قم بتهيئة بروتوكول SMB عبر بروتوكول QUIC للوصول الآمن إلى الملفات عن بُعد

  • يقوم بروتوكول SMB عبر QUIC بتشفير جميع حركة مرور SMB باستخدام TLS 1.3 عبر UDP 443 ويتجنب كشف منفذ TCP 445 للإنترنت.
  • يتطلب ذلك شهادات خادم مناسبة، وتكوينًا على أجهزة Windows Server وWindows 11، ويمكن دمجه مع Kerberos عبر KDC Proxy.
  • تتيح خاصية التحكم في وصول العملاء باستخدام الشهادات إنشاء قوائم مسموح بها وقوائم محظورة، مما يعزز الأمان دون تغيير تجربة المستخدم.
  • إن التحسينات في SMBv3 و Windows Server 2025 (التوقيع الإلزامي، ومحدد المصادقة، وحظر NTLM) تقلل بشكل كبير من مخاطر استخدام SMB عن بعد.
Daniel Terrasa

15 دقيقة

تكوين SMB عبر QUIC للوصول الآمن عن بُعد

إذا كنت تعمل عن بعد أو تدير خوادم الملفات، فمن المحتمل أنك واجهت هذه المشكلة أكثر من مرة. شبكات VPN بطيئةالمنافذ المحظورة والبروتوكولات القديمة التي لا ترقى إلى المستوى المطلوب. يأتي بروتوكول SMB عبر QUIC تحديدًا لحل هذه المشكلة، مما يسمح بالوصول الآمن عن بعد إلى الملفات عبر الإنترنت دون الحاجة إلى أنفاق VPN التقليدية.والاعتماد على التقنيات الحديثة مثل TLS 1.3 وبروتوكول QUIC التابع لـ IETF.

على الرغم من أن الأمر قد يبدو "متخصصاً" للغاية، إلا أن الحقيقة هي أن من المتوقع أن يصبح بروتوكول SMB عبر QUIC الطريقة القياسية لنشر موارد Windows المشتركة بشكل آمن وفعال إلى العالم الخارجي.في هذه المقالة، ستتعرف بالتفصيل على ماهية SMB، ولماذا هو أكثر أمانًا بكثير من كشف SMB التقليدي، وما تحتاجه لتشغيله، وكيفية تكوينه خطوة بخطوة (بما في ذلك الشهادات، وKDC Proxy، والتحكم في وصول العميل)، وما هي التحسينات الأمنية التي يقدمها Windows 11 24H2 وWindows Server 2025 لـ SMB.

ما هو بروتوكول SMB عبر QUIC ولماذا هو أكثر أمانًا من بروتوكول SMB التقليدي؟

SMB over QUIC هو نوع من أنواع النقل لبروتوكول SMB الذي يستبدل TCP بـ QUIC كقناة أساسية.بدلاً من استخدام منفذ TCP القديم 445، فإنه يغلف جميع حركة مرور SMB داخل نفق QUIC مشفر ينتقل عبر UDP 443، وهو نفس المنفذ المستخدم لـ HTTPS الحديث القائم على HTTP/3.

يوفر بروتوكول QUIC، الذي تم توحيده من قبل IETF، العديد من الميزات. المزايا الرئيسية مقارنة ببروتوكول TCP الكلاسيكي:

  • يتم تشفير جميع البيانات وتوثيقها دائمًا باستخدام بروتوكول TLS 1.3.
  • يسمح بتدفقات متوازية متعددة (موثوقة وغير موثوقة).
  • تقليل زمن الاستجابة باستخدام تقنية 0-RTT.
  • تحسين التحكم في الازدحام المروري.
  • البقاء على قيد الحياة بعد تغييرات IP مثل تلك التي تُعد نموذجية لشبكات الهاتف المحمول أو التبديل من شبكة الواي فاي إلى بيانات الهاتف المحمول.

