日本語
評価する
日本語

SMB代替ポート対応:セキュリティと柔軟性の強化

SMBにおける代替ポート対応は、マイクロソフトの「セキュア・フューチャー・イニシアティブ(SFI)」における重要な取り組みのひとつです。 これによりIT管理者は、ネットワークセキュリティとアクセス管理において、より高いコントロール性を手に入れることができます。

はじめに

Microsoftは、セキュア・フューチャー・イニシアティブ(SFI)の一環として、SMBプロトコルのセキュリティと柔軟性をさらに強化し続けています。最新の改善点のひとつが、SMB通信における代替ポートの導入です。
これによりIT管理者は、従来の標準ポート以外を使用してSMBトラフィックを設定できるようになりました。

この機能により、外部からのSMB接続に対するコントロール性が向上し、攻撃者に狙われやすい既知のポートへの依存を減らすことで、セキュリティの強化が実現します。

SMB代替ポートの詳細については、以下のチュートリアル動画もご覧ください。

代替ポートとは?

サービス名やポート番号は、同じトランスポートプロトコル上で動作するさまざまなサービスを区別するために使われています。
SMBは通常、以下のIANA/IETFによって割り当てられた標準ポートを使用します:

  • TCP: 445
  • QUIC: 443
  • RDMA: 5445

     

今回導入された代替ポート機能により、IT管理者は0~65536の範囲内で任意のポート番号を指定できるようになりました。
これにより、ネットワーク設定の柔軟性が大幅に向上します。

SMB代替ポート:導入前

これまで、SMBクライアントがサーバーへ接続する際は、それぞれのトランスポートタイプに割り当てられた標準ポートを使用するしかありませんでした。
そのため、これらのポートにアクセスでき、かつサーバーの証明書を信頼しているクライアントであれば、誰でも接続を試みることが可能な状態でした。

SMB代替ポート:導入後

現在では、管理者はSMBの受信接続に対して任意のポートを指定して構成できるようになり、接続方法や接続先に対するコントロール性が大幅に向上しました。
さらに、クライアント側でも代替ポートをブロックしたり、特定の承認済みサーバーへの接続のみに制限したりすることが可能になっています。

PowerShellでSMB代替ポートを設定する

Windows Serverでは、SMBの代替ポートを定義・管理するためのPowerShellコマンドが用意されています。
ここでは、代替ポートの設定に必要な主なコマンドをご紹介します。

 

代替ポートの一覧表示

現在SMBサーバーに設定されている代替ポートを確認するには、次のコマンドを実行します:

\> Get-SmbServerAlternativePort

出力例:

Port    TransportType    EnableInstances

—-      ————-      —————

443     Quic                  Default

445     Tcp                    Enabled

 

SMBクライアント接続時に代替ポートを指定する

代替ポートを使用してSMB共有に接続するには、次のコマンドを使用します:

\> New-SmbMapping -LocalPath <drive letter>: -RemotePath \\server\share -TcpPort <port number>

これにより、標準ポート以外を使ったSMB接続が可能になります。

 

代替ポートの追加・削除・更新

QUIC用に新たなSMB代替ポートを設定するには、次のコマンドを使用します:

\> New-SmbServerAlternativePort -TransportType Quic -Port <NewPortNumber> -EnableInstances Default

既存の代替ポートを削除する場合:

\> Remove-SmbServerAlternativePort -TransportType Quic -Port <OldPortNumber>

既存のポート割り当てを変更する場合:

\> Set-SmbServerAlternativePort -TransportType Quic -OldPort <OldPortNumber> -NewPort <NewPortNumber>

 

ベストプラクティスとよくある落とし穴

SMBの代替ポートを設定する際は、以下のベストプラクティスに従うことで、セキュリティと機能性を確保しましょう。

✅ ベストプラクティス

  • 複数のトランスポートタイプを使用する場合は、それぞれに一意のポート番号を割り当て、競合を防ぐこと
  • ポート設定を変更した後は、必ず接続テストを行い、正常に機能していることを確認すること

 

❌ 注意すべき落とし穴

  • デフォルト設定に頼りすぎることで、セキュリティリスクを見落とす可能性があること
  • テストを行わずに新しい設定を運用し、互換性問題や接続障害を引き起こすリスクを軽視してしまうこと

     

まとめ

SMBにおける代替ポートの導入は、Microsoftのセキュア・フューチャー・イニシアティブ(SFI)における重要な取り組みのひとつであり、IT管理者に対してネットワークセキュリティとアクセス管理に関するより高いコントロール性を提供します。
Visuality Systemsは、SMBプロトコルのエキスパートとして、SMB署名SMB over QUICNTLMブロックを含むMicrosoftの最新のSMBセキュリティ強化施策に対応したソリューションを提供しています。
さらに詳しい情報やご相談、ソリューションのトライアルをご希望の方は、ぜひお気軽にお問い合わせください。

Raphael Barki, Head of Marketing, Visuality Systems

Raphael Barki, Head of Marketing, Visuality Systems

YNQ™︎をもっと知る
YNQ™︎ホワイトペーパー
Share Via
関連記事
Share Via
アクセシビリティへの配慮について
© 2024 Visuality Systems Ltd. All Rights Reserved
利用規約及びプライバシー

Visuality systems uses technical, analytical, marketing, and other cookies. These files are necessary to ensure smooth operation of Voltabelting.com site and services and help us remember you and your settings. For details, please read our Privacy policy

Accept
Skip to content