SMB 数据服务

SMB 协议（也称为通用 Internet 文件系统 (Common Internet File System, CIFS)）主要提供对 Microsoft Windows 网络上文件的共享访问。另外，它还提供验证。

以下 SMB 选项具有安全隐患：

Restrict Anonymous Access to Share List（限制匿名访问共享资源列表）－此选项要求客户机在接收共享资源列表之前使用 SMB 进行验证。如果禁用此选项，则匿名客户机可以访问共享资源列表。默认情况下禁用此选项。
SMB Signing Enabled（启用 SMB 签名）－此选项可使用 SMB 签名功能启用与 SMB 客户机的互操作性。如果启用了此选项，则已签名的包将对签名进行验证。如果禁用了此选项，则不验证签名就接受未签名的包。默认情况下禁用此选项。
SMB Signing Required（需要 SMB 签名）－需要 SMB 签名时可使用此选项。启用此选项时，必须对所有 SMB 包进行签名，否则会将其拒绝。不支持 SMB 签名的客户机将无法连接到服务器。默认情况下，此选项处于关闭状态。
Enable Access-based Enumeration（启用基于访问的枚举）－设置此选项可根据客户机的凭证过滤目录条目。如果客户机无权访问某个文件或目录，则返回到客户机的条目列表中将忽略该文件或目录。默认情况下禁用此选项。

在域模式下，用户在 Microsoft Active Directory (AD) 中进行定义。SMB 客户机可以使用 Kerberos 或 NTLM 验证连接到 Oracle ZFS Storage Appliance。

用户通过全限定的 Oracle ZFS Storage Appliance 主机名进行连接时，同一域或可信域中的 Windows 客户机将使用 Kerberos 验证；否则，它们将使用 NTLM 验证。

当 SMB 客户机使用 NTLM 验证连接到设备时，用户的凭证将转发到 AD 域控制器以进行验证。这称为传递验证。

如果定义了限制 NTLM 验证的 Windows 安全策略，则 Windows 客户机必须通过全限定主机名连接到设备。有关更多信息，请参见以下 Microsoft 开发者网络文章：

验证后，即为用户的 SMB 会话建立“安全上下文”。由安全上下文表示的用户具有唯一的安全描述符 (Security Descriptor, SID)。SID 表示文件所有权，用于确定文件访问权限。

在工作组模式下，用户在 Oracle ZFS Storage Appliance 本地进行定义。当某个 SMB 客户机连接到处于工作组模式的设备时，会在本地使用该用户的用户名和密码散列来验证用户。

LAN Manager (LM) 兼容性级别用于指定当设备处于工作组模式时所用的验证协议。

以下列表显示了每个 LM 兼容性级别的 Oracle ZFS Storage Appliance 行为：

成功验证了工作组用户之后，就会建立安全语境。使用计算机的 SID 与用户的 UID 的组合为在设备上定义的用户创建一个唯一的 SID。所有本地用户都定义为 UNIX 用户。

本地组是域用户组，可为这些用户提供附加特权。管理员可以绕过文件权限来更改文件的所有权。备份操作员可以绕过文件访问控制来备份和恢复文件。

为确保只有适当的用户有权执行管理操作，对于使用 Microsoft 管理管制台 (Microsoft Management Console, MMC) 远程执行的操作施加了一些访问限制。

以下列表显示了用户及其允许的操作：

一般用户－列出共享资源。
Administrators 组成员－列出打开的和关闭的文件，断开用户连接，以及查看服务和事件日志。Administrators 组成员还可以设置和修改共享资源级 ACL。

病毒扫描服务在文件系统级别扫描病毒。通过任何协议访问文件时，病毒扫描服务都会先扫描文件，如果发现病毒，就会拒绝访问并隔离文件。扫描由 Oracle ZFS Storage Appliance 联系的外部引擎执行。外部引擎未包括在设备软件中。

使用最新的病毒定义扫描了文件之后，在下次修改之前不会再扫描该文件。主要为可能感染病毒的 SMB 客户机提供病毒扫描。NFS 客户机也可以使用病毒扫描，但由于 NFS 协议的工作方式的原因，病毒检测的速度可能不如 SMB 客户机快。

SMB 不实施延时引擎来防止计时攻击。它依赖于 Oracle Solaris 加密框架。

SMB 服务使用 SMB 协议的第 1 版；该版本不支持线上数据加密。

跳过导航链接
退出打印视图
	Oracle^® ZFS Storage Appliance 安全指南，发行版 2013.1.3.0