O protocolo SMB, também conhecido como CIFS (Common Internet File System), fornece principalmente acesso compartilhado a arquivos em uma rede do Microsoft Windows. Ele também fornece autenticação.
As seguintes opções do SMB têm implicações de segurança:
Restrict Anonymous Access to Share List - Esta opção exige que os clientes façam a autenticação usando o SMB para receberem uma lista de compartilhamentos. Se esta opção estiver desativada, os clientes anônimos poderão acessar a lista de compartilhamentos. Por padrão, esta opção está desativada.
SMB Signing Enabled - Esta opção ativa a interoperabilidade com clientes SMB utilizando o recurso de assinatura SMB. Se a opção estiver ativada, um pacote assinado terá a assinatura verificada. Se ela estiver desativada, um pacote não assinado será aceito sem a verificação de assinatura. Por padrão, esta opção está desativada.
SMB Signing Required - Esta opção pode ser usada quando a assinatura SMB é obrigatória. Quando esta opção estiver ativada, todos os pacotes SMB deverão ser assinados, caso contrário, eles serão rejeitados. Os clientes que não oferecem suporte ao recurso de assinatura SMB não podem se conectar ao servidor. Por padrão, esta opção está desativada.
Enable Access-based Enumeration - Quando esta opção é definida, as entradas de diretório são filtradas com base nas credenciais do cliente. Quando o cliente não tiver acesso a um arquivo ou diretório, esse arquivo será omitido da lista de entradas retornadas para esse cliente. Por padrão, esta opção está desativada.
No Modo de Domínio, os usuários são definidos no Microsoft AD (Active Directory). Os clientes SMB podem se conectar ao Oracle ZFS Storage Appliance usando a autenticação Kerberos ou NTLM.
Quando o usuário se conecta com um nome de host totalmente qualificado do Oracle ZFS Storage Appliance, os clientes Windows do mesmo domínio ou de um domínio confiável utilizam a autenticação Kerberos; caso contrário, eles usarão a autenticação NTLM.
Quando um cliente SMB usa a autenticação NTLM para se conectar ao appliance, as credenciais do usuário são encaminhados ao Controlador de Domínio do AD para autenticação. Isso é denominado autenticação de passagem.
Se forem definidas políticas de segurança do Windows restringindo a autenticação NTLM, os clientes Windows deverão se conectar ao appliance usando um nome de host totalmente qualificado. Para obter mais informações, consulte este artigo do Microsoft Developer Network:
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
Após a autenticação, um "contexto de segurança" é estabelecido para a sessão SMB do usuário. O usuário representado pelo contexto de segurança tem um SID (Security Descriptor) exclusivo. O SID denota a propriedade do arquivo e é usado para determinar os privilégios de acesso ao arquivo.
No Modo de Grupo de Trabalho, os usuários são definidos localmente no Oracle ZFS Storage Appliance. Quando um cliente SMB se conecta a um appliance no Modo de Grupo de Trabalho, os hashes do nome de usuário e da senha desse usuário são usados para autenticá-lo localmente.
O nível de compatibilidade do LM (LAN Manager) é usado para especificar o protocolo usado para autenticação quando o appliance está no Modo de Grupo de Trabalho.
A lista a seguir mostra o comportamento do Oracle ZFS Storage Appliance para cada nível de compatibilidade do LM:
Nível 2: Aceita a autenticação LM, NTLM e NTLMv2
Nível 3: Aceita a autenticação LM, NTLM e NTLMv2
Nível 4: Aceita a autenticação NTLM e NTLMv2
Nível 5: Aceita somente a autenticação NTLMv2
Quando o usuário do Grupo de Trabalho é autenticado com êxito, um contexto de segurança é estabelecido. Um SID exclusivo é criado para os usuários definidos no appliance utilizando uma combinação do SID da máquina e do UID do usuário. Todos os usuários locais são definidos como usuários UNIX.
Os grupos locais são grupos de usuários do domínio que concedem privilégios adicionais a esses usuários. Os administradores podem ignorar as permissões de arquivo para alterar a propriedade dos arquivos. Os operadores de backup podem ignorar os controles de acesso a arquivos para fazer backup e restaurar arquivos.
Para garantir que somente os usuários adequados tenham acesso às operações administrativas, algumas restrições de acesso se aplicam às operações executadas remotamente com o MMC.
A lista a seguir mostra os usuários e as operações que eles têm permissão de executar:
Usuários Regulares - Listar compartilhamentos.
Membros do Grupo Administradores - Listar arquivos abertos e fechados, desconectar conexões de usuários, exibir serviços e log de eventos. Os membros do grupo Administradores também podem definir e modificar ACLs em nível de compartilhamento.
Este serviço verifica se há vírus no nível do sistema de arquivos. Quando um arquivo é acessado em um protocolo, o serviço de Verificação de Vírus verifica o arquivo e, caso seja encontrado um vírus, ele negará o acesso ao arquivo e o colocará em quarentena. A verificação é realizada por um mecanismo externo contatado pelo Oracle ZFS Storage Appliance. Esse mecanismo não é fornecido no software do appliance.
Após a verificação de um arquivo com as definições de vírus mais recentes, ele não será verificado novamente até ser modificado. A verificação de vírus é fornecida sobretudo para clientes SMB que têm maior probabilidade de introduzir vírus. Os clientes NFS também podem usar esse tipo de verificação, porém, devido ao modo como o protocolo NFS funciona, é possível que um vírus não seja detectado de forma tão rápida como ocorre em um cliente SMB.
O SMB não implementa um mecanismo de atraso para impedir ataques baseados em tempo. Ele utiliza a estrutura criptográfica do Oracle Solaris.
O serviço SMB usa a versão 1 do protocolo SMB, a qual não oferece suporte à criptografia de dados durante a transmissão.