V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
LokiSharp
V2EX  ›  问与答

请问一下,微软是出于什么考虑在 Win Server 上默认启用 SMB 共享服务?

  •  
  •   LokiSharp · 2017-05-14 21:00:53 +08:00 · 10530 次点击
    这是一个创建于 2783 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从这次勒索病毒事件来看,如此大规模的传播有一定原因在于 Windows 安装后默认启用 SMB。

    桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
    但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?

    出于安全考虑服务器系统不应该是最小可用原则么?
    25 条回复    2017-05-15 17:47:58 +08:00
    akira
        1
    akira  
       2017-05-14 21:03:22 +08:00
    最小可用原则 是要人自己去处理的。不然就没这个说法了
    wevsty
        2
    wevsty  
       2017-05-14 22:03:51 +08:00
    SMB 文件共享其实在服务器上也是有需要的,而且默认还有个防火墙,有公网 IP 的话,联网选择公共网络防火墙默认是不允许外部访问的。
    xPKK1qofAr6RR09O
        3
    xPKK1qofAr6RR09O  
       2017-05-14 22:30:03 +08:00

    中招的都是动了防火墙或者装的非原版系统的,只能这么解释
    skydiver
        4
    skydiver  
       2017-05-14 22:33:36 +08:00 via iPad
    服务器不开这个你怎么复制文件。。
    LokiSharp
        5
    LokiSharp  
    OP
       2017-05-14 22:36:03 +08:00
    @ppbaozi #3 这个是规则未启用吧
    LokiSharp
        6
    LokiSharp  
    OP
       2017-05-14 22:39:49 +08:00
    @ppbaozi #3 而且默认值是允许啊。。。难道我理解错了= =
    xPKK1qofAr6RR09O
        7
    xPKK1qofAr6RR09O  
       2017-05-14 22:41:07 +08:00 via iPhone
    @LokiSharp 这个是“允许”规则,不启用就是不允许,windows 防火墙全局默认是入站数据全不允许,出站数据全部允许
    xbb7766
        8
    xbb7766  
       2017-05-14 22:44:39 +08:00
    默认我记得是没开启这些 feature 的,windows server 默认情况下也没有安装很多桌面版的功能,需要只能手动装。
    而且 windows server 默认的防火墙和浏览器安全策略严格到有点反人类,要是有人偷懒关了,那就……
    ioriwong
        9
    ioriwong  
       2017-05-15 00:55:47 +08:00 via Android
    运维为什么拿工资?他们可不是将防火墙关掉就完事
    flynaj
        10
    flynaj  
       2017-05-15 01:09:40 +08:00 via Android
    文件服务器,3 月份的补丁,5 月份还没有打都是不重视安全的人,这类人什么都是漏洞
    LokiSharp
        11
    LokiSharp  
    OP
       2017-05-15 01:18:51 +08:00 via iPhone
    防火墙不关就能挡住?为啥 v2 还有人服务器受到攻击。。。
    msg7086
        12
    msg7086  
       2017-05-15 03:55:10 +08:00
    服务器有管理员共享啊,远程管理用的……
    hjc4869
        13
    hjc4869  
       2017-05-15 04:13:52 +08:00
    LokiSharp
        14
    LokiSharp  
    OP
       2017-05-15 07:28:14 +08:00 via iPhone
    @hjc4869
    @msg7086
    @flynaj
    @ioriwong
    @xbb7766
    @skydiver
    @akira
    @wevsty

