SMB 資料服務

SMB 協定 (也稱為「通用網際網路檔案系統 (CIFS)」) 主要在 Microsoft Windows 網路上提供檔案的共用存取權。它也提供認證作業。

下列 SMB 選項有一些安全考量：

限制不能以匿名方式存取共用清單 - 此選項會要求用戶端在接收共用清單之前，先使用 SMB 進行認證。如果停用此選項，則匿名用戶端就可以存取共用清單。此選項預設為停用。
啟用 SMB 簽署 - 此選項會啟用與 SMB 用戶端 (使用 SMB 簽署功能) 的互通性。如果啟用此選項，將會驗證已簽署封包的簽章。如果停用此選項，則會在不驗證簽章的情況下接受未簽署的封包。此選項預設為停用。
需要 SMB 簽署 - 需要 SMB 簽署時即可使用此選項。啟用此選項時，所有 SMB 封包都必須經過簽署，否則將被拒絕。不支援 SMB 簽署的用戶端將無法連線伺服器。此選項預設為關閉。
啟用存取權的列舉 - 設定此選項會根據用戶端的證明資料來篩選目錄項目。當用戶端不具備某個檔案或目錄的存取權時，傳回該用戶端的項目清單中將會省略該檔案。此選項預設為停用。

在「網域模式」下，使用者定義於 Microsoft Active Directory (AD) 中。SMB 用戶端可以使用 Kerberos 或 NTLM 認證連線到 Oracle ZFS Storage Appliance。

當使用者透過完整 Oracle ZFS Storage Appliance 主機名稱連線時，相同網域或信任網域中的 Windows 用戶端將會使用 Kerberos 認證，而其他則會使用 NTLM 認證。

SMB 用戶端使用 NTLM 認證連線至設備時，使用者的證明資料會轉送到 AD 網域控制器進行認證。這稱為傳遞式認證。

如果 Windows 安全原則中定義了禁止使用 NTLM 認證，則 Windows 用戶端必須透過完整主機名稱才能連線至設備。如需詳細資訊，請參閱此 Microsoft Developer Network 文章：

認證後，將針對使用者的 SMB 階段作業建立「安全相關資訊環境」。此安全相關資訊環境所代表的使用者會具有唯一「安全描述元 (SID)」。此 SID 代表檔案擁有權，可用來判斷檔案的存取權限。

在「工作群組模式」下，使用者定義於 Oracle ZFS Storage Appliance 的本機中。當 SMB 用戶端以「工作群組模式」連線至設備時，會使用該使用者的使用者名稱和密碼雜湊在本機認證該使用者。

LAN Manager (LM) 相容性層次可指定設備在「工作群組模式」時用於認證的協定。

下列清單顯示每個 LM 相容性層次的 Oracle ZFS Storage Appliance 行為：

「工作群組使用者」成功認證後，就會建立安全相關資訊環境。系統會使用機器 SID 和使用者 UID 的組合，為設備中定義的使用者建立唯一的 SID。所有本機使用者都會定義為 UNIX 使用者。

本機群組是可提供額外權限給使用者的網域使用者群組。「管理員」可以略過檔案權限並變更檔案的擁有權。「備份操作員」可以略過檔案存取控制並備份和回復檔案。

為了確保只有適當的使用者可以存取管理作業，使用者在遠端使用 Microsoft 管理主控台 (MMC) 執行作業時會有存取限制。

下列清單顯示使用者及其允許的作業：

一般使用者 - 列出共用的項目。
Administrator 群組的成員 - 列出開啟的檔案和關閉的檔案、中斷使用者連線、檢視服務和事件日誌。Administrator 群組的成員也可以設定和修改共用層次 ACL。

「病毒掃描」服務會在檔案系統層次掃描病毒。不論透過任何協定存取檔案，「病毒掃描」服務都會先掃描檔案，如果發現病毒，該檔案將被拒絕存取並加以隔離。這個掃描是由 Oracle ZFS Storage Appliance 連線的外部引擎執行。此外部引擎未包括在設備軟體中。

使用最新的病毒定義掃描檔案後，該檔案直到下次修改之後才會被重新掃描。病毒掃描功能的適用對象主要是可能引進病毒的 SMB 用戶端。NFS 用戶端也可以使用病毒掃描，不過，由於 NFS 協定運作的方式，可能無法像 SMB 用戶端一樣快速地偵測出病毒。

SMB 不會實作防止時序攻擊的延遲引擎。它仰賴的是 Oracle Solaris 加密架構。

SMB 服務使用版本 1 的 SMB 協定，而此協定不支援纜線上的資料加密。

略過導覽連結
結束列印檢視
	Oracle^® ZFS Storage Appliance 安全指南 - 發行版本 2013.1.3.0