A hand holding an open file folder with a speech bubble labeled SMB above it, all set against a teal background.

SMB(伺服器訊息區塊)是一種通訊協定,使同一網路上的使用者能夠共用檔案、存取應用程式、資料等資源,並進行通訊。SMB 已廣泛應用於企業和家庭中,能將資源共用簡化並最佳化。 

別被它看似複雜的縮寫嚇到,SMB 其實非常簡單易懂,而且您應該要瞭解這系統,因為其對於網路通訊非常重要。接下來,我們聊聊 SMB 的運作原理、不同的 SMB 版本、常見用途,以及如何安全使用此通訊協定的建議。 

目錄

    什麼是 SMB 通訊協定?

    解釋伺服器訊息區塊的資訊圖表。

    SMB 是一種網路通訊協定,讓使用者能夠與同一網路中的遠端電腦和伺服器進行通訊。SMB 常用於共用檔案、使用列印機和存取其他資源。 

    IBM(國際商業機器公司)在 1980 年代創造了 SMB,後來微軟對其進行了改進,並將 SMB 設為 Windows 的預設檔案共用通訊協定。自那時起,SMB 已有了多個版本,每個都提供不同的功能和改進。 

    該通訊協定最初主要用於與 Windows 電腦連線,如今包括 macOS 和 Linux 在內的許多其他作業系統也支援該通訊協定進行資源共用。使用者可以透過此通訊協定與執行不同作業系統的裝置共用資源。 

    SMB 的運作原理

    SMB 是一種請求/回應通訊協定,用戶端(譬如個人電腦)可以透過其向伺服器傳送 SMB 請求,而伺服器則傳回 SMB 回應。以下是其具體運作方式:

    1. 啟動請求:用戶端向伺服器傳送 SMB 請求以建立連線。
    2. 身分驗證:伺服器收到請求後,要求驗證身分,用戶端提供認證以驗證身分。 
    3. 建立連線:如果認證正確,則建立雙向通訊通道。
    4. 資源請求:用戶端現在可以與伺服器互動,並請求存取共用資源,伺服器則檢查權限並處理請求。
    5. 傳送資料:伺服器檢索請求的資料,並將其傳送給用戶端,後者接收後使用資料。 

    下面來看看 SMB 在現實中如何運作。假設您有一個小型辦公室網路,需要與 Andrew、Julie 和 Taylor 共用檔案。為此,您可以使用 SMB 在電腦上建立一個共用資料夾。 

    透過此設定,三人可以直接從自己的電腦存取該資料夾,如同它位於自己的電腦上一樣。他們可以打開,編輯或儲存共用資料夾中的檔案,使協作更高效。 

    此外,還可以使用 SMB 管理權限。例如,您可以對 Andrew 和 Julie 開放完整權限,允許他們打開、編輯、刪除或新增檔案;同時,您可以限制 Taylor 的權限,讓他僅可檢視該資料夾,而無法進行任何更改。這樣就可以管理各使用者存取資料夾的權限。

    什麼是 SMB 通訊協定方言?

    SMB 方言是該通訊協定多年來推出的不同版本,每個新版本都旨在提升功能、效能和安全性。下面我們來看看各個方言版本。 

    顯示三種不同伺服器訊息區塊方言的資訊圖表。

    SMB 1.0 / CIFS(通用網路檔案系統)

    IBM 於 1980 年代中期推出了 SMB 1.0,這是第一個廣泛採用的 SMB 通訊協定版本,可以在 LAN(區域網路)內進行基本的檔案、印表機和資源共用。然而,該版本缺乏進階安全功能,並因其漏洞而備受批評,其中部分漏洞還被勒索軟體利用。 

    微軟隨後在 Windows 95 中推出了CIFS,這是SMB 1.0的擴充版本。與 SMB 1.0不同,CIFS 的設計支援透過網際網路共用檔案,而不僅僅限於區域網路 (LAN)。該版本進行大量改進,包括支援更大的檔案大小、效能更佳並改進了用戶端與伺服器間的通訊。 

    如今,SMB 1.0 和 CIFS 均已過時。 

    SMB 2.0 與 2.1

    SMB 2.0 隨 Windows Vista 推出,大幅提升了通訊協定的效率和效能。例如,該版本減少了通訊所需的命令和子命令數量,以降低通訊頻率,從而提高速度和擴充性。SMB 2.0 還支援符號連結並提升了可靠性。 

