SMB 프로토콜(CIFS(Common Internet File System)라고도 함)은 주로 Microsoft Windows 네트워크에서 파일에 대한 공유 액세스를 제공합니다. 또한 인증도 제공합니다.
다음 SMB 옵션은 보안에 영향을 미칠 수 있습니다.
Restrict Anonymous Access to share list(익명 액세스를 공유 목록으로 제한) - 이 옵션을 사용하려면 공유 목록을 받기 전에 SMB를 사용하여 클라이언트를 인증해야 합니다. 이 옵션을 사용 안함으로 설정하면 익명 클라이언트에서 공유 목록에 액세스할 수 있습니다. 이 옵션은 기본적으로 사용 안함으로 설정됩니다.
SMB Signing Enabled(SMB 서명 사용) - 이 옵션을 사용하면 SMB 서명 기능을 통해 SMB 클라이언트와의 상호 운용이 가능합니다. 이 옵션이 사용으로 설정된 경우 서명된 패킷에 확인된 서명이 있습니다. 이 옵션이 사용 안함으로 설정된 경우 서명 확인 없이도 서명되지 않은 패킷이 허용됩니다. 이 옵션은 기본적으로 사용 안함으로 설정됩니다.
SMB Signing Required(SMB 서명 필요) - SMB 서명이 필요한 경우 이 옵션을 사용할 수 있습니다. 이 옵션이 사용으로 설정된 경우 모든 SMB 패킷에 서명이 있어야 하며 그렇지 않은 경우 거부됩니다. SMB 서명을 지원하지 않는 클라이언트는 서버에 연결할 수 없습니다. 이 옵션은 기본적으로 해제되어 있습니다.
Enable Access-based Enumeration(액세스 기반 열거 사용) - 이 옵션을 설정하면 클라이언트의 자격 증명을 기반으로 디렉토리 항목이 필터링됩니다. 클라이언트가 파일 또는 디렉토리에 액세스할 수 없는 경우 클라이언트로 반환된 항목 목록에서 해당 파일이 생략됩니다. 이 옵션은 기본적으로 사용 안함으로 설정됩니다.
도메인 모드에서는 사용자가 Microsoft AD(Active Directory)에 정의됩니다. SMB 클라이언트는 Kerberos 또는 NTLM 인증을 사용하여 Oracle ZFS Storage Appliance에 연결할 수 있습니다.
사용자가 정규화된 Oracle ZFS Storage Appliance 호스트 이름을 통해 연결된 경우 동일한 도메인 또는 신뢰할 수 있는 도메인에 있는 Windows 클라이언트는 Kerberos 인증을 사용하고, 그렇지 않은 경우 NTLM 인증을 사용합니다.
SMB 클라이언트가 NTLM 인증을 사용하여 어플라이언스에 연결한 경우 사용자의 자격 증명이 인증을 위해 AD 도메인 컨트롤러로 전달됩니다. 이를 통과 인증이라고 합니다.
NTLM 인증을 제한하는 Windows 보안 정책이 정의된 경우 Windows 클라이언트는 정규화된 호스트 이름을 통해 어플라이언스에 연결해야 합니다. 자세한 내용은 다음 Microsoft Developer Network 문서를 참조하십시오.
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
인증 후 사용자의 SMB 세션에 대해 "보안 컨텍스트"가 설정됩니다. 보안 컨텍스트로 표시되는 사용자에게는 고유한 보안 설명자(SID)가 지정됩니다. SID는 파일 소유권을 나타내며 파일 액세스 권한을 결정하는 데 사용됩니다.
작업 그룹 모드에서는 사용자가 Oracle ZFS Storage Appliance에 로컬로 정의됩니다. SMB 클라이언트가 작업 그룹 모드에서 어플라이언스에 연결된 경우 해당 사용자의 사용자 이름 및 암호 해시를 사용하여 로컬에서 사용자를 인증합니다.
LM(LAN Manager) 호환성 레벨은 어플라이언스가 작업 그룹 모드에 있는 경우 인증에 사용될 프로토콜을 지정하는 데 사용됩니다.
다음 목록은 각 LM 호환성 레벨에 대한 Oracle ZFS Storage Appliance 동작을 보여줍니다.
레벨 2: LM, NTLM 및 NTLMv2 인증을 허용합니다.
레벨 3: LM, NTLM 및 NTLMv2 인증을 허용합니다.
레벨 4: NTLM 및 NTLMv2 인증을 허용합니다.
레벨 5: NTLMv2 인증만 허용합니다.
작업 그룹 사용자가 성공적으로 인증되면 보안 컨텍스트가 설정됩니다. 머신의 SID와 사용자의 UID를 조합하여 어플라이언스에 정의된 사용자에 대해 고유 SID가 만들어집니다. 모든 로컬 사용자는 UNIX 사용자로 정의됩니다.
로컬 그룹은 추가 권한을 해당 사용자에게 제공하는 도메인 사용자 그룹입니다. 관리자는 파일 소유권을 변경하는 파일 권한을 무시할 수 있습니다. 백업 운영자는 파일 백업 및 복원 시 파일 액세스 제어를 무시할 수 있습니다.
적합한 사용자만 관리 작업에 액세스할 수 있도록 하기 위해 MMC(Microsoft Management Console)를 통해 원격으로 수행되는 작업에 대한 액세스 제한 사항이 있습니다.
다음 목록은 사용자 및 허용된 작업을 보여줍니다.
일반 사용자 - 공유 나열
관리자 그룹의 구성원 - 열린 파일 및 닫힌 파일 나열, 사용자 연결 끊기, 서비스 및 이벤트 로그 보기 관리자 그룹의 구성원은 공유 레벨 ACL을 설정하고 수정할 수도 있습니다.
바이러스 검사 서비스는 파일 시스템 레벨에서 바이러스가 있는지 검사합니다. 프로토콜을 통해 파일에 액세스할 경우 바이러스 검사 서비스가 먼저 파일을 검사하고, 바이러스가 발견되면 액세스를 거부하고 파일을 격리합니다. 검사는 Oracle ZFS Storage Appliance가 연결되는 외부 엔진에 의해 수행됩니다. 외부 엔진은 어플라이언스 소프트웨어에 포함되지 않습니다.
최신 바이러스 정의를 사용하여 파일을 검사하고 나면 다음에 수정될 때까지 다시 검사하지 않습니다. 바이러스 검사는 주로 바이러스가 유입될 가능성이 있는 SMB 클라이언트에 제공됩니다. NFS 클라이언트도 바이러스 검사를 사용할 수 있지만, NFS 프로토콜의 작동 방식 때문에 SMB 클라이언트에서 신속하게 바이러스를 찾아내지 못할 수 있습니다.
SMB는 타이밍 공격을 방지하기 위한 지연 엔진을 구현하지 않으며, Oracle Solaris 암호화 프레임워크에 의존합니다.
SMB 서비스는 전송 중 데이터 암호화를 지원하지 않는 SMB 프로토콜의 버전 1을 사용합니다.