تغییر SMB پورت در ویندوز سرور 2025 و ویندوز 11

ویندوز 11 و ویندوز سرور 2025 پروتکل SMB را با تمرکز ویژه بر امنیت بهبود می‌دهند. یکی از ویژگی‌های کلیدی، امکان تغییر پورت‌ها به TCP 445 است که امنیت و انعطاف‌پذیری بیشتری را ارائه می‌دهد. با این حال، این قابلیت محدود به پروتکل QUIC در سمت سرور است. برای دهه‌ها، SMB ویندوز محدود به پورت TCP 445 بوده است که استفاده از پورت‌های دیگر را محدود می‌کرد. با این حال، این موضوع در نسخه‌های اخیر سیستم‌عامل‌ها تغییر کرده است. استفاده از یک پورت جایگزین باعث افزایش حفاظت در برابر اسکن‌های فرصت‌طلبانه و تقویت امنیت به همراه اقداماتی همچون امضای ترافیک SMB و رمزنگاری آن می‌شود. این تغییر همچنین به مدیران شبکه انعطاف‌پذیری بیشتری می‌دهد، به ویژه زمانی که ترافیک SMB از یک فایروال یا بالانسر بار عبور می‌کند.

پیکربندی پورت‌های جایگزین برای کلاینت SMB

در سمت کلاینت، شما می‌توانید برای هر مکانیزم انتقال (TCP، RDMA و QUIC) یک پورت جایگزین تعریف کنید. پورت‌های پیش‌فرض برای TCP و RDMA پورت 445 TCP است (اگرچه RDMA برای انتقال داده واقعی به آن نیازی ندارد)، در حالی که SMB بر روی QUIC از پورت UDP 443 استفاده می‌کند. شما می‌توانید پورت پیش‌فرض را با استفاده از PowerShell، net.exe یا Group Policy تغییر دهید.

PowerShell

مایکروسافت فرمان New-SmbMapping را در PowerShell ارتقا داده و پارامترهای TcpPort، RdmaPort و QuicPort را به آن اضافه کرده است. شما می‌توانید شماره پورت را بین 0 و 65536 مشخص کنید. یک دستور نمونه برای نگاشت درایو شبکه به شکل زیر خواهد بود:

New-SmbMapping -LocalPath J -RemotePath \\filer.contoso.com\ppt -TcpPort 487

در این مثال، اشتراک شبکه ppt در filer.contoso.com به درایو محلی J نگاشته می‌شود و اتصال SMB از پورت TCP 487 استفاده خواهد کرد.

Setting an alternative TCP port for SMB using PowerShell.

 

استفاده از net.exe

دستور معادل با استفاده از net.exe به شکل زیر است:

NET USE J: \\filer.contoso.com\ppt /TCPPORT:487

در هر دو حالت، شما می‌توانید TcpPort را با RdmaPort یا QuicPort جایگزین کنید تا SMB را از طریق این پروتکل‌ها با پورت جایگزین پیکربندی کنید.

پیکربندی از طریق GPO

یک تنظیم جدید Group Policy معرفی شده است تا مدیریت پورت SMB را متمرکز کند. این تنظیم در مسیر زیر قرار دارد و با عنوان Alternative Port Mappings شناخته می‌شود.

Computer Configuration => Policies => Administrative Templates => Network => LanMan Workstation

فعال کردن این سیاست به شما این امکان را می‌دهد که نگاشت‌ها، از جمله پورت جدید، را در Alternative Port Registry Mappings وارد کنید. برای مثال ارائه شده، شما باید وارد کنید:

filer.contoso.com:tcp:487

هر ورودی شامل نام سرور، نوع انتقال و شماره پورت است که با دو نقطه از هم جدا شده‌اند. برخلاف دستورات New-SmbMapping و net.exe، در اینجا نیازی به مشخص کردن نام اشتراک نیست.

مهم است که بررسی کنید سرور SMB به طور فعال در پورت انتخابی شما در حال گوش دادن است، بدون توجه به اینکه کدام پورت را انتخاب کرده‌اید.

پورت جایگزین در سرور

در این زمینه، «سرور» به هر ماشین ویندوزی که به عنوان سرور SMB عمل می‌کند اشاره دارد، نه فقط ویندوز سرور، بلکه ویندوز 11 نیز. مایکروسافت PowerShell را به عنوان تنها گزینه برای پیکربندی یک پورت غیر استاندارد ارائه می‌دهد. دستورهای مرتبط عبارتند از:

  • Get-SmbServerAlternativePort
  • New-SmbServerAlternativePort
  • Remove-SmbServerAlternativePort
  • Set-SmbServerAlternativePort

اولین دستور پیکربندی پورت فعال فعلی را نمایش می‌دهد، در حالی که دستور دوم پورت جایگزینی به SMB اختصاص می‌دهد.

New-SmbServerAlternativePort -TransportType QUIC -Port 1111

در حال حاضر، پارامتر TransportType تنها از QUIC پشتیبانی می‌کند، به این معنی که TCP و RDMA نمی‌توانند پورت‌های مختلفی در سمت سرور داشته باشند. مایکروسافت احتمالاً SMB بر روی QUIC را اولویت داده است زیرا این پروتکل اجازه استفاده مستقیم از طریق اینترنت را می‌دهد، که اغلب نیازمند باز کردن پورت‌های مختلف فایروال است. از طرف دیگر، SMB بر روی TCP معمولاً از طریق یک VPN برای دلایل امنیتی دسترسی پیدا می‌کند. اگرچه تغییر پورت برای هر سه پروتکل در سمت کلاینت ممکن است، سرور تنها گزینه تنظیم پورت QUIC را ارائه می‌دهد. این ترکیب ممکن است از نظر عملی مفید نباشد، اما مزایایی فراتر از محیط‌های ویندوزی دارد.

برای مثال، Samba امکان تنظیم پورت جایگزین را با افزودن یک ورودی در فایل smb.conf فراهم می‌کند، همانطور که در زیر نشان داده شده است:

[global]
smb ports = 1445

انتخاب یک پورت TCP متفاوت در کلاینت می‌تواند مفید باشد اگر سرور SMB پشت یک بالانسر بار قرار داشته باشد که ممکن است ترافیک SMB را روی پورت 445 مدیریت نکند.

جلوگیری از تغییرات پورت

مدیران می‌توانند از Group Policy برای محدود کردن کاربران در تغییر پورت هنگام نگاشت درایو شبکه استفاده کنند، زیرا این کار می‌تواند اتصال را مختل کند. این سیاست که Enable Alternative Ports نام دارد، در مسیر زیر قرار دارد:

Computer Configuration => Policies => Administrative Templates => Network => LanMan Workstation.

این تنظیم باید غیرفعال شود تا از استفاده از پورت‌های جایگزین جلوگیری شود. اگر بدون پیکربندی یا فعال رها شود، این گزینه همچنان در دسترس خواهد بود.

نتیجه‌گیری

مایکروسافت پروتکل SMB را در ویندوز سرور 2025 ارتقا داده است با ویژگی‌هایی مانند امکان پیکربندی پورت ارتباطی جایگزین و حذف وابستگی سختگیرانه به TCP 445، سمت کلاینت اجازه می‌دهد که پورت برای تمام پروتکل‌ها تنظیم شود، در حالی که سرور فقط امکان پیکربندی پورت QUIC را فراهم می‌کند. بنابراین، انعطاف‌پذیری ارتقا یافته در سمت کلاینت زمانی که با محصولات ثالث مانند سرور Samba روبرو هستید، به‌ویژه مفید است.

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.