A hand holding an open file folder with a speech bubble labeled SMB above it, all set against a teal background.

SMB(伺服器訊息區塊)是一種協定,允許同一網絡上的用戶共享檔案,存取儲存空間和應用程式等資源和通訊。它被企業和家居廣泛使用來簡化資源共享。 

別被這個花俏的簡稱嚇倒了,SMB 其實非常簡單直接,且值得花時間了解,因為它在網絡通訊上的角色至關重要。本文將會向您介紹它的運作方式,不同的 SMB 版本、常見用途,以及在使用此協定時維持安全的貼士。 

目錄

    什麼是 SMB 協定?

    解釋伺服器訊息區塊的資訊圖表。

    SMB 是一種網絡協定,讓您與同一網絡上的遙距電腦和伺服器通訊。通常用於分享檔案、使用打印機和存取其他資源。 

    SMB 最初由 IBM(國際商業機器公司)於 1980 年代創建,後來經 Microsoft 修改和改良,並將其設定為 Windows 的預設檔案分享協定。自此,SMB 推出了多個版本,每個版本都提供了不同功能和改進。 

    起初,此協定主要用於連接 Windows 電腦。但現在有許多其他作業系統(包括 MacOS 和 Linus)也支援它,用作分享資源。這意味著您可以使用此協定在不同作業系統的裝置間分享資源。 

    SMB 如何運作

    SMB 是一種請求-回應協定。在這種架構中,客戶端(例如您的電腦)會向伺服器傳送 SMB 請求,然後以 SMB 作回應。以下是更詳細的運作方式:

    1. 初始化請求:客戶端向伺服器傳送一個 SMB 請求以建立連線。
    2. 驗證:伺服器接收請求並要求進行驗證,客戶端透過提供憑證來完成這一步。 
    3. 建立連線:如果憑證正確,雙方將會建立一個雙向的通訊通道。
    4. 資源請求:客戶端現在可以與伺服器互動,並請求存取共享資源。伺服器會檢查權限並處理請求。
    5. 資料傳送:伺服器取得所需資料並傳送給客戶端,客戶端隨後接收並使用這些資料。 

    讓我們來看看 SMB 在實際情況的運作方式吧。假設您有一個小型的辦公室網絡,並需要與 Andrew、Julie 和 Taylor 分享檔案。為此,您使用 SMB 在您的電腦上建立了一個共享資料夾。 

    有了這個設定,三人可以直接從自己的電腦存取該資料夾,就像在自己的裝置上一樣。他們可以在共享資料夾裡開啟、編輯或儲存檔案,使合作變得更高效。 

    此外,SMB 也允許您管理授權。例如,您可以給予 Andrew 和 Julie 完整的權限,讓他們開啟、編輯、刪除或新增檔案。與此同時,您也可以限制 Taylor 只能瀏覽資料夾,而不能作出任何更改。 因此,您可以完全控制每個人能對資料夾進行哪些操作。

    什麼是 SMB 協定方言?

    SMB 方言是多年間發佈的協定變體,新版本的推出旨在改善功能、性能和安全性。來看看這些方言吧。 

    顯示三種不同伺服器訊息區塊方言的資訊圖表。

    SMB 1.0 / CIFS(網路檔案分享系統)

    IBM 在 80 年代中期推出了 SMB 1.0,這是首個廣泛使用的 SMB 協定版本。它允許在 LAN(區域網絡)內分享基本檔案、打印機和資源。然而,它缺乏進階的安全功能,並因其漏洞而受到批評,更有人利用某些漏洞進行勒索病毒攻擊。 

    Microsoft 其後伴隨 Windows 95 推出了 CIFS,是 SMB 1.0 的擴展版本。不像 SMB 1.0,CIFS 旨在在網絡上分享檔案,而非僅僅在 LAN 內。它也作出了改良,例如支援更大的檔案、性能更佳,並有更強大的客戶端-伺服器通訊。 

    今日,SMB 1.0 和 CIFS 都已經過時了。 

    SMB 2.0 和 2.1

    SMB 2.0 隨 Windows Vista 推出,大幅提高了協定的效率和性能。例如,它減少了通訊所需的命令和子命令數量,從而減少了冗長的交流,使其更加快速且具有可擴展性。SMB 2.0 還新增了對符號連結的支持,使其更加可靠。 