من خلال دمج بروتوكول QUIC مع بروتوكول SMB، تُحقق مايكروسوفت نوعاً من "شبكة VPN للشركات الصغيرة والمتوسطة" المتكاملة.يقوم العميل بإنشاء نفق TLS 1.3 مع خادم الملفات، عبر منفذ UDP 443، وينتقل بروتوكول SMB القياسي داخل هذا النفق. وهذا يعني أن لا يتم أبدًا عرض بيانات المصادقة والتفويض وSMB كنص عادي للشبكة الأساسية..

وبالإضافة إلى ذلك، تجربة المستخدم مطابقة تقريبًا لاستخدام مشاركة الشبكة الداخليةتستمر ميزات مثل القنوات المتعددة، وتوقيع SMB، والضغط، والتوافر العالي، وتأجير الدليل، وغيرها في العمل كالمعتاد، ولكن داخل نفق QUIC فقط. يرى المستخدم النهائي ببساطة محرك أقراص مُعيّنًا أو مسار UNC متاحًا، دون الحاجة إلى القلق بشأن النقل.

من المهم أن نلفت الانتباه يُعدّ استخدام بروتوكول SMB عبر QUIC اختياريًا، ويجب على المسؤول تفعيله بشكل واعٍ..

تكوين SMB

المتطلبات الأساسية لنشر بروتوكول SMB على QUIC

قبل أن تفكر في عرض الموارد المشتركة عبر QUIC، عليك تلبية عدد من المتطلبات على كل من الخادم والعميل.وكذلك على مستوى الشهادة والشبكة.

  • من جانب الخادم: يجب أن يكون لديك خادم SMB يعمل بنظام تشغيل متوافق، مثل Windows Server 2022 Datacenter: Azure Edition (مع ميزات SMB على QUIC) أو Windows Server 2025، حيث تتوفر هذه الوظيفة بالفعل في جميع الإصدارات.
  • من وجهة نظر العميل: أنت بحاجة إلى نظام التشغيل Windows 11 (إصدارات المؤسسات أو الإصدارات الاحترافية التي تدعم بروتوكول QUIC) أو إصدارات مكافئة قادرة على الاتصال عبر بروتوكول SMB باستخدام بروتوكول QUIC.

فيما يتعلق بالهوية، من الأفضل أن يكون كل من الخادم والعميل منضمين إلى مجال Active Directory.بحيث يمكن إجراء المصادقة عبر كيربيروس. ومع ذلك، من الممكن أيضًا استخدام بروتوكول SMB عبر بروتوكول QUIC مع فرق العمل الجماعية باستخدام حسابات محلية وحسابات NTLM، أو مع خوادم منضمة إلى Microsoft. أدخل البيانات عند استخدام بيانات اعتماد المجال أو البيانات المحلية للوصول إلى المورد المشترك.

على مستوى الشبكة، يجب أن يكون الخادم قابلاً للوصول إليه من الإنترنت عبر واجهته العامة وأن يكون منفذ UDP الوارد 443 مفتوحًا.التوصية واضحة: لا تعرض منفذ TCP رقم 445 للعالم الخارجي..

وأخيرا، أنت بحاجة إلى بنية تحتية للمفاتيح العامة (PKI) قادرة على إصدار شهادات خادم TLS صالحةيمكن أن تكون هذه جهة إصدار شهادات تابعة لشركة ما، تعتمد على خدمات شهادات Active Directory، أو جهة إصدار عامة موثوقة مثل DigiCert أو GlobalSign أو ما شابه. وما يلي ضروري أيضًا: الصلاحيات الإدارية على خادم SMB ليكون قادراً على تثبيت الميزات، وتكوين الشهادات، وتعديل قواعد جدار الحماية.

تثبيت شهادة الخادم ومتطلبات QUIC

جوهر بروتوكول SMB عبر QUIC هو شهادة الخادم المستخدمة لإنشاء نفق TLS 1.3بدون شهادة بالخصائص المناسبة، لن يعمل الاتصال ببساطة.

تلك الشهادة يجب أن يستوفي عدة شروط فنية.:

  • استخدم المفتاح للتوقيع الرقمي.
  • لتحقيق غرض مصادقة الخادم (EKU 1.3.6.1.5.5.7.3.1).
  • استخدم خوارزميات حديثة مثل SHA256RSA أو أعلى ومفتاح عام يعتمد على ECDSA P-256 أو بديلًا لذلك، RSA لا يقل عن 2048 بت.

