这是一个创建于 3100 天前的主题,其中的信息可能已经有所发展或是发生改变。
从这次勒索病毒事件来看,如此大规模的传播有一定原因在于 Windows 安装后默认启用 SMB。
桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?
出于安全考虑服务器系统不应该是最小可用原则么?
桌面系统可以理解,SMB 共享以及打印机共享是有需求的。
但是为什么作为服务器系统的 Win Server 也要默认启用这些看起来没有什么意义的服务呢?
出于安全考虑服务器系统不应该是最小可用原则么?
 | 1 akira 2017-05-14 21:03:22 +08:00 最小可用原则 是要人自己去处理的。不然就没这个说法了 |
 | 2 wevsty 2017-05-14 22:03:51 +08:00 SMB 文件共享其实在服务器上也是有需要的,而且默认还有个防火墙,有公网 IP 的话,联网选择公共网络防火墙默认是不允许外部访问的。 |
 | 3 xPKK1qofAr6RR09O 2017-05-14 22:30:03 +08:00  中招的都是动了防火墙或者装的非原版系统的,只能这么解释 |
 | 4 skydiver 2017-05-14 22:33:36 +08:00 via iPad 服务器不开这个你怎么复制文件。。 |
| 7 xPKK1qofAr6RR09O 2017-05-14 22:41:07 +08:00 via iPhone @LokiSharp 这个是“允许”规则,不启用就是不允许,windows 防火墙全局默认是入站数据全不允许,出站数据全部允许 |
 | 8 xbb7766 2017-05-14 22:44:39 +08:00 默认我记得是没开启这些 feature 的,windows server 默认情况下也没有安装很多桌面版的功能,需要只能手动装。 而且 windows server 默认的防火墙和浏览器安全策略严格到有点反人类,要是有人偷懒关了,那就…… |
 | 9 ioriwong 2017-05-15 00:55:47 +08:00 via Android 运维为什么拿工资?他们可不是将防火墙关掉就完事 |
 | 10 flynaj 2017-05-15 01:09:40 +08:00 via Android 文件服务器,3 月份的补丁,5 月份还没有打都是不重视安全的人,这类人什么都是漏洞 |
 | 11 LokiSharp OP 防火墙不关就能挡住?为啥 v2 还有人服务器受到攻击。。。 |
 | 12 msg7086 2017-05-15 03:55:10 +08:00 服务器有管理员共享啊,远程管理用的…… |
 | 13 hjc4869 2017-05-15 04:13:52 +08:00 |
| 14 LokiSharp OP |
 | 15 ivmm 2017-05-15 07:55:10 +08:00 完全可以想的阴谋论一点,和某国机构勾结嘛 而且棱镜门也泄露出了某国科技公司和该机构勾结,之前一个一个都不承认 |
 | 16 hsmocc 2017-05-15 08:13:05 +08:00 via iPhone @ivmm 我是严重怀疑就是留的后门,什么 SMB、打印机共享默认不应该关闭吗?想用时候让用户点下按钮启动不行吗?你默认开 135 139 445 等端口不是让人攻击的是啥? |
| 17 wevsty 2017-05-15 08:59:18 +08:00 @LokiSharp 防火墙默认不允许也很正常,因为不是人人都需要这些功能,而且防火墙的默认配置是根据网络环境进行调整的,第一次联网会要求选择网络环境从而决定使用什么样的配置。 @hsmocc 这样的怀疑没有什么根据,默认打开 SMB 就是个后门?还有大把 vps 厂商会默认安装 samba 呢。只有 135,139,445 这样的端口打开本质上是没问题的,关键在于实现上有没有问题。历史上 SMB 的实现对比其他的服务,问题稍多,这才形成了 135,139,445 这些端口是高危端口的形象。并且,Windows 还有防火墙来阻止访问。说后门是想太多了,当然如果不信任的话,还是建议不要使用 Windows。 |
 | 18 dongxiaozhuo 2017-05-15 09:33:56 +08:00 via iPhone @ioriwong 说个远一点的,至今公网上可以扫除不少开放 6379 端口的 redis。脏牛漏洞能爆一大堆,很多运维真的不做 update 操作。 |
 | 19 actto 2017-05-15 09:44:43 +08:00 via Android 打补丁哪有那么轻松,打了补丁就要重启,重启不算时间吗?而且兼容性也不能保证。每次运维打补丁都是一件大事,要做备份,测试,回退方案等等。很多公司都将打补丁设置为 重大变更,去操作的。 |
 | 20 gamexg 2017-05-15 09:48:09 +08:00 via Android 还有另一个问题,为什么微软把 smb 弄到了内核? 这种服务应该不需要进内核才对。 |
| 21 hjc4869 2017-05-15 10:21:45 +08:00 @LokiSharp 别的服务或者程序要调用这个服务的一部分功能而已。 还有一个例子就是 Windows 防火墙服务,你可以单独关闭 Windows 防火墙,但是 Windows 防火墙服务如果被关了,你就会发现很多东西都不能用了,比如 RDP server。 |
| 23 ioriwong 2017-05-15 10:56:17 +08:00 via Android |
| 24 xbb7766 2017-05-15 12:38:44 +08:00  1 @LokiSharp 默认的共享,是说远程管理用的$开头的共享?那个正常途径一般是无法访问的。 还有这次 MS17-010 的漏洞出在最老的 SMBv1 协议。 16 年的文章,说的是建议停用 v1,开头也说了 v1 和 v2v3 的差别包括安全方面。 https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ 以及发展到现在,SMB 协议已经不单单是共享,和很多其他服务相关,下文开头有写关掉 v2 或者 v3 会影响的功能。 https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 所以咯,牵一发而动全身,要是把 SMBv1 到 v3 全部停掉,可能有的功能就跪了。 大概为了向下兼容,所以现在系统还带古老的 SMBv1 支持? |
Select Language