请问一下,微软是出于什么考虑在 Win Server 上默认启用 SMB 共享服务?
LokiSharp · 2017-05-14 21:00:53 +08:00 · 10490 次点击这是一个创建于 2745 天前的主题,其中的信息可能已经有所发展或是发生改变。
从这次勒索病毒事件来看,如此大规模的传播有一定原因在于 Windows 安装后默认启用 SMB。
桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?
出于安全考虑服务器系统不应该是最小可用原则么?
桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?
出于安全考虑服务器系统不应该是最小可用原则么?
 |
1
akira 2017-05-14 21:03:22 +08:00
最小可用原则 是要人自己去处理的。不然就没这个说法了
|
 |
2
wevsty 2017-05-14 22:03:51 +08:00
SMB 文件共享其实在服务器上也是有需要的,而且默认还有个防火墙,有公网 IP 的话,联网选择公共网络防火墙默认是不允许外部访问的。
|
 |
3
ppbaozi 2017-05-14 22:30:03 +08:00
 中招的都是动了防火墙或者装的非原版系统的,只能这么解释 |
 |
4
skydiver 2017-05-14 22:33:36 +08:00 via iPad
服务器不开这个你怎么复制文件。。
|
|
7
ppbaozi 2017-05-14 22:41:07 +08:00 via iPhone
@LokiSharp 这个是“允许”规则,不启用就是不允许,windows 防火墙全局默认是入站数据全不允许,出站数据全部允许
|
 |
8
xbb7766 2017-05-14 22:44:39 +08:00
默认我记得是没开启这些 feature 的,windows server 默认情况下也没有安装很多桌面版的功能,需要只能手动装。
而且 windows server 默认的防火墙和浏览器安全策略严格到有点反人类,要是有人偷懒关了,那就…… |
 |
9
ioriwong 2017-05-15 00:55:47 +08:00 via Android
运维为什么拿工资?他们可不是将防火墙关掉就完事
|
 |
10
flynaj 2017-05-15 01:09:40 +08:00 via Android
文件服务器,3 月份的补丁,5 月份还没有打都是不重视安全的人,这类人什么都是漏洞
|
 |
11
LokiSharp OP 防火墙不关就能挡住?为啥 v2 还有人服务器受到攻击。。。
|
 |
12
msg7086 2017-05-15 03:55:10 +08:00
服务器有管理员共享啊,远程管理用的……
|
 |
13
hjc4869 2017-05-15 04:13:52 +08:00
|
|
14
LokiSharp OP |
 |
15
ivmm 2017-05-15 07:55:10 +08:00
完全可以想的阴谋论一点,和某国机构勾结嘛
而且棱镜门也泄露出了某国科技公司和该机构勾结,之前一个一个都不承认 |
 |
16
hsmocc 2017-05-15 08:13:05 +08:00 via iPhone
@ivmm 我是严重怀疑就是留的后门,什么 SMB、打印机共享默认不应该关闭吗?想用时候让用户点下按钮启动不行吗?你默认开 135 139 445 等端口不是让人攻击的是啥?
|
|
17
wevsty 2017-05-15 08:59:18 +08:00
@LokiSharp
防火墙默认不允许也很正常,因为不是人人都需要这些功能,而且防火墙的默认配置是根据网络环境进行调整的,第一次联网会要求选择网络环境从而决定使用什么样的配置。 @hsmocc 这样的怀疑没有什么根据,默认打开 SMB 就是个后门?还有大把 vps 厂商会默认安装 samba 呢。只有 135,139,445 这样的端口打开本质上是没问题的,关键在于实现上有没有问题。历史上 SMB 的实现对比其他的服务,问题稍多,这才形成了 135,139,445 这些端口是高危端口的形象。并且,Windows 还有防火墙来阻止访问。说后门是想太多了,当然如果不信任的话,还是建议不要使用 Windows。 |
 |
18
dongxiaozhuo 2017-05-15 09:33:56 +08:00 via iPhone
@ioriwong 说个远一点的,至今公网上可以扫除不少开放 6379 端口的 redis。脏牛漏洞能爆一大堆,很多运维真的不做 update 操作。
|
 |
19
actto 2017-05-15 09:44:43 +08:00 via Android
打补丁哪有那么轻松,打了补丁就要重启,重启不算时间吗?而且兼容性也不能保证。每次运维打补丁都是一件大事,要做备份,测试,回退方案等等。很多公司都将打补丁设置为 重大变更,去操作的。
|
 |
20
gamexg 2017-05-15 09:48:09 +08:00 via Android
还有另一个问题,为什么微软把 smb 弄到了内核?
这种服务应该不需要进内核才对。 |
|
21
hjc4869 2017-05-15 10:21:45 +08:00
@LokiSharp 别的服务或者程序要调用这个服务的一部分功能而已。
还有一个例子就是 Windows 防火墙服务,你可以单独关闭 Windows 防火墙,但是 Windows 防火墙服务如果被关了,你就会发现很多东西都不能用了,比如 RDP server。 |
|
23
ioriwong 2017-05-15 10:56:17 +08:00 via Android
|
|
24
xbb7766 2017-05-15 12:38:44 +08:00  1
@LokiSharp 默认的共享,是说远程管理用的$开头的共享?那个正常途径一般是无法访问的。
还有这次 MS17-010 的漏洞出在最老的 SMBv1 协议。 16 年的文章,说的是建议停用 v1,开头也说了 v1 和 v2v3 的差别包括安全方面。 https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ 以及发展到现在,SMB 协议已经不单单是共享,和很多其他服务相关,下文开头有写关掉 v2 或者 v3 会影响的功能。 https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 所以咯,牵一发而动全身,要是把 SMBv1 到 v3 全部停掉,可能有的功能就跪了。 大概为了向下兼容,所以现在系统还带古老的 SMBv1 支持? |
Select Language