لا تقل أهمية عن ذلك هوية الخادم. في حقل اسم الموضوع البديل (SAN)، يجب عليك تضمين جميع إدخالات DNS المؤهلة بالكامل (FQDN) التي سيستخدمها العملاء للوصول إلى الخادم.على سبيل المثال fsedge1.contoso.com أو أسماء مشابهة. يمكن أن يكون مُصدر الشهادة (CN) أي شخص طالما أنه ينتمي إلى جهة إصدار شهادات موثوقة، وبالطبع، يجب أن تتضمن الشهادة المفتاح الخاص. حتى يتمكن الخادم من إكمال عملية المصافحة TLS.

إذا كانت مؤسستك تستخدم شهادة مرجع مصدق (CA) خاصة بشركة مايكروسوفت، أسهل طريقة هي إنشاء قالب شهادة SMB محدد على QUIC ويتيح هذا القالب لمسؤول الخادم إمكانية ملء أسماء نطاقات DNS عند الطلب. كما يمكنه فرض استخدام موسع لمصادقة الخادم، والخوارزميات المسموح بها، ومعايير الأمان الأخرى.

تتضمن العملية النموذجية مع هيئة إصدار الشهادات المؤسسية فتح افتح MMC.exe على خادم الملفات، وأضف وحدة إدارة الشهادات لحساب الكمبيوتر، وانتقل إلى مخزن الشهادات الشخصية، وانقر بزر الماوس الأيمن وحدد "طلب شهادة جديدة".من هناك، يمكنك اختيار سياسة تسجيل Active Directory، وتحديد القالب المُعدّ لبروتوكول QUIC، وملء حقلي الموضوع وSAN بأسماء DNS التي سيستخدمها المستخدمون. بعد التسجيل، ستظهر الشهادة في المخزن ويمكن ربطها بخدمة SMB عبر بروتوكول QUIC.

SMB عبر QUIC

قم بتكوين بروتوكول SMB عبر QUIC على الخادم

بمجرد أن تصبح الشهادة جاهزة، حان الوقت لتفعيل وتكوين بروتوكول SMB عبر QUIC على الخادميمكنك القيام بذلك باستخدام مركز إدارة ويندوز أو باستخدام باور شيل. الأمر كله يعتمد على تفضيلاتك ونوع بيئة التشغيل.

باستخدام مركز إدارة ويندوز (WAC)، دليل إعداد SMB على QUIC خطوة بخطوةاختيار الشهادة، وتكوين منفذ UDP، وتفعيل الخدمة، والتحقق الأساسي من الاتصال. ومع ذلك، ينطبق هذا فقط على الخوادم غير المنضمة إلى نطاق (مجموعة عمل). لا يسمح نظام WAC بتكوين هذه الميزة.وفي هذه الحالة، سيتعين عليك اللجوء إلى PowerShell وأوامر cmdlets مثل New-SmbServerCertificateMapping لربط الشهادة بالخدمة.

في بيئات مُدارة أكثر آلية، يوفر PowerShell تحكمًا دقيقًايمكنك، على سبيل المثال، عرض قائمة بالشهادات المتاحة، وإنشاء ربط بين الشهادة وخادم SMB، وتغيير منافذ QUIC البديلة، أو فرض متطلبات مصادقة إضافية. أوامر مثل Set-SmbServerCertificateMapping تتيح لك هذه الميزة تحديث البصمة الرقمية المرتبطة بها بسهولة عند تجديد الشهادة.

علاوة على ذلك، إذا كنت ترغب في المضي قدمًا خطوة أخرى، يمكنك دمج بروتوكول SMB عبر QUIC مع ميزات الأمان الجديدة في نظام التشغيل Windows Server 2025 مثل حظر NTLM، أو التشفير الإلزامي لـ SMB على العميل، أو تقييد لهجات SMB إلى 3.1.1 لمنع الاتصالات من الأجهزة القديمة الأقل أمانًا.