    SMB 2.1 隨 Windows 7 推出,透過支援更大的 MTU(最大傳輸單元)大小,從而進一步加快了通訊協定速度,使用戶端和伺服器之間的資料傳輸更高效。此外,該版本引入了用戶端機會鎖定 (oplocks) 功能,以改進檔案快取並減少伺服器通訊。 

    SMB 3.0、3.02 與 3.1.1

    SMB 3.0 隨 Windows 8 推出,在安全性和效能方面實現了重大升級。這是第一個支援端對端加密的版本,可保護網路傳輸的資料免遭未經授權存取。其他升級包括透明故障轉移 (Transparent Failover),確保共用檔案持續可用。 

    SMB 3.02 隨 Windows 8.1 推出,提升了穩定性、兼容性和效能,而未新增新功能。該版本的關鍵改進是提供更好的工具和管理選項以完全停用 SMB 1.0,從而提升網路安全性。  

    最新的 SMB 3.1.1 隨 Windows 10 推出。此版本透過預驗證完整性功能加強了安全性,以預防中間人 (MitM) 攻擊,還透過支援對 AES-128 GCM 和 AES-128 CCM 來加強加密。除了安全性外,SMB 3.1.1 還包含各種最佳化措施,以實現更高效的資料傳輸並降低延遲。 

    SMB 的常見用途

    由於 SMB 支援多個作業系統,可用於方便處理多種檔案類型和不同的檔案大小,因此它在資源共用方面非常受歡迎。以下是部分常見用途: 

    列出三個伺服器訊息區塊常見用途的資訊圖表。

    檔案共用

    SMB 常用於在同一網路中的使用者和裝置之間共用檔案,讓使用者能夠存取儲存在遠端伺服器上的檔案,就像是在自己的電腦上一樣。無論是進度報告、銷售庫存試算表還是相簿,都可使用 SMB 輕鬆地存取和管理檔案,只需連線同一網路即可。 

    此外,SMB 允許您設定權限,使您能控制哪些使用者能檢視或編輯特定檔案,從而保障資料安全。 

    印表機共用

    SMB 還支援在網路中共用印表機,允許多個裝置和使用者使用同一台印表機。在辦公室中,員工可以透過自己的電腦上將列印任務傳送到共用的中央印表機。 

    此設定減少了裝置花費和維護費用,同時提高了效率。不需要為每位員工購買單獨的印表機,多個使用者可以共用一台印表機。不同部門和樓層的員工也能輕鬆連線共用印表機,而無需本人到場。 

    網路資源存取

    使用者可以透過 SMB 連線並存取網路資源,包括資料儲存、應用程式和服務等。如此,可以將分散在多個使用者的個人裝置上的資料整合到同一個系統中,便於存取和管理。 

    將所有資源集中後,則可以同時將備份、更新和安全措施套用於整個系統。此外,SMB 還可透過為所有相關使用者提供存取權限來促進協作,同時允許您設定權限,確保只有授權的使用者和裝置能存取特定資源。 

    SMB 安全性考量

    SMB 通常是安全的,並廣泛應用於企業和家庭網路環境。然而,與任何安全系統一樣,此系統並非萬無一失,仍有可能會面臨新出現的威脅。過去曾發生過 SMB 的漏洞被發現並被利用的案例,甚至引起了一些著名安全事故。

    值得注意的漏洞

    多年來已有數個 SMB 漏洞被利用:

    • EternalBlue:由美國國家安全局 (NSA) 發現,於 2017 年被駭客組織 Shadow Brokers 洩露。該漏洞存在於 SMBv1 中,允許攻擊者在使用者未察覺的情況下遠端執行惡意程式碼,進而控制受感染的電腦; 
    • EternalRomance:此漏洞同樣由 Shadow Brokers 公開,透過向未安裝修補程式的電腦傳送特殊構造的封包,使攻擊者能夠遠端控制 Windows 系統;
    • SMBGhost 與 SMBleed:影響最新的 SMBv3,這兩個嚴重漏洞可被用於執行遠端程式碼和擷取敏感核心記憶體,結合使用時能讓攻擊者完全控制系統。

    著名案例 

    針對 SMB 漏洞的重大網路攻擊連連不斷。以下是最重大的幾個案例: 

