我有几台旧的西门子 CNC 仅与 Windows SMBv1 网络共享通信以进行网络数据传输。我们的网络共享由 Server 2019 提供,其中 SMBv1 默认为禁用(大概是有充分理由的)。
在服务器上设置 SMBv1 共享的安全方法是什么?如果我启用该功能,是否可以将其限制为仅一个共享或用户或 IP 地址?
答案1
Windows 没有将 SMB 协议版本限制到特定共享的功能。
乍一看,将对 TCP 端口 139 的访问限制为 SMBv1 客户端的 IP 地址似乎很有希望。只有 NBT(TCP 上的 NetBIOS)上的 SMBv1 才能在端口 139 上运行。但这并不可行,因为如果启用了 TCP 端口 445,SMBv1 也会通过该端口暴露,而且可能还有其他客户端不想向其暴露 SMBv1。
我认为您将被迫专用一个操作系统实例(Windows Server 的许可证,或者如果您愿意的话,在免费/开源操作系统上安装 Samba)来向 SMBv1 客户端公开。
使用操作系统防火墙规则(或您喜欢的任何外部数据包过滤器)将此服务器的暴露限制为仅对 SMBv1 客户端开放。编写脚本从此服务器向另一台仅运行 SMBv2+ 的服务器上的文件共享进行拉取或推送。