وعلى أية حال، لا تنسَ مراجعة قواعد جدار الحماية بعد تفعيل بروتوكول QUICيجب السماح بحركة مرور UDP الواردة على المنفذ الذي قمت بتحديده (الافتراضي 443)، وإذا قمت بتكوين ميزات إضافية مثل وكيل KDC، فستحتاج أيضًا إلى فتح TCP 443 لتلك الخدمة المحددة.

ربط العملاء بموارد الشركات الصغيرة والمتوسطة المشتركة عبر بروتوكول QUIC

مع جاهزية الخادم، حان الوقت لاختبار الوصول من عميل يعمل بنظام التشغيل Windows 11تتمثل الخطوة الأولى في التأكد من أن الكمبيوتر متصل بالمجال المناسب، أو في حالة عدم وجود اتصال، أن لديه بيانات اعتماد صالحة على خادم الملفات (حساب محلي أو حساب مجال حسب السيناريو).

من الضروري أن يجب أن تتطابق أسماء نظام أسماء النطاقات (DNS) التي ستستخدمها للاتصال تمامًا مع أسماء النطاقات البديلة (SANs) الموجودة في شهادة الخادم.يجب نشر هذه الأسماء على خادم DNS عام، أو إذا تعذر ذلك، يمكنك إضافتها يدويًا إلى ملف HOSTS الخاص بالعميل. يُنصح بهذا الخيار الأخير فقط في بيئات الاختبار أو البيئات الخاضعة لرقابة مشددة.

لمحاكاة سيناريو العمل عن بعد في الحياة الواقعية، قم بتوصيل جهاز العميل بشبكة خارجية حيث لا يكون لديه وصول مباشر إلى عناوين IP الداخلية للخادم أو وحدات التحكم في المجال.سيؤدي هذا إلى التحقق من أن جميع الاتصالات تمر بالفعل عبر بروتوكول QUIC وليس عبر مسارات الشبكة المحلية الداخلية.

يمكن إنشاء الاتصال بعدة طرق. في مستكشف الملفات، ببساطة اكتب مسار UNC للمورد المشترك، على سبيل المثال \\fsedge1.contoso.com\ventasسيحاول نظام ويندوز أولاً استخدام بروتوكول TCP، وإذا فشل ذلك، فسيتحول تلقائيًا إلى بروتوكول QUIC. إذا كنت ترغب في فرض استخدام QUIC منذ البداية، يمكنك استخدام الأوامر التالية:

NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC

أو

New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC

تُخبر هذه الأوامر العميل بأن يجب عليك استخدام QUIC فقط كوسيلة نقل.إذا لم يتم إنشاء الاتصال، فسيكون لديك أدلة واضحة للتحقق من الشهادات والمنافذ ونظام أسماء النطاقات (DNS) أو متطلبات الوصول الإضافية مثل التحكم في وصول العميل.

KDC Proxy

كيفية تحسين المصادقة: استخدام اختياري لخادم وكيل KDC

في سيناريو نموذجي للشركات الصغيرة والمتوسطة على بروتوكول QUIC، لا يمتلك العميل البعيد اتصالاً مباشراً بوحدات تحكم مجال Active Directoryفي هذه الحالة، يعتمد التحقق عادةً على NTLMv2، حيث يعمل خادم الملفات نيابة عن العميل للتحقق من صحة بيانات الاعتماد داخل النفق المشفر.

على الرغم من أن بروتوكول NTLMv2 ينتقل محميًا بواسطة TLS 1.3 داخل بروتوكول QUIC، التوصية الأمنية الحالية هي الاعتماد على بروتوكول NTLM بأقل قدر ممكن وتفضيل بروتوكول Kerberos.لتحقيق ذلك في البيئات البعيدة، يمكنك نشر خدمة وكيل KDC (وكيل KDC). يسمح هذا بإعادة توجيه طلبات تذاكر Kerberos إلى وحدات التحكم في المجال الداخلية باستخدام قناة HTTPS مشفرة.