    你们有的说他是有用,是远程管理用的,有的又说是默认防火墙阻断了所有流量,究竟有没有用?
    默认防火墙阻断,哪这个服务还怎么用?
    ivmm
        15
    ivmm  
       2017-05-15 07:55:10 +08:00
    完全可以想的阴谋论一点,和某国机构勾结嘛
    而且棱镜门也泄露出了某国科技公司和该机构勾结,之前一个一个都不承认
    hsmocc
        16
    hsmocc  
       2017-05-15 08:13:05 +08:00 via iPhone
    @ivmm 我是严重怀疑就是留的后门,什么 SMB、打印机共享默认不应该关闭吗?想用时候让用户点下按钮启动不行吗?你默认开 135 139 445 等端口不是让人攻击的是啥?
    wevsty
        17
    wevsty  
       2017-05-15 08:59:18 +08:00
    @LokiSharp
    防火墙默认不允许也很正常,因为不是人人都需要这些功能,而且防火墙的默认配置是根据网络环境进行调整的,第一次联网会要求选择网络环境从而决定使用什么样的配置。
    @hsmocc
    这样的怀疑没有什么根据,默认打开 SMB 就是个后门?还有大把 vps 厂商会默认安装 samba 呢。只有 135,139,445 这样的端口打开本质上是没问题的,关键在于实现上有没有问题。历史上 SMB 的实现对比其他的服务,问题稍多,这才形成了 135,139,445 这些端口是高危端口的形象。并且,Windows 还有防火墙来阻止访问。说后门是想太多了,当然如果不信任的话,还是建议不要使用 Windows。
    dongxiaozhuo
        18
    dongxiaozhuo  
       2017-05-15 09:33:56 +08:00 via iPhone
    @ioriwong 说个远一点的,至今公网上可以扫除不少开放 6379 端口的 redis。脏牛漏洞能爆一大堆,很多运维真的不做 update 操作。
    actto
        19
    actto  
       2017-05-15 09:44:43 +08:00 via Android
    打补丁哪有那么轻松,打了补丁就要重启,重启不算时间吗?而且兼容性也不能保证。每次运维打补丁都是一件大事,要做备份,测试,回退方案等等。很多公司都将打补丁设置为 重大变更,去操作的。
    gamexg
        20
    gamexg  
       2017-05-15 09:48:09 +08:00 via Android
    还有另一个问题,为什么微软把 smb 弄到了内核?
    这种服务应该不需要进内核才对。
    hjc4869
        21
    hjc4869  
       2017-05-15 10:21:45 +08:00
    @LokiSharp 别的服务或者程序要调用这个服务的一部分功能而已。
    还有一个例子就是 Windows 防火墙服务,你可以单独关闭 Windows 防火墙,但是 Windows 防火墙服务如果被关了,你就会发现很多东西都不能用了,比如 RDP server。
    ivmm
        22
    ivmm  
       2017-05-15 10:29:31 +08:00
    @hsmocc 我也觉得
    ioriwong
        23
    ioriwong  
       2017-05-15 10:56:17 +08:00 via Android
    @dongxiaozhuo
    @actto
    所以运维才能领工资啊,不然公司养个闲人干什么?
    至于领了工资嫌麻烦不干活的,还是趁早换一个
    xbb7766
        24
    xbb7766  
       2017-05-15 12:38:44 +08:00   ❤️ 1
    @LokiSharp 默认的共享,是说远程管理用的$开头的共享?那个正常途径一般是无法访问的。
    还有这次 MS17-010 的漏洞出在最老的 SMBv1 协议。

    16 年的文章,说的是建议停用 v1,开头也说了 v1 和 v2v3 的差别包括安全方面。
    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

    以及发展到现在,SMB 协议已经不单单是共享,和很多其他服务相关,下文开头有写关掉 v2 或者 v3 会影响的功能。
    https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

    所以咯,牵一发而动全身,要是把 SMBv1 到 v3 全部停掉,可能有的功能就跪了。
    大概为了向下兼容,所以现在系统还带古老的 SMBv1 支持?
    LokiSharp
        25
    LokiSharp  
    OP
       2017-05-15 17:47:58 +08:00 via iPhone
    @xbb7766 我没记错的话 微软说建议停用 SMBv1 说了十年了然而到现在,SMBv1 还好好的躺着
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2737 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:22 · PVG 23:22 · LAX 07:22 · JFK 10:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.