在被 DMZ 的 Windows Server 上开网络发现和文件共享安全吗？

先说环境，是运行 qBittorrent 的下载服务器，基于在看电影的同时不打断做种的需求，打算开文件共享。但是因为想从别的地点访问 qB 的管理页面，签了张证书就在路由器那把设备映射出去了。
这种情况下如果开了文件共享服务，设备可以在公网被访问到吗？需要加强密码吗？（以及加了强密码就安全了吗？）
另外，如果可以在公网被访问到，有没有办法实现修改端口，或者对访问的 ip 段进行限制？

Tianao

2021-06-16 13:03:55 +08:00

这看你具体怎么做的映射，现在很少有 DMZ 这种说法。SMB 共享开自动更新积极打补丁是基本安全的（当然 Windows 要受支持）。必须强密码。

suifengdang666

2021-06-16 13:06:42 +08:00

如果是 win 自己的 smb 协议，运营商会帮你把 ip 的 445 之类的 samba 端口封掉，基本不怕。但最好检查一下服务器开了啥端口，对公网开放 3389 rdp 端口是很危险的

ysc3839

2021-06-16 15:28:47 +08:00

我认为不安全，因为 SMB 似乎没有验证证书的机制吧？那遇到了中间人攻击该如何防范呢？

keepeye

2021-06-16 15:39:24 +08:00

路由器有防火墙吗？可以设置下特定端口只允许内网访问

jim9606

2021-06-16 16:46:08 +08:00

一般的 Standalone 配置的 Windows Server 的 SMB 共享是简单的帐户+密码，证书是你开 Web 服务器用的吧？
建议禁用 SMBv1，按微软说法这个版本容易出漏洞。
至少个人认为有非特权文件共享专用账户+强密码，安全性应该跟一些第三方 FTP 差不多。
SMB 不支持更改端口。

jim9606

2021-06-16 16:54:37 +08:00

不过只是图方便的话，还是套个 VPN 吧，我想了下 SMB 的应用优势是在 Win 下可以像本地文件那样原地打开，也不需要上层软件专门适配。
SMB 有很多脚本会在公网扫描，那一堆失败日志会把危险信息淹没掉。
至于防中间人攻击的问题，SMB 确实没解决方案，用 WebDAV 吧。

FISHA

2021-06-17 08:52:31 +08:00

个人认为不安全，也访问不到，但是可以使用端口转发，之前有试过转发各种端口，但发现效率并不可观，如果确定是使用 smb 协议推荐使用 zerotier 组虚拟内网安全性会更好一些，考虑效率的话还是推荐使用 WebDav 传输文件。

yulgang

2021-06-17 10:22:50 +08:00

运营商在公网上默认已经封了 Windows 的默认文件共享吧。 😂

longislet

2021-06-17 12:20:09 +08:00

@suifengdang666 谢谢！装完系统就检查过一遍端口，ssh 和远程桌面相关都堵了

longislet

2021-06-17 12:35:25 +08:00

@jim9606 谢谢！就是想问 smb 是否支持类似 web 服务器的证书加密方案，看了一圈似乎有难度。
但 smb 还是方便。我目前的方案是内网 smb 外网 WebDav，不转发端口，靠运营商屏蔽确保内网安全，开两个服务性能开销大了些，也只能这样了。

hahaha777

2021-06-17 12:46:00 +08:00

@suifengdang666 咨询下大佬，如果对公网开放 rdp 端口，且密码是强密码，也会很危险吗？

suifengdang666

2021-06-22 14:09:47 +08:00

@hahaha777 只要是密码，终究会被破出来，建议套 vpn

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783709

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.