يتضمن التكوين على خادم الملفات عدة أمور خطوات باستخدام PowerShell و netsh:

  1. احجز عنوان URL لوكيل KDC على HTTPS 443.
  2. قم بتعديل مفاتيح تسجيل خدمة KPSSVC للسماح بالمصادقة الصحيحة.
  3. قم بربط شهادة TLS الصحيحة بالعنوان والمنفذ باستخدام Add-NetIPHttpsCertBindingللقيام بذلك، ستحتاج إلى البصمة الرقمية للشهادة التي تستخدمها بالفعل لبروتوكول SMB عبر QUIC.

من جانب العميل، فإن أنقى طريقة لتحديد النطاقات التي يجب أن تستخدم KDC Proxy هي من خلال توجيه المجموعةتوجد سياسة محددة في "تكوين الكمبيوتر\قوالب الإدارة\النظام\Kerberos\تحديد خوادم وكيل KDC لعملاء Kerberos"، حيث يتم تعريف زوج اسم/قيمة: الاسم هو اسم المجال المؤهل بالكامل (FQDN) لمجال Active Directory، والقيمة هي عنوان URL لبروتوكول HTTPS الخاص بالوكيل (على سبيل المثال، https fsedge1.contoso.com:443:kdcproxy /).

مع هذا، عندما يحاول مستخدم المجال الوصول إلى خادم SMB الذي تم نشره بواسطة QUIC، يعرف العميل أنه يجب عليه طلب تذاكر Kerberos من خلال الوكيل بدلاً من محاولة الوصول إلى وحدة تحكم المجال مباشرة.يتم تشفير كل هذه الاتصالات باستخدام HTTPS 443، دون الكشف عن بيانات الاعتماد على الشبكة الوسيطة والحفاظ على مزايا Kerberos كطريقة المصادقة الأساسية.

التدقيق والإشراف على الشركات الصغيرة والمتوسطة في إطار برنامج QUIC

للحفاظ على البيئة تحت السيطرة، من الضروري القدرة على تدقيق العملاء الذين يتصلون عبر بروتوكول SMB عبر QUIC وما يحدث أثناء تلك الاتصالاتيقدم نظام التشغيل ويندوز أحداثًا محددة لهذا النوع من حركة البيانات، سواء على جهاز العميل أو الخادم.

  • على جانب العميل SMB (من Windows 11 24H2)، يمكنك التحقق من عارض الأحداث في "سجلات التطبيقات والخدمات\Microsoft\Windows\SMBClient\Connectivity"يسجل هذا السجل أحداثًا مثل المعرّف 30832 المتعلقة باتصالات QUIC. ويساعدك على التحقق مما إذا كان الاتصال يتم بالفعل عبر QUIC، أو ما إذا كانت هناك مشكلات في الشهادة، أو ما إذا كان الخادم يرفض الوصول.
  • على الخادم، لديك خيار تمكين تدقيق شهادات عملاء محددة باستخدام الأمر Set-SmbServerConfiguration -AuditClientCertificateAccess $trueومن هناك، تقوم أحداث مثل 3007 و3008 و3009 في "Microsoft\Windows\SMBServer\Audit"، و30831 في سجل اتصال العميل، بجمع البيانات حول الشهادات التي تحاول الاتصال: الموضوع، والجهة المصدرة، والرقم التسلسلي، وتجزئات SHA1 وSHA256، وقواعد التحكم في الوصول التي تم تطبيقها.

تتضمن هذه الأحداث مُعرّف اتصال وهذا يسهل ربط ما يراه العميل بما يسجله الخادم.يُعدّ هذا الأمر مفيدًا بشكل خاص في البيئات الكبيرة أو عند التحقيق في حوادث رفض الوصول. علاوة على ذلك، تُشكّل هذه البيانات أساسًا لعمليات التدقيق الأمني ​​أو للكشف عن السلوكيات الشاذة.

التحكم في وصول عملاء الشركات الصغيرة والمتوسطة عبر بروتوكول QUIC

بالإضافة إلى التشفير والمصادقة، يتضمن نظام التشغيل Windows Server 2025 مستوى إضافيًا من التحكم: التحكم في وصول عميل SMB عبر بروتوكول QUICتتيح لك هذه الوظيفة تحديد الأجهزة التي يمكنها أو لا يمكنها إنشاء نفق QUIC مع الخادم بشكل صريح، بغض النظر عما إذا كانت تثق في جهة إصدار الشهادات التي أصدرت شهادة الخادم.

