SMB 協定 (也稱為「通用網際網路檔案系統 (CIFS)」) 主要在 Microsoft Windows 網路上提供檔案的共用存取權。它也提供認證作業。
下列 SMB 選項有一些安全考量:
限制不能以匿名方式存取共用清單 - 此選項會要求用戶端在接收共用清單之前,先使用 SMB 進行認證。如果停用此選項,則匿名用戶端就可以存取共用清單。此選項預設為停用。
啟用 SMB 簽署 - 此選項會啟用與 SMB 用戶端 (使用 SMB 簽署功能) 的互通性。如果啟用此選項,將會驗證已簽署封包的簽章。如果停用此選項,則會在不驗證簽章的情況下接受未簽署的封包。此選項預設為停用。
需要 SMB 簽署 - 需要 SMB 簽署時即可使用此選項。啟用此選項時,所有 SMB 封包都必須經過簽署,否則將被拒絕。不支援 SMB 簽署的用戶端將無法連線伺服器。此選項預設為關閉。
啟用存取權的列舉 - 設定此選項會根據用戶端的證明資料來篩選目錄項目。當用戶端不具備某個檔案或目錄的存取權時,傳回該用戶端的項目清單中將會省略該檔案。此選項預設為停用。
在「網域模式」下,使用者定義於 Active Directory 中。SMB 用戶端可以使用 Kerberos 或 NTLM 認證連線到 ZFSSA。
當使用者透過完整 ZFSSA 主機名稱連線時,相同網域或信任網域中的 Windows 用戶端將會使用 Kerberos 認證,而其他則會使用 NTLM 認證。
SMB 用戶端使用 NTLM 認證連線 ZFSSA 時,使用者的證明資料會轉送到 AD 網域控制器進行認證。這稱為傳遞式認證。
如果 Windows 安全原則中定義了禁止使用 NTLM 認證,則 Windows 用戶端必須透過完整主機名稱才能連線 ZFSSA。如需詳細資訊,請參閱這份 MSDN 文章:http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx。
認證後,將針對使用者的 SMB 階段作業建立「安全相關資訊環境」。此安全相關資訊環境所代表的使用者會具有唯一「安全描述元 (SID)」。此 SID 代表檔案擁有權,可用來判斷檔案的存取權限。
在「工作群組模式」下,使用者定義於 ZFSSA 的本機中。SMB 用戶端在「工作群組模式」中連線 ZFSSA 時,會利用使用者的使用者名稱和密碼雜湊在本機上認證該使用者。
LAN Manager (LM) 相容性層次可指定 ZFSSA 在工作群組模式時用於認證的協定。
下列清單顯示每個 LM 相容性層次的 ZFSSA 行為:
層次 2:接受 LM、NTLM 以及 NTLMv2 認證
層次 3:接受 LM、NTLM 以及 NTLMv2 認證
層次 4:接受 NTLM 和 NTLMv2 認證
層次 5:只接受 NTLMv2 認證。
「工作群組使用者」成功認證後,就會建立安全相關資訊環境。系統會使用機器 SID 和使用者 UID 的組合,來針對 ZFSSA 中定義的使用者建立唯一的 SID。所有本機使用者都會定義為 UNIX 使用者。
本機群組是可提供額外權限給使用者的網域使用者群組。「管理員」可以略過檔案權限並變更檔案的擁有權。「備份操作員」可以略過檔案存取控制並備份和回復檔案。
為了確保只有適當的使用者可以存取管理作業,使用者在遠端使用 MMC 執行作業時會有一些存取限制。
下列清單顯示使用者及其允許的作業:
一般使用者 - 列出共用
Administrator 群組的成員 - 列出開啟的檔案和關閉的檔案、中斷使用者連線、檢視服務和事件日誌
Administrator 群組的成員也可以設定/修改共用層次 ACL
Administrator 群組的成員 - 列出開啟的檔案和關閉的檔案、中斷使用者連線、檢視服務和事件日誌
「病毒掃描」服務會在檔案系統層次掃描病毒。不論透過任何協定存取檔案,「病毒掃描」服務都會先掃描檔案,如果發現病毒,該檔案將被拒絕存取並加以隔離。這個掃描是由支援 ZFSSA 的外部引擎執行。此外部引擎未包括在 ZFSSA 軟體中。
使用最新的病毒定義掃描檔案後,該檔案直到下次修改之後才會被重新掃描。病毒掃描功能的適用對象主要是可能引進病毒的 SMB 用戶端。NFS 用戶端也可以使用病毒掃描,不過,由於 NFS 協定運作的方式,可能無法像 SMB 用戶端一樣快速地偵測出病毒。
SMB 不會實作任何防止時序攻擊的引擎。它仰賴的是 Solaris 加密架構。
SMB 服務使用版本 1 的 SMB 協定,而此協定不支援纜線上的資料加密。