    SMB 2.1 隨 Windows 7 一起發佈,透過支援更大的 MTU(傳輸單元最大值)進一步加快了協定速度,使客戶端和伺服器之間的資料傳輸更加高效。此外,它也推出了客戶端 Oplocks(機會鎖定)功能,以改善檔案快取並減少伺服器通訊。 

    SMB 3.0、3.02 和 3.1.1

    SMB 3.0 與 Windows 8 一同推出,大幅升級了安全和性能。值得一提的是,這是首個支援端對端加密的版本,保護透過網絡傳送的資料免受未經授權的存取。其他升級包括透明故障轉移,確保檔案分享的持續性。 

    與此同時,SMB 3.02 隨 Windows 8.1 推出,比起加入新功能,它加強了穩定性、兼容性和性能。其中一項重要改良是提供了更好的工具和管理選項,以完全停用 SMB 1.0,從而提高網絡安全性。  

    最新的 SMB 3.1.1 隨 Windows 10 推出。此版本加強了安全性,透過預身份驗證完整性來防範中間人攻擊(MitM)。它還透過新增對 AES-128 GCM 和 AES-128 CCM 的支援來強化加密。除安全性外,SMB 3.1.1 還包含了多個最佳化項目,使資料傳輸更高效,延遲更低。 

    SMB 的常見用途

    由於 SMB 可以兼容多個操作系統,處理多種檔案類型和大小,且易於使用,它是分享資源的熱門方式。以下是一些常見用途: 

    列出三個伺服器訊息區塊常見用途的資訊圖表。

    檔案分享

    SMB 通常用於在同一網絡上的用戶和裝置間分享檔案,讓您可以像存取本機系統的檔案一樣,存取儲存在遙距伺服器上的檔案。無論是狀態報告、銷售庫存表格,還是相簿,只要處於同一網絡上,SMB 都能謁您輕鬆存取和管理檔案。 

    此外,SMB 允許您設定授權,讓您全權控制誰可以瀏覽或編輯特定的檔案,助您保護資料安全。 

    打印機共享

    SMB 還支援在網絡上共享打印機,讓多台裝置和用戶使用同一打印機。在辦公室中,員工可以將打印工作從自己的電腦傳送至共享空間的中央打印機。 

    這種設定能減少設備和維護費用,同時提高效率。這樣可以多人共享同一台打印機,而無需為每位員工購買單獨的打印機。不同部門和樓層的員工無需親身到訪,也能輕鬆連接至共享打印機。 

    網絡資源存取

    透過 SMB,用戶可以像直接連線一樣,存取共享儲存空間、應用程式或服務等網絡資源。這樣,分散在多台裝置和用戶中的資料可以集中到一個系統中,更便於存取和管理。 

    集中所有內容後,可以在整個系統中一致地備份、更新和應用安全措施。此外,它還促進了協作,透過提供對所有相關用戶的存取權限,同時允許設定權限,確保只有經授權的用戶和裝置才能存取特定資源。 

    SMB 安全考量

    SMB 通常被認為是安全的,且廣泛應用於企業和家庭網絡設定。然而,像任何安全系統一樣,它並非十全十美,隨著新威脅出現仍然可能會出現漏洞。過往曾出現過 SMB 漏洞被發現且遭到利用的情況,引發了一些備受矚目的事件。

    著名漏洞

    多年來,有數個 SMB 漏洞曾被利用:

    • EternalBlue:於 2017 年被美國國家安全局(NSA)發現並被黑客團體 Shadow Brokers 洩露,這個 SMBv1 的漏洞讓攻擊者可以遙距執行惡意程式碼,而不被用戶發現,讓他們可以控制受感染的電腦; 
    • EternalRomance:同樣由 Shadow Brokers 公開,攻擊者可利用此漏洞,透過向未修補的電腦傳送特製資料包,遙距控制 Windows 系統。
    • SMBGhost 及 SMBleed: 這兩個嚴重的漏洞影響了最新的 SMBv3,黑客可以利用它們來執行遙距程式碼並提取敏感的內核記憶體。結合使用時,攻擊者可能會獲得完整的系統控制權。

    備受關注的事件 

    曾經發生過一連串針對 SMB 漏洞的重大網絡攻擊。以下是一些最備受關注的事件: 