تعتمد الآلية على شهادات العميل. جيحصل كل جهاز على شهادة مخصصة لمصادقة العميل (EKU 1.3.6.1.5.5.7.3.2)، صادرة عن جهة مصدقة موثوقة من قبل الخادمأما الخادم، من جانبه، فيحتفظ بقائمة تحكم في الوصول تستند إلى تجزئات الشهادات أو معرفات الجهات المصدرة التي تحدد العملاء المسموح لهم أو المحظورين.

أما بالنسبة لجانب الخادم، فأنت بحاجة إلى نظام التشغيل Windows Server 2022 Datacenter: إصدار Azure مع التحديث المناسب أو نظام التشغيل Windows Server 2025تم إعداد بروتوكول SMB عبر QUIC مسبقًا، ولديك ضمان بأنك تثق في جهة إصدار شهادات العميل. أما من جانب العميل، فأنت بحاجة إلى نظام متوافق مع بروتوكول SMB عبر QUIC، وشهادة العميل مثبتة في المخزن المحلي، وصلاحيات لإنشاء ربط SMB بتلك الشهادة.

الخطوة الأولى على الخادم هي إجبار العملاء على تقديم شهادة صالحة عن طريق التكوين Set-SmbServerCertificateMapping -RequireClientAuthentication $trueمنذ تلك اللحظة فصاعدًا، لا يقوم الخادم بالتحقق من صحة سلسلة شهادات العميل فحسب، بل يستخدمها أيضًا لتحديد ما إذا كان سيمنح الاتصال أم لا بناءً على القوائم المسموح بها والمحظورة.

على جهاز العميل، يمكنك الحصول على تجزئة الشهادة ذات الصلة باستخدام PowerShell. ثم تقوم بإنشاء الربط. بعد ذلك، عندما يحاول العميل الاتصال باسم المجال المؤهل بالكامل (FQDN) عبر بروتوكول QUIC، سيستخدم تلك الشهادة للمصادقة.

قوائم السماح والحظر: أوامر التحكم في الوصول

بمجرد أن يبدأ كل من العميل والخادم باستخدام الشهادات، يمكنك وضع سياسات دقيقة للغاية بشأن ما هو مسموح به وما هو محظوريقدم نظام التشغيل ويندوز العديد من أوامر cmdlets لإدارة هذه القوائم.

للسماح لعميل معين، الولايات المتحدة Grant-SmbClientAccessToServer -Name <servidor> -IdentifierType SHA256 -Identifier <hash>حيث يكون المعرّف هو تجزئة SHA256 لشهادة العميل. إذا أردتَ في أي وقت إلغاء هذا الإذن، فما عليك سوى تشغيل الأمر التالي: Revoke-SmbClientAccessToServer باستخدام نفس البيانات.

إذا كنت بحاجة إلى إنشاء قائمة حظر صريحة، يمكنك أن تفعل ذلك مع Block-SmbClientAccessToServer واعكس ذلك باستخدام Unblock-SmbClientAccessToServerتُعطى الأولوية لقائمة الرفض هذه على قائمة السماح. لذا، إذا تطابقت أي شهادة في سلسلة العميل مع أحد بنود الحظر، فسيتم رفض الاتصال.

بالإضافة إلى العمل مع أوراق الشهادات (أجهزة محددة)، يمكنك إدارة مجموعات شهادات المُصدر عن طريق إضافة إدخالات من نوع المُصدرعلى سبيل المثال، السماح بجميع عمليات الإرسال من جهة إصدار شهادات وسيطة محددة أو حظر جهة إصدار شهادات مخترقة بالكامل. هذا يقلل بشكل كبير من عدد الإدخالات التي يجب الاحتفاظ بها عند العمل مع مئات أو آلاف الأجهزة.

منطق التقييم واضح: إذا لم يتم حظر أي من الشهادات في السلسلة وتم السماح بواحدة على الأقل، فسيتم منح الوصول.إذا تم حظر أي عنصر في سلسلة الشهادات بشكل صريح، فسيتم رفض الاتصال، حتى لو كان هناك إذن بالسماح لشهادة فرعية محددة. وهذا يسمح بسيناريوهات مثل الوثوق بسلطة إصدار الشهادات الجذرية بالكامل مع رفض شهادة أو أكثر بشكل دقيق.

