请问一下，微软是出于什么考虑在 Win Server 上默认启用 SMB 共享服务？

最小可用原则 是要人自己去处理的。不然就没这个说法了

SMB 文件共享其实在服务器上也是有需要的，而且默认还有个防火墙，有公网 IP 的话，联网选择公共网络防火墙默认是不允许外部访问的。

服务器不开这个你怎么复制文件。。

@ppbaozi #3 这个是规则未启用吧

@ppbaozi #3 而且默认值是允许啊。。。难道我理解错了= =

@LokiSharp 这个是“允许”规则，不启用就是不允许，windows 防火墙全局默认是入站数据全不允许，出站数据全部允许

默认我记得是没开启这些 feature 的，windows server 默认情况下也没有安装很多桌面版的功能，需要只能手动装。
而且 windows server 默认的防火墙和浏览器安全策略严格到有点反人类，要是有人偷懒关了，那就……

运维为什么拿工资？他们可不是将防火墙关掉就完事

文件服务器，3 月份的补丁，5 月份还没有打都是不重视安全的人，这类人什么都是漏洞

防火墙不关就能挡住？为啥 v2 还有人服务器受到攻击。。。

服务器有管理员共享啊，远程管理用的……

SMB 服务确实是默认开着的（关了还会出问题），但是防火墙默认禁用了所有入站流量。
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

@hjc4869
@msg7086
@flynaj
@ioriwong
@xbb7766
@skydiver
@akira
@wevsty

你们有的说他是有用，是远程管理用的，有的又说是默认防火墙阻断了所有流量，究竟有没有用？
默认防火墙阻断，哪这个服务还怎么用？

完全可以想的阴谋论一点，和某国机构勾结嘛
而且棱镜门也泄露出了某国科技公司和该机构勾结，之前一个一个都不承认

@ivmm 我是严重怀疑就是留的后门，什么 SMB、打印机共享默认不应该关闭吗？想用时候让用户点下按钮启动不行吗？你默认开 135 139 445 等端口不是让人攻击的是啥？

@LokiSharp
防火墙默认不允许也很正常，因为不是人人都需要这些功能，而且防火墙的默认配置是根据网络环境进行调整的，第一次联网会要求选择网络环境从而决定使用什么样的配置。
@hsmocc
这样的怀疑没有什么根据，默认打开 SMB 就是个后门？还有大把 vps 厂商会默认安装 samba 呢。只有 135，139，445 这样的端口打开本质上是没问题的，关键在于实现上有没有问题。历史上 SMB 的实现对比其他的服务，问题稍多，这才形成了 135，139，445 这些端口是高危端口的形象。并且，Windows 还有防火墙来阻止访问。说后门是想太多了，当然如果不信任的话，还是建议不要使用 Windows。

@ioriwong 说个远一点的，至今公网上可以扫除不少开放 6379 端口的 redis。脏牛漏洞能爆一大堆，很多运维真的不做 update 操作。

打补丁哪有那么轻松，打了补丁就要重启，重启不算时间吗？而且兼容性也不能保证。每次运维打补丁都是一件大事，要做备份，测试，回退方案等等。很多公司都将打补丁设置为 重大变更，去操作的。

还有另一个问题，为什么微软把 smb 弄到了内核？
这种服务应该不需要进内核才对。