Il protocollo SMB, anche denominato CIFS (Common Internet File System), fornisce in primo luogo l'accesso condiviso ai file su una rete Microsoft Windows. Fornisce anche l'autenticazione.
Le opzioni SMB elencate di seguito presentano implicazioni relativamente alla sicurezza.
Restrict Anonymous Access to Share List: questa opzione richiede ai client di effettuare l'autenticazione utilizzando SMB prima di ricevere un elenco di condivisioni. Se questa opzione è disabilitata, i client anonimi possono accedere all'elenco di condivisioni. Per impostazione predefinita, questa opzione è disabilitata.
SMB Signing Enabled: questa opzione consente l'interoperabilità con i client SMB utilizzando la funzione di firma SMB. Se questa opzione è abilitata, verrà eseguita la verifica della firma di un pacchetto firmato. Se l'opzione è disabilitata, un pacchetto privo di firma verrà accettato senza verifica della firma. Per impostazione predefinita, questa opzione è disabilitata.
SMB Signing Required: questa opzione può essere utilizzata quando è necessaria la firma SMB. Quando l'opzione è abilitata, tutti i pacchetti SMB devono essere firmati oppure verranno rifiutati. I client che non supportano la firma SMB non possono connettersi al server. Per impostazione predefinita, questa opzione è disabilitata.
Enable Access-based Enumeration: l'impostazione di questa opzione determina il filtraggio delle voci di directory in base alle credenziali del client. Se il client non dispone dell'accesso a un file o una directory, tale file verrà omesso dall'elenco di voci restituite al client. Per impostazione predefinita, questa opzione è disabilitata.
In modalità Domain gli utenti vengono definiti in Microsoft Active Directory (AD). I client SMB possono connettersi a Oracle ZFS Storage Appliance utilizzando l'autenticazione Kerberos o NTLM.
Quando un utente si connette con un nome host completamente qualificato di Oracle ZFS Storage Appliance, i client Windows nello stesso dominio o in un dominio sicuro utilizzano l'autenticazione Kerberos; altrimenti utilizzano l'autenticazione NTLM.
Quando un client SMB utilizza l'autenticazione NTLM per connettersi all'appliance, le credenziali dell'utente vengono inoltrate al controller del dominio AD per l'autenticazione. Questo tipo di autenticazione è denominata autenticazione pass-through.
Se i criteri di sicurezza Windows che limitano l'autenticazione NTLM sono definiti, i client Windows devono connettersi all'appliance con un nome host completamente qualificato. Per ulteriori informazioni, consultare questo articolo di Microsoft Developer Network:
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
Dopo l'autenticazione viene creato un "contesto di sicurezza" per la sessione SMB dell'utente. L'utente rappresentato dal contesto di sicurezza ha un descrittore di sicurezza (SID) univoco. Il SID denota la proprietà del file e viene utilizzato per determinare i privilegi di accesso al file.
In modalità Workgroup gli utenti vengono definiti a livello locale in Oracle ZFS Storage Appliance. Quando un client SMB si connette a un'appliance in modalità Workgroup, gli hash del nome utente e della password di tale utente vengono utilizzati per autenticare l'utente in locale.
Il livello di compatibilità con LAN Manager (LM) viene utilizzato per specificare il protocollo utilizzato quando l'appliance è in modalità Workgroup.
L'elenco seguente mostra il comportamento di Oracle ZFS Storage Appliance per ciascun livello di compatibilità con LM.
Livello 2: accetta l'autenticazione LM, NTLM e NTLMv2.
Livello 3: accetta l'autenticazione LM, NTLM e NTLMv2.
Livello 4: accetta l'autenticazione NTLM e NTLMv2.
Livello 5: accetta solo l'autenticazione NTLMv2.
Una volta autenticato correttamente l'utente Workgroup, viene creato un contesto di sicurezza. Viene creato un SID univoco per gli utenti definiti nell'appliance utilizzando una combinazione del SID del computer e dell'UID dell'utente. Tutti gli utenti locali sono definiti come utenti UNIX.
I gruppi locali sono i gruppi di utenti del dominio che forniscono privilegi aggiuntivi a tali utenti. Gli amministratori possono ignorare le autorizzazioni del file per modificare la proprietà dei file. Gli operatori di backup possono ignorare i controlli di accesso ai file per il backup e il ripristino dei file.
Per accertarsi che l'accesso alle operazioni amministrative sia consentito solo agli utenti appropriati, esistono alcune limitazioni di accesso alle operazioni eseguite in remoto utilizzando Microsoft Management Console (MMC).
L'elenco riportato di seguito mostra gli utenti e le relative operazioni consentite.
Utenti standard: elencano le condivisioni.
Membri del gruppo di amministratori: elencano i file aperti e i file chiusi, disconnettono le connessioni utente, visualizzano i servizi e il log eventi. I membri del gruppo di amministratori possono anche impostare e modificare le ACL per il livello di condivisione.
Il servizio Virus Scan esegue la scansione per individuare i virus a livello di file system. Quando si accede a un file da un protocollo qualsiasi, il servizio Virus Scan esegue la scansione del file e, se viene rilevato un virus, nega l'accesso e mette il file in quarantena. La scansione viene eseguita da un motore esterno contattato da Oracle ZFS Storage Appliance. Il motore esterno non è incluso nel software dell'appliance.
Una volta eseguita la scansione del file con le ultime definizioni dei virus, non vengono eseguite nuove scansioni finché il file non viene modificato. La scansione antivirus viene fornita principalmente per i client SMB che potrebbero introdurre virus. È possibile utilizzare la scansione antivirus anche per i client NFS, ma a causa della modalità di funzionamento del protocollo NFS, non è possibile rilevare un virus rapidamente come nel client SMB.
SMB non implementa un motore ritardato per impedire gli attacchi temporizzati. Si basa sulla struttura crittografica di Oracle Solaris.
Il servizio SMB utilizza la versione 1 del protocollo SMB, che non supporta la cifratura dei dati in rete.