    • WannaCry 勒索病毒(2017)::利用 EternalBlue SMBv1 漏洞,這次攻擊加密了用戶的檔案,並要求支付比特幣贖金,最終影響了全球 150 個國家的約 20 萬台電腦;
    • Petya(2016):最初透過網絡釣魚郵件散播,後來的變種病毒利用了 EternalBlue SMB 漏洞加密檔案,向用戶勒索贖金,並利用該協定從受感染裝置,橫向擴散至同一網絡中的其他裝置;
    • NotPetya(2017):這次攻擊的目的是造成最大程度的破壞,而不僅僅是勒索贖金。NotPetya 加密並摧毀了資料,即使支付了贖金也幾乎無法還原檔案。 

    針對 SMB 的攻擊類型

    除了勒索軟件,網絡罪犯也可能針對 SMB 協定發起其他類型的攻擊。來看看一些最常見的攻擊吧。 

    列出四種針對伺服器訊息區塊攻擊類型的資訊圖表。

    密碼暴力攻擊

    這是黑客透過自動化工具,嘗試各種用戶名稱和密碼組合,以獲取對共享 SMB 資源的存取權。如果成功,這些密碼暴力攻擊可能會導致資料盜竊和未經授權的修改。更糟的情況下,還可能有橫向移動的風險,並危及同一網絡中的其他系統。 

    MitM 攻擊

    MitM 攻擊是指攻擊者在當事人未察覺的情況下,攔截並篡改兩方之間的通訊。在 SMB 的情況下,攻擊者可能會攔截在 SMB 客戶端和伺服器中間。這可能會導致憑證被盜、未經授權存取專有文件、會話劫持或資料交換被篡改。 

    DDoS 攻擊

    DDoS(分散式拒絕服務)攻擊會向您的 SMB 服務傳送大量虛假請求,使其難以存取共享檔案和資源。此類攻擊的目標可能各異,包括中斷運作、引發停機,或掩護其他惡意活動。 

    SMB 和 VPN

    由於 SMB 經常出現漏洞,了解其弱點並採取防範措施以減低風險非常重要。其中一個最有效的方式是使用 VPN。諸如 Surfshark 等可靠的 VPN 可以增加一層必須的額外保護。 

    加密數據 

    Surfshark 會加密所有數據,包括客戶端和伺服器之間的 SMB 通訊。加密後,任何敏感資訊(例如登入憑證、機密工作檔案或系統備份),在沒有加密密鑰的情況下都會變成完全無意義的亂碼。就算有人攔截了資料,沒有密鑰也無法閱讀或篡改它。 

    保護遙距存取

    員工遙距存取 SMB 資源時,可能會將這些資源曝露至各種風險,包括使用公共 Wi-Fi 網絡所帶來的危險Surfshark 透過建立一個安全隧道,將資料與潛在威脅分隔開,防止它被窺探或篡改。 

    提供惡意軟件保護

    在工作和家中使用 VPN 有助於減少針對 SMB 漏洞的攻擊帶來的損害,但徹底防護這些攻擊也同樣重要。Surfshark 的 CleanWeb 可以攔截廣告和惡意連結,最大限度地減少您曝露於可能導致 WannaCry 等攻擊的惡意網站的風險。此外,Surfshark Antivirus 會掃描並移除裝置上的惡意軟件,防止它們利用 SMB 漏洞。

    在使用SMB時保護自己

    從共享工作檔案和使用辦公室打印機,到存取伺服器儲存的資料庫,SMB 對於資源共享的便利和效率至關重要。然而,它的漏洞和以往的重大攻擊記錄可能讓人擔憂。 

    為了充分利用 SMB 的優勢,同時保持安全,您可使用 Surfshark 來加密所有 SMB 通訊和共享資源。要獲取更多保護,您可升級至 Surfshark One,當中包括 Surfshark Antivirus,可以防範可能利用 SMB 漏洞的惡意軟件和病毒。 

    安享 SMB 的便利性
    使用 VPN 額外保護安全
    獲取 Surfshark One
    Surfshark

    常見問題

    SMB 有何用途?

    SMB 協定可供同一網絡中的裝置共享檔案、打印機和其他資源,例如儲存空間和軟件。它允許您無縫存取這些共享資源,就像它們是本機資源一樣。 

    舉例來說什麼是 SMB?

    SMB 協定的例子之一,是在公司伺服器上共享一個資料夾,讓項目團隊成員能夠從他們的裝置存取、編輯和儲存檔案。透過允許所有人使用相同的文件和資源來工作,簡化了合作流程。 

    Microsoft SMB 代表什麼?

    Microsoft SMB 代表伺服器訊息區塊。最初由 IBM 開發,由於在被廣泛使用在 Windows 系統,這種檔案和資源共享網絡協定現在與 Microsoft 密切相關。