    • WannaCry 勒索軟體 (2017):該攻擊利用 EternalBlue SMBv1 漏洞,加密了使用者的檔案並要求用比特幣支付贖金,影響了 150 個國家約 20 萬台電腦;
    • Petya (2016):最初透過網路釣魚電子郵件傳播,後來的變體利用了 EternalBlue SMB 漏洞來加密檔案以索要贖金,並透過該通訊協定從受感染的電腦橫向傳播到同一網路中的其他電腦;
    • NotPetya (2017):旨在造成最大損害,而非僅僅是勒索金錢。NotPetya 加密並摧毀資料,即使支付了贖金也幾乎無法復原。 

    針對 SMB 的攻擊類型

    除了勒索軟體,網路駭客還可能透過手段攻擊 SMB 通訊協定。以下是最常見的類型。 

    列出四種針對伺服器訊息區塊攻擊類型的資訊圖表。

    蠻力攻擊

    這是指駭客使用自動化工具有計畫地嘗試各種使用者名稱和密碼組合,以嘗試存取共用 SMB 資源。這種蠻力攻擊一旦成功,舊可能會導致資料被盜和遭到未授權的修改。更糟的是,還此攻擊還有橫向移動的風險,可能會危害同一網路中的其他系統。 

    中間人攻擊 (MitM)

    中間人攻擊是指攻擊者在未被察覺的情況下攔截並篡改雙方之間的通訊。運用在 SMB 情景,攻擊者可能會將自己置於 SMB 用戶端和伺服器之間。此攻擊可能導致認證被盜、未授權存取機密檔案、劫持工作階段或篡改資料交換。 

    阻斷服務攻擊 (DDoS)

    DDoS 攻擊會向您的 SMB 服務傳送大量虛假請求,對存取共用檔案和資源造成困難。此類攻擊的目的各不相同,包括引起擾亂運行、導致停機,或用來掩飾其他惡意活動。 

    SMB 與 VPN

    由於 SMB 通訊協定存在大量漏洞,瞭解其弱點並採取措施將減少安全隱患至關重要。其中一種最有效的方法是使用 VPN。像 Surfshark 一樣可靠的 VPN為您的系統提供額外保護。 

    加密資料 

    Surfshark 加密用戶端與伺服器之間的所有資料,包括 SMB 通訊。加密後,任何敏感資訊(譬如登入認證、機密運作檔案和系統備份)在沒有加密金鑰的情況下都將變得無法辨識。即使有人攔截了資料,在沒有加密金鑰的情況下也無法檢視或修改資料。 

    保護遠端存取

    員工遠端存取 SMB 資源時,這些資源會面臨各種風險,包括與使用公共 Wi-Fi 網路相關的危險Surfshark 創造安全通道以解決此問題,將資料與潛在威脅隔離,防止窺探和篡改。 

    防護惡意軟體

    在工作和家中使用 VPN 可減輕針對 SMB 漏洞攻擊的損害,但徹底防止這些攻擊也同樣很重要。Surfshark 的 CleanWeb 功能可攔截廣告和惡意連結,減少接觸受惡意軟體感染的網站的可能性,從而防止像 WannaCry 這樣的攻擊。此外,Surfshark Antivirus 可以掃描並刪除裝置中的惡意軟體,防止它們利用 SMB 漏洞。

    使用 SMB 時保護自己

    無論是共用工作檔案和辦公室印表機還是存取伺服器資料庫,SMB 對於輕鬆高效地共用資源至關重要。然而,該系統的漏洞和著名攻擊事件也令人擔憂。 

    若要充分利用 SMB 的優勢,同時保持安全,請使用 Surfshark 加密所有 SMB 通訊和共用資源。若要進一步保護自己,可升級至包含 Surfshark Antivirus 的 Surfshark One,防範可能會利用 SMB 漏洞的惡意軟體和病毒。 

    無憂無慮享受 SMB 的便利
    使用 VPN 獲得額外保護
    取得 Surfshark One
    Surfshark

    常見問答集

    SMB 的用途是什麼?

    SMB 通訊協定用於在同一網路中的裝置之間共用檔案、印表機及其他資源,譬如儲存的資料和軟體。使用者可以輕鬆存取共用資料,就像在自己的電腦上一樣。 

    SMB 的例子

    可以透過 SMB 通訊協定在公司伺服器上共用資料夾,讓專案成員能夠從自己的裝置存取、編輯和儲存檔案。這可讓每個人都能使用相同的文件和資源,進而簡化協作流程。 

    微軟 SMB 的全稱是什麼?

    微軟 SMB 的全稱是「伺服器訊息區塊」。這種用於共用檔案和資源的網路通訊協定最初由 IBM 開發,現在因其在 Windows 中的廣泛應用而與微軟密切相關。