للتحقق من حالة القوائم، يمكنك استخدامه Get-SmbClientAccessToServerيُظهر هذا الأمر المعرفات المسموح بها أو المحظورة، بالإضافة إلى النوع (SHA256، ISSUER، إلخ) واسم الخادم الذي تنطبق عليه.

أمان SMB التقليدي: لماذا لا يُعدّ كشف SMB/CIFS على الإنترنت فكرة جيدة

قبل SMB على QUIC، كانت الطريقة المعتادة لمشاركة الملفات بين أجهزة الكمبيوتر هي SMB/CIFS (على نظام التشغيل Windows) أو SAMBA (على نظامي التشغيل Linux/Unix) عبر الشبكة المحليةللاتصال من الخارج، كان يتم عادةً فتح المنفذ 445 (وأحيانًا 139). وبدلاً من ذلك، يمكن إعداد شبكة افتراضية خاصة (VPN) عامة للوصول إلى الشبكة المحلية (LAN).

المشكلة هي ذلك بروتوكول SMB/CIFS التقليدي بسيط للغاية، ولكنه خطير أيضًا عند كشفه خارج الشبكة الداخلية الخاضعة للتحكم.في العديد من التطبيقات القديمة، لا يتم تشفير البيانات المنقولة. وهذا يعني أن أي مهاجم يستطيع التمركز بين العميل والخادم (هجمات الوسيط) يمكنه اعتراض الملفات المرسلة وقراءتها.

وإذا سمح الخادم، بالإضافة إلى ذلك، بمشاركة الموارد بدون كلمة مرور أو باستخدام بيانات اعتماد ضعيفة، ترتفع المخاطر بشكل كبيرحتى مع وجود كلمة مرور، إذا لم يقم البروتوكول بتشفير عملية المصادقة بشكل صحيح، يمكن أن تنتقل بيانات الاعتماد كنص عادي أو تكون عرضة لهجمات إعادة الإرسال أو هجمات الترحيللا تزال العديد من الشبكات المنزلية والشركات الصغيرة تستخدم إصدارات غير مشفرة من بروتوكول SMB 2.0. هذه الممارسة لا تخلو من المخاطر.

لهذا تضاف ال ثغرات أمنية تاريخية في الشركات الصغيرة والمتوسطة. على سبيل المثال، برنامج الفدية سيئ السمعة EternalBlue، الذي استغلته برامج الفدية WannaCryانتشر هذا الهجوم عبر بروتوكول SMB فقط على الشبكات المحلية، ولكنه يُعد مثالاً لما قد يحدث إذا تم فتح بروتوكول SMB مباشرةً على الإنترنت دون حماية إضافية. وتعاني بروتوكولات أخرى تقليدية مثل FTP وTelnet من مشاكل مشابهة للغاية.

يوفر بروتوكول SMB عبر QUIC وميزات أمان SMB الجديدة في نظامي التشغيل Windows 11 وWindows Server 2025 طريقة أكثر منطقية وقوة لعرض الموارد المشتركة للمستخدمين عن بعد: يتم نقل كل شيء مشفرًا بواسطة بروتوكول TLS 1.3 عبر بروتوكول QUICيمكنك الاعتماد على Kerberos حتى بدون الوصول المباشر إلى مركز البيانات من خلال وكيل KDC. تحكم بدقة في العملاء الذين يمكنهم الاتصال باستخدام الشهادات وقوائم السماح/الحظر وتخلي عن عادة فتح المنفذ 445 للإنترنت أو الاعتماد على الشبكات الافتراضية الخاصة العامة لأمر أساسي مثل الوصول إلى الملفات.

ما هي شبكة VPN اللامركزية وكيفية استخدامها على نظام ويندوز لتحسين خصوصيتك
المادة ذات الصلة:
ما هي شبكة VPN اللامركزية وكيفية استخدامها على نظام ويندوز لتعزيز الخصوصية