Das SMB-Protokoll (auch als CIFS (Common Internet File System) bezeichnet) bietet hauptsächlich gemeinsamen Zugriff auf Dateien in einem Microsoft Windows-Netzwerk. Außerdem führt es eine Authentifizierung durch.
Folgende SMB-Optionen haben Auswirkungen auf die Sicherheit:
Restrict Anonymous Access to Share List (Anonymen Zugriff auf Share-Liste einschränken) - Bei Auswahl dieser Option müssen sich Clients über SMB authentifizieren, um eine Share-Liste abrufen zu können. Ist diese Option deaktiviert, können anonyme Clients auf die Share-Liste zugreifen. Diese Option ist standardmäßig deaktiviert.
SMB Signing Enabled (SMB-Signaturfunktion aktiviert) - Mit dieser Option wird Interoperabilität mit SMB-Clients aktiviert, die die SMB-Signaturfunktion verwenden. Wenn die Option aktiviert ist, werden Signaturen von unterzeichneten Paketen überprüft. Ist die Option deaktiviert, werden nicht unterzeichnete Pakete ohne Signaturüberprüfung akzeptiert. Diese Option ist standardmäßig deaktiviert.
SMB Signing Required (SMB-Signatur erforderlich) - Diese Option kann verwendet werden, wenn eine SMB-Signatur erforderlich ist. Ist die Option deaktiviert, müssen alle SMB-Pakete unterzeichnet sein, da sie ansonsten abgelehnt werden. Clients, die die SMB-Signaturfunktion nicht unterstützen, können sich nicht am Server anmelden. Diese Option ist standardmäßig deaktiviert.
Enable Access-based Enumeration (Zugriffsbasierte Enumeration aktivieren) - Wenn Sie diese Option aktivieren, werden Verzeichniseinträge basierend auf den Zugangsdaten des Clients gefiltert. Hat der Client keinen Zugriff auf eine Datei oder ein Verzeichnis, wird diese Datei aus der Liste der an den Client zurückgegebenen Einträge ausgelassen. Diese Option ist standardmäßig deaktiviert.
Im Domainmodus werden Benutzer in Microsoft Active Directory (AD) definiert. SMB-Clients können mit der Kerberos- oder NTLM-Authentifizierung Verbindung zu Oracle ZFS Storage Appliance herstellen.
Wenn sich ein Benutzer über einen vollqualifizierten Oracle ZFS Storage Appliance-Hostnamen anmeldet, verwenden Windows-Clients in derselben oder einer vertrauenswürdigen Domain die Kerberos-Authentifizierung. Ansonsten verwenden sie die NTLM-Authentifizierung.
Verwendet ein SMB-Client die NTLM-Authentifizierung zur Anmeldung bei der Appliance, werden die Zugangsdaten des Benutzers zur Authentifizierung an den AD-Domaincontroller weitergeleitet. Dies wird als Passthrough-Authentifizierung bezeichnet.
Sind Windows-Sicherheitsrichtlinien definiert, die die NTLM-Authentifizierung einschränken, müssen sich Windows-Clients über einen vollqualifizierten Hostnamen bei der Appliance anmelden. Weitere Informationen finden Sie in folgendem Microsoft Developer Network-Artikel:
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
Nach der Authentifizierung wird für die SMB-Session des Benutzers ein so genannter "Sicherheitskontext" eingerichtet. Der durch den Sicherheitskontext repräsentierte Benutzer besitzt eine eindeutige SID (Sicherheitsdeskriptor). Die SID gibt den Dateieigentümer an und wird zur Bestimmung von Dateizugriffsrechten verwendet.
Im Arbeitsgruppenmodus werden Benutzer lokal in Oracle ZFS Storage Appliance definiert. Wenn ein SMB-Client Verbindung zu einer Appliance im Arbeitsgruppenmodus herstellt, werden Benutzername- und Passwort-Hashes zur lokalen Authentifizierung des Benutzers verwendet.
Über die LAN Manager-(LM-)Kompatibilitätsebene wird das Protokoll angegeben, das verwendet werden soll, wenn sich die Appliance im Arbeitsgruppenmodus befindet.
In der folgenden Liste wird das Verhalten von Oracle ZFS Storage Appliance für jede LM-Kompatibilitätsebene aufgeführt:
Ebene 2: Akzeptiert LM-, NTLM- und NTLMv2-Authentifizierung
Ebene 3: Akzeptiert LM-, NTLM- und NTLMv2-Authentifizierung
Ebene 4: Akzeptiert NTLM- und NTLMv2-Authentifizierung
Ebene 5: Akzeptiert nur NTLMv2-Authentifizierung
Sobald der Arbeitsgruppenbenutzer erfolgreich authentifiziert wurde, wird ein Sicherheitskontext eingerichtet. Für die in der Appliance definierten Benutzer wird eine eindeutige SID aus einer Kombination der Rechner-SID und der Benutzer-UID erstellt. Alle lokalen Benutzer werden als UNIX-Benutzer definiert.
Lokale Gruppen sind Domainbenutzergruppen, die den darin enthaltenen Benutzern zusätzliche Rechte einräumen. Administratoren können Dateiberechtigungen umgehen, um das Eigentümerrecht von Dateien zu ändern. Backupoperatoren können Dateizugriffskontrollen umgehen, um für Dateien Backups zu erstellen und Dateien wiederherzustellen.
Um sicherzustellen, dass administrative Vorgänge nur von Benutzern mit den entsprechenden Berechtigungen vorgenommen werden können, gibt es einige Zugriffsbeschränkungen für Vorgänge, die remote über die Microsoft Management Console (MMC) vorgenommen werden.
In der folgenden Liste sind die Benutzer und die für sie zulässigen Vorgänge aufgeführt:
Normale Benutzer - Shares auflisten
Mitglieder der Administratorengruppe - Dateiöffnungen und -schließungen auflisten, Benutzerverbindungen trennen, Services und Ereignisprotokoll anzeigen Mitglieder der Administratorengruppen können außerdem die Share-Ebenen-ACLs festlegen und ändern.
Mit dem Virenscanservice können Sie auf Dateisystemebene nach Viren suchen. Bei einem Zugriff auf eine Datei über ein beliebiges Protokoll scannt der Virenscanservice zunächst die Datei. Wird ein Virus erkannt, verweigert der Service den Zugriff auf die Datei und stellt sie unter Quarantäne. Der Scan wird von einer externen Engine ausgeführt, mit der Oracle ZFS Storage Appliance Verbindung aufnimmt. Die externe Engine ist nicht im Lieferumfang der Appliance-Software enthalten.
Sobald eine Datei mit der neuesten Virusdefinition gescannt wurde, wird sie erst nach der nächsten Änderung erneut gescannt. Virenscans werden hauptsächlich für SMB-Clients angeboten, die einem hohen Virenrisiko ausgesetzt sind. NFS-Clients können ebenfalls Virenscans durchführen. Aufgrund der Funktionsweise des NFS-Protokolls werden Viren jedoch möglicherweise nicht so schnell wie beim SMB-Client erkannt.
In SMB ist keine Verzögerungs-Engine zur Abwehr von Timing-Angriffen implementiert. SMB basiert auf dem kryptografischen Oracle Solaris-Framework.
Der SMB-Service verwendet Version 1 des SMB-Protokolls, das keine Datenverschlüsselung bei Kabelverbindungen unterstützt.