Le protocole SMB (aussi appelé CIFS (Common Internet File System)) fournit principalement un accès partagé aux fichiers sur un réseau Microsoft Windows. Il fournit aussi une authentification.
Les options SMB suivantes ont des implications de sécurité :
Restreindre l'accès anonyme à la liste de partages - Cette option nécessite que les clients s'authentifient à l'aide de SMB avant de recevoir une liste de partages. Si cette option est désactivée, les clients anonymes peuvent accéder à la liste de partages. Cette option est désactivée par défaut.
Signature SMB activée - Cette option active l'interopérabilité avec les clients SMB à l'aide de la fonction de signature SMB. Si cette option est activée, un paquet signé aura la signature vérifiée. Si l'option est désactivée, un paquet non signé sera accepté sans vérification de signature. Cette option est désactivée par défaut.
Signature SMB Requise - Cette option peut être utilisée lorsque la signature SMB est requise. Lorsque l'option est activée, tous les paquets SMB doivent être signés ou ils seront rejetés. Les clients ne prenant pas en charge la signature SMB ne peuvent pas se connecter au serveur. Cette option est désactivée par défaut.
Activer l'énumération basée sur les accès - Définir cette option filtre les entrées de répertoire en fonction des informations d'identification du client. Lorsqu'un client n'a pas accès à un fichier ou à un répertoire, ce fichier ne figure pas dans la liste d'entrées envoyée au client. Cette option est désactivée par défaut.
En mode domaine, les utilisateurs sont définis dans Microsoft Active Directory (AD). Les clients SMB peuvent se connecter à Oracle ZFS Storage Appliance à l'aide de l'authentification Kerberos ou NTLM.
Lorsqu'un utilisateur se connecte par le biais d'un nom d'hôte Oracle ZFS Storage Appliance complet, les clients Windows dans le même domaine ou dans un domaine autorisé utilisent l'authentification Kerberos ou l'authentification NTLM.
Lorsqu'un client SMB utilise une authentification NTLM pour se connecter à l'appareil, les informations d'identification de l'utilisateur sont transmises au contrôleur de domaine AD pour authentification. Ce processus s'appelle l'authentification d'intercommunication.
Si les stratégies de sécurité Windows qui restreignent l'authentification NTLM sont définies, les clients Windows doivent se connecter à l'appareil par le biais d'un nom d'hôte complet. Pour plus d'informations, reportez-vous à l'article du réseau des développeurs Microsoft :
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
Après l'authentification, un "contexte de sécurité" est établi pour la session SMB de l'utilisateur. L'utilisateur représenté par le contexte de sécurité a un SID (Security Descriptor) unique. Le SID remplace l'appartenance des fichiers et est utilisé pour déterminer les privilèges d'accès aux fichiers.
En mode groupe de travail, les utilisateurs sont définis localement sur Oracle ZFS Storage Appliance. Lorsqu'un client SMB se connecte à un appareil dans le mode groupe de travail, le mot de passe de cet utilisateur et les hachages de mot de passe sont utilisés pour authentifier l'utilisateur localement.
Le niveau de compatibilité LAN Manager (LM) est utilisé pour spécifier le protocole utilisé pour l'authentification lorsque l'appareil est en mode groupe de travail.
La liste suivante montre le comportement d'Oracle ZFS Storage Appliance pour chaque niveau de compatibilité LM :
Niveau 2 : Accepte l'authentification LM, NTLM et NTLMv2
Niveau 3 : Accepte l'authentification LM, NTLM et NTLMv2
Niveau 4 : Accepte l'authentification NTLM et NTLMv2
Niveau 5 : Accepte uniquement l'authentification NTLMv2.
Une fois que l'utilisateur du groupe de travail est authentifié avec succès, un contexte de sécurité est établi. Un SID unique est créé pour les utilisateurs définis sur l'appareil à l'aide d'une combinaison du SID de la machine et de l'UID de l'utilisateur. Tous les utilisateurs locaux sont définis comme utilisateurs UNIX.
Les groupes locaux désignent des groupes d'utilisateurs de domaine qui confèrent des privilèges supplémentaires à ces utilisateurs. Les administrateurs peuvent contourner les autorisations d'accès aux fichiers pour modifier la propriété des fichiers. Les opérateurs de sauvegarde peuvent contourner les contrôles d'accès aux fichiers pour sauvegarder et restaurer des fichiers.
Pour garantir que seuls les utilisateurs appropriés ont accès aux opérations d'administration, les opérations exécutées à distance via la console MMC (Microsoft Management Console) sont sujettes à un certain nombre de restrictions d'accès.
La liste suivante montre les utilisateurs et leurs opérations autorisées :
Utilisateurs standard - Etablissement de listes de partages
Membres du groupe Administrators - Etablissement de la liste des fichiers ouverts et des fichiers fermés, fermeture des connexions utilisateur, consultation du journal des services et du journal des événements Les membres du groupe Administrators peuvent également définir et modifier les ACL de niveau de partage.
Le service Analyse antivirus vérifie la présence de virus au niveau du système de fichiers. Lorsque vous accédez à un fichier par le biais de n'importe quel protocole, le service Virus scan commence par analyser le fichier. Si un virus est trouvé, l'accès au fichier est bloqué et il est mis en quarantaine. L'analyse est effectuée par un moteur externe qu'Oracle ZFS Storage Appliance contacte. Le moteur externe n'est pas inclus dans le logiciel d'appareil.
Lorsqu'un fichier est analysé à l'aide des dernières définitions de virus, il n'est pas réanalysé jusqu'à sa nouvelle modification. L'analyse antivirus est fournie principalement pour les clients SMB qui sont susceptibles d'introduire des virus. Les clients NFS peuvent également utiliser l'analyse antivirus, mais en raison du fonctionnement du protocole NFS, un virus peut ne pas être détecté aussi rapidement qu'avec le client SMB.
SMB n'implémente aucun moteur temporisé pour empêcher les attaques temporelles. Il repose sur une structure de chiffrement Oracle Solaris.
Le service SMB utilise la version 1 du protocole SMB, qui ne prend pas en charge le chiffrement des données en simultané.