
ویندوز 11 و ویندوز سرور 2025 پروتکل SMB را با تمرکز ویژه بر امنیت بهبود میدهند. یکی از ویژگیهای کلیدی، امکان تغییر پورتها به TCP 445 است که امنیت و انعطافپذیری بیشتری را ارائه میدهد. با این حال، این قابلیت محدود به پروتکل QUIC در سمت سرور است. برای دههها، SMB ویندوز محدود به پورت TCP 445 بوده است که استفاده از پورتهای دیگر را محدود میکرد. با این حال، این موضوع در نسخههای اخیر سیستمعاملها تغییر کرده است. استفاده از یک پورت جایگزین باعث افزایش حفاظت در برابر اسکنهای فرصتطلبانه و تقویت امنیت به همراه اقداماتی همچون امضای ترافیک SMB و رمزنگاری آن میشود. این تغییر همچنین به مدیران شبکه انعطافپذیری بیشتری میدهد، به ویژه زمانی که ترافیک SMB از یک فایروال یا بالانسر بار عبور میکند.
پیکربندی پورتهای جایگزین برای کلاینت SMB
در سمت کلاینت، شما میتوانید برای هر مکانیزم انتقال (TCP، RDMA و QUIC) یک پورت جایگزین تعریف کنید. پورتهای پیشفرض برای TCP و RDMA پورت 445 TCP است (اگرچه RDMA برای انتقال داده واقعی به آن نیازی ندارد)، در حالی که SMB بر روی QUIC از پورت UDP 443 استفاده میکند. شما میتوانید پورت پیشفرض را با استفاده از PowerShell، net.exe یا Group Policy تغییر دهید.
PowerShell
مایکروسافت فرمان New-SmbMapping را در PowerShell ارتقا داده و پارامترهای TcpPort، RdmaPort و QuicPort را به آن اضافه کرده است. شما میتوانید شماره پورت را بین 0 و 65536 مشخص کنید. یک دستور نمونه برای نگاشت درایو شبکه به شکل زیر خواهد بود:
New-SmbMapping -LocalPath J -RemotePath \\filer.contoso.com\ppt -TcpPort 487
در این مثال، اشتراک شبکه ppt در filer.contoso.com به درایو محلی J نگاشته میشود و اتصال SMB از پورت TCP 487 استفاده خواهد کرد.
استفاده از net.exe
دستور معادل با استفاده از net.exe به شکل زیر است:
NET USE J: \\filer.contoso.com\ppt /TCPPORT:487
در هر دو حالت، شما میتوانید TcpPort را با RdmaPort یا QuicPort جایگزین کنید تا SMB را از طریق این پروتکلها با پورت جایگزین پیکربندی کنید.
پیکربندی از طریق GPO
یک تنظیم جدید Group Policy معرفی شده است تا مدیریت پورت SMB را متمرکز کند. این تنظیم در مسیر زیر قرار دارد و با عنوان Alternative Port Mappings شناخته میشود.
Computer Configuration => Policies => Administrative Templates => Network => LanMan Workstation
فعال کردن این سیاست به شما این امکان را میدهد که نگاشتها، از جمله پورت جدید، را در Alternative Port Registry Mappings وارد کنید. برای مثال ارائه شده، شما باید وارد کنید:
filer.contoso.com:tcp:487
هر ورودی شامل نام سرور، نوع انتقال و شماره پورت است که با دو نقطه از هم جدا شدهاند. برخلاف دستورات New-SmbMapping و net.exe، در اینجا نیازی به مشخص کردن نام اشتراک نیست.
مهم است که بررسی کنید سرور SMB به طور فعال در پورت انتخابی شما در حال گوش دادن است، بدون توجه به اینکه کدام پورت را انتخاب کردهاید.
پورت جایگزین در سرور
در این زمینه، «سرور» به هر ماشین ویندوزی که به عنوان سرور SMB عمل میکند اشاره دارد، نه فقط ویندوز سرور، بلکه ویندوز 11 نیز. مایکروسافت PowerShell را به عنوان تنها گزینه برای پیکربندی یک پورت غیر استاندارد ارائه میدهد. دستورهای مرتبط عبارتند از:
- Get-SmbServerAlternativePort
- New-SmbServerAlternativePort
- Remove-SmbServerAlternativePort
- Set-SmbServerAlternativePort
اولین دستور پیکربندی پورت فعال فعلی را نمایش میدهد، در حالی که دستور دوم پورت جایگزینی به SMB اختصاص میدهد.
New-SmbServerAlternativePort -TransportType QUIC -Port 1111
در حال حاضر، پارامتر TransportType تنها از QUIC پشتیبانی میکند، به این معنی که TCP و RDMA نمیتوانند پورتهای مختلفی در سمت سرور داشته باشند. مایکروسافت احتمالاً SMB بر روی QUIC را اولویت داده است زیرا این پروتکل اجازه استفاده مستقیم از طریق اینترنت را میدهد، که اغلب نیازمند باز کردن پورتهای مختلف فایروال است. از طرف دیگر، SMB بر روی TCP معمولاً از طریق یک VPN برای دلایل امنیتی دسترسی پیدا میکند. اگرچه تغییر پورت برای هر سه پروتکل در سمت کلاینت ممکن است، سرور تنها گزینه تنظیم پورت QUIC را ارائه میدهد. این ترکیب ممکن است از نظر عملی مفید نباشد، اما مزایایی فراتر از محیطهای ویندوزی دارد.
برای مثال، Samba امکان تنظیم پورت جایگزین را با افزودن یک ورودی در فایل smb.conf فراهم میکند، همانطور که در زیر نشان داده شده است:
[global]
smb ports = 1445
انتخاب یک پورت TCP متفاوت در کلاینت میتواند مفید باشد اگر سرور SMB پشت یک بالانسر بار قرار داشته باشد که ممکن است ترافیک SMB را روی پورت 445 مدیریت نکند.
جلوگیری از تغییرات پورت
مدیران میتوانند از Group Policy برای محدود کردن کاربران در تغییر پورت هنگام نگاشت درایو شبکه استفاده کنند، زیرا این کار میتواند اتصال را مختل کند. این سیاست که Enable Alternative Ports نام دارد، در مسیر زیر قرار دارد:
Computer Configuration => Policies => Administrative Templates => Network => LanMan Workstation.
این تنظیم باید غیرفعال شود تا از استفاده از پورتهای جایگزین جلوگیری شود. اگر بدون پیکربندی یا فعال رها شود، این گزینه همچنان در دسترس خواهد بود.
نتیجهگیری
مایکروسافت پروتکل SMB را در ویندوز سرور 2025 ارتقا داده است با ویژگیهایی مانند امکان پیکربندی پورت ارتباطی جایگزین و حذف وابستگی سختگیرانه به TCP 445، سمت کلاینت اجازه میدهد که پورت برای تمام پروتکلها تنظیم شود، در حالی که سرور فقط امکان پیکربندی پورت QUIC را فراهم میکند. بنابراین، انعطافپذیری ارتقا یافته در سمت کلاینت زمانی که با محصولات ثالث مانند سرور Samba روبرو هستید، بهویژه مفید است.