请问一下,微软是出于什么考虑在 Win Server 上默认启用 SMB 共享服务?

2017-05-14 21:00:53 +08:00
 LokiSharp
从这次勒索病毒事件来看,如此大规模的传播有一定原因在于 Windows 安装后默认启用 SMB。

桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?

出于安全考虑服务器系统不应该是最小可用原则么?
10500 次点击
所在节点    问与答
25 条回复
akira
2017-05-14 21:03:22 +08:00
最小可用原则 是要人自己去处理的。不然就没这个说法了
wevsty
2017-05-14 22:03:51 +08:00
SMB 文件共享其实在服务器上也是有需要的,而且默认还有个防火墙,有公网 IP 的话,联网选择公共网络防火墙默认是不允许外部访问的。
ppbaozi
2017-05-14 22:30:03 +08:00

中招的都是动了防火墙或者装的非原版系统的,只能这么解释
skydiver
2017-05-14 22:33:36 +08:00
服务器不开这个你怎么复制文件。。
LokiSharp
2017-05-14 22:36:03 +08:00
@ppbaozi #3 这个是规则未启用吧
LokiSharp
2017-05-14 22:39:49 +08:00
@ppbaozi #3 而且默认值是允许啊。。。难道我理解错了= =
ppbaozi
2017-05-14 22:41:07 +08:00
@LokiSharp 这个是“允许”规则,不启用就是不允许,windows 防火墙全局默认是入站数据全不允许,出站数据全部允许
xbb7766
2017-05-14 22:44:39 +08:00
默认我记得是没开启这些 feature 的,windows server 默认情况下也没有安装很多桌面版的功能,需要只能手动装。
而且 windows server 默认的防火墙和浏览器安全策略严格到有点反人类,要是有人偷懒关了,那就……
ioriwong
2017-05-15 00:55:47 +08:00
运维为什么拿工资?他们可不是将防火墙关掉就完事
flynaj
2017-05-15 01:09:40 +08:00
文件服务器,3 月份的补丁,5 月份还没有打都是不重视安全的人,这类人什么都是漏洞
LokiSharp
2017-05-15 01:18:51 +08:00
防火墙不关就能挡住?为啥 v2 还有人服务器受到攻击。。。
msg7086
2017-05-15 03:55:10 +08:00
服务器有管理员共享啊,远程管理用的……
hjc4869
2017-05-15 04:13:52 +08:00
LokiSharp
2017-05-15 07:28:14 +08:00
@hjc4869
@msg7086
@flynaj
@ioriwong
@xbb7766
@skydiver
@akira
@wevsty

你们有的说他是有用,是远程管理用的,有的又说是默认防火墙阻断了所有流量,究竟有没有用?
默认防火墙阻断,哪这个服务还怎么用?
ivmm
2017-05-15 07:55:10 +08:00
完全可以想的阴谋论一点,和某国机构勾结嘛
而且棱镜门也泄露出了某国科技公司和该机构勾结,之前一个一个都不承认
hsmocc
2017-05-15 08:13:05 +08:00
@ivmm 我是严重怀疑就是留的后门,什么 SMB、打印机共享默认不应该关闭吗?想用时候让用户点下按钮启动不行吗?你默认开 135 139 445 等端口不是让人攻击的是啥?
wevsty
2017-05-15 08:59:18 +08:00
@LokiSharp
防火墙默认不允许也很正常,因为不是人人都需要这些功能,而且防火墙的默认配置是根据网络环境进行调整的,第一次联网会要求选择网络环境从而决定使用什么样的配置。
@hsmocc
这样的怀疑没有什么根据,默认打开 SMB 就是个后门?还有大把 vps 厂商会默认安装 samba 呢。只有 135,139,445 这样的端口打开本质上是没问题的,关键在于实现上有没有问题。历史上 SMB 的实现对比其他的服务,问题稍多,这才形成了 135,139,445 这些端口是高危端口的形象。并且,Windows 还有防火墙来阻止访问。说后门是想太多了,当然如果不信任的话,还是建议不要使用 Windows。
dongxiaozhuo
2017-05-15 09:33:56 +08:00
@ioriwong 说个远一点的,至今公网上可以扫除不少开放 6379 端口的 redis。脏牛漏洞能爆一大堆,很多运维真的不做 update 操作。
actto
2017-05-15 09:44:43 +08:00
打补丁哪有那么轻松,打了补丁就要重启,重启不算时间吗?而且兼容性也不能保证。每次运维打补丁都是一件大事,要做备份,测试,回退方案等等。很多公司都将打补丁设置为 重大变更,去操作的。
gamexg
2017-05-15 09:48:09 +08:00
还有另一个问题,为什么微软把 smb 弄到了内核?
这种服务应该不需要进内核才对。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361288

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX