портом для проверки современного общего доступа к файлам. Более старые версии SMB на базе NetBIOS могут использовать UDP 137, UDP 138 и TCP 139. Эти устаревшие порты отличаются от прямых портов SMB на 445, и обычно они должны оставаться закрытыми, если у вас нет конкретных старых требований к сети.

В большинстве случаев нет. SMB должен оставаться в частных сетях, VPN, туннелях типа «сеть-сеть», путях доступа с нулевым доверием или в строгих списках разрешенных исходных IP-адресов. Публичное воздействие на малый и средний бизнес приводит к распылению паролей, подсчету общих ресурсов, внедрению программ-вымогателей и эксплуатации устаревших систем.

Если удаленному пользователю необходим доступ к файлам, отдайте предпочтение VPN, управляемой службе передачи файлов, облачному файловому шлюзу, частной конечной точке или веб-платформе для документов. Если внешний партнер должен получить доступ к SMB, ограничьте исходную сеть, потребуйте строгого контроля идентификации, отслеживайте каждое соединение и избегайте широких разрешений на запись.

Прежде чем разрешить TCP 445, убедитесь, что реальная служба SMB прослушивает и что общие ресурсы, пользователи, группы и разрешения соответствуют предполагаемому рабочему процессу. Решите, отключен ли гостевой доступ, требуется ли подписывание или шифрование SMB, а также блокируются ли старые диалекты, такие как SMB 1.

Средство проверки портов может сказать вам, доступен ли TCP 445 извне сети, но оно не может доказать, что пользователь может безопасно получить доступ к общему ресурсу. Используйте тесты клиента SMB и журналы сервера для проверки аутентификации, разрешений на уровне общих ресурсов, списков ACL NTFS или файловой системы, а также политики аудита.

В Windows Server или Windows Pro включите общий доступ к файлам и принтерам или роль файлового сервера, создайте общий ресурс, установите разрешения для общего ресурса и списки ACL файловой системы, а также разрешите входящий TCP 445 в брандмауэре Защитника Windows. Среды домена должны использовать группы вместо назначения разрешений отдельным пользователям.

В Linux установите и настройте Samba, определите общие ресурсы в smb.conf, создайте или сопоставьте пользователей и разрешите TCP 445 через ufw, firewalld, nftables или вашу облачную группу безопасности. В смешанных средах подтвердите интеграцию разрешения имен и аутентификации, прежде чем предоставлять общий ресурс пользователям.

На устройствах NAS включите SMB только для тех сетей, которые в нем нуждаются, отключите гостевые общие ресурсы, если они не предусмотрены намеренно, и поддерживайте актуальность встроенного ПО. Многие инциденты безопасности NAS происходят из-за открытых в Интернете интерфейсов управления и служб обмена файлами, которые никогда не предназначались для публичного доступа.

Начните с проверки внешнего порта по имени хоста или IP-адресу и порту 445. Если результат открыт, удаленный клиент может связаться с прослушивателем SMB. Затем проверьте реальный общий ресурс, используя UNC-путь Windows, например \\server\share, smbclient в Linux или файловый менеджер, поддерживающий SMB.

На сервере подтвердите прослушиватель с помощью PowerShell, netstat, ss или страницы состояния вашего NAS. Если порт открыт, но доступ к общему ресурсу невозможен, проверьте учетные данные, доверие домена, разрешения общего ресурса, списки ACL файловой системы, политику диалекта SMB, требования к подписи и журналы событий сервера.

Если порт 445 закрыт, служба SMB может быть отключена, заблокирована брандмауэром хоста, привязана только к частному интерфейсу или скрыта за VPN-путем. Если время соединения истекло, маршрутизатор, облачный брандмауэр, интернет-провайдер, корпоративная политика исходящего трафика или белый список исходных IP-адресов могут отбрасывать трафик.

Если порт 445 открыт, но пользователи не могут получить доступ к общему ресурсу, проверьте точное имя общего ресурса, формат имени пользователя, членство в домене, синхронизацию часов, состояние пароля, разрешения NTFS или POSIX, гостевые ограничения и политику подписи или шифрования SMB. Многие сбои SMB связаны с проблемами разрешений или идентификации, а не с портами.

По возможности держите SMB подальше от общедоступного Интернета. Отключите SMB 1, требуйте строгую аутентификацию, удалите гостевой доступ, примените разрешения с наименьшими привилегиями и быстро исправьте прошивки Windows, Samba и NAS. Для конфиденциальных общих ресурсов требуется подпись или шифрование SMB, если это позволяет производительность и поддержка клиентов.

Резервное копирование общих данных, тестирование восстановления, доступ к журналам доступа к конфиденциальным папкам и оповещение о необычном объеме записи, неудачных входах в систему или доступе из неожиданных сетей. Если SMB необходимо пересекать сайты, передавайте его через VPN, частный канал или уровень доступа с нулевым доверием вместо прямого доступа в Интернет.