El protocolo SMB, también conocido como sistema de archivos de Internet común (CIFS), brinda principalmente acceso compartido a todos los archivos de la red de Microsoft Windows. También proporciona autenticación.
Las siguientes opciones de SMB tienen implicancias de seguridad:
Restringir el acceso anónimo a la lista de recursos compartidos: esta opción requiere que los clientes se autentifiquen mediante SMB antes de recibir una lista de recursos compartidos. Si esta opción está desactivada, los clientes anónimos pueden acceder a la lista de recursos compartidos. Esta opción está desactivada de forma predeterminada.
Firma de SMB activada: esta opción permite la interoperabilidad con clientes SMB mediante la característica de firma de SMB. Si la opción está activada, se verificará la firma de un paquete firmado. Si la opción está desactivada, un paquete no firmado se aceptará sin verificación de firma. Esta opción está desactivada de forma predeterminada.
Firma de SMB requerida: esta opción puede usarse cuando se requiere firma de SMB. Cuando la opción está activada, todos los paquetes de SMB deben estar firmados o se rechazarán. Los clientes que no admitan la firma de SMB no pueden conectarse con el servidor. Esta opción está desactivada por defecto.
Activar enumeración basada en acceso: si se configura esta opción, se filtran las entradas del directorio en función de las credenciales del cliente. Enable Access-based Enumeration Esta opción está desactivada de forma predeterminada.
En el modo de dominio, los usuarios se definen en Active Directory (AD) de Microsoft. Los clientes SMB pueden conectarse a Oracle ZFS Storage Appliance mediante la autenticación NTLM o Kerberos.
Cuando un usuario se conecta mediante un nombre de host de Oracle ZFS Storage Appliance completo, los clientes de Windows en el mismo dominio o un dominio de confianza usan la autenticación Kerberos; de lo contrario, usan la autenticación NTLM.
Cuando un cliente SMB usa la autenticación NTLM para conectarse al dispositivo, las credenciales del usuario son reenviadas al controlador de dominio AD para autenticación. Esto se denomina autenticación cruzada.
Si se definen políticas de seguridad de Windows que restringen la autenticación NTLM, los clientes de Windows deben conectarse al dispositivo mediante un nombre de host completo. Para obtener más información, consulte el siguiente artículo de Microsoft Developer Network:
http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx
Después de la autenticación, se establece un "contexto de seguridad" para la sesión de SMB del usuario. El usuario representado por el contexto de seguridad tiene un descriptor de seguridad único (SID). El SID denota la propiedad del archivo y se usa para determinar los privilegios de acceso del archivo.
En el modo de grupo de trabajo, los usuarios se definen localmente en el dispositivo Oracle ZFS Storage Appliance. Cuando un cliente SMB se conecta a un dispositivo en modo de grupo de trabajo, sus algoritmos hash de nombre de usuario y contraseña se usan para autenticar al usuario localmente.
El nivel de compatibilidad del gestor LAN (LM) se usa para especificar el protocolo usado para la autenticación cuando el dispositivo está en el modo de grupo de trabajo.
En la siguiente lista, se muestra el comportamiento de Oracle ZFS Storage Appliance para cada nivel de compatibilidad de LM:
Nivel 2: acepta autenticación LM, NTLM y NTLMv2
Nivel 3: acepta autenticación LM, NTLM y NTLMv2
Nivel 4: acepta autenticación NTLM y NTLMv2
Nivel 5: acepta solo autenticación NTLMv2
Una vez que el usuario de grupo de trabajo se autentica correctamente, se establece un contexto de seguridad. Se crea un SID único para los usuarios definidos en el dispositivo mediante una combinación del SID de la máquina y el UID del usuario. Todos los usuarios locales se definen como usuarios UNIX.
Los grupos locales son grupos de usuarios del dominio que confieren privilegios adicionales a esos usuarios. Los administradores pueden pasar por alto permisos de archivos para cambiar la propiedad de los archivos. Los operadores de copia de seguridad pueden pasar por alto los controles de acceso de los archivos para hacer copias de seguridad de los archivos y restaurarlos.
Para garantizar que solo los usuarios apropiados tengan acceso a las operaciones administrativas, existen restricciones de acceso para las operaciones que se realizan de manera remota mediante Microsoft Management Console (MMC).
La siguiente lista muestra los usuarios y sus operaciones permitidas:
Usuarios regulares: generan listas de recursos compartidos.
Miembros del grupo de administradores: generan listas de archivos abiertos y cerrados, desconectan conexiones de usuarios y ven logs de servicios y eventos. Los miembros del grupo de administradores también pueden establecer y modificar las ACL de nivel de recurso compartido.
El servicio de análisis de virus analiza en busca de virus en el nivel del sistema de archivos. Cuando se accede a un archivo desde cualquier protocolo, el servicio de análisis de virus primero analiza el archivo y, si encuentra algún virus, deniega el acceso y pone el archivo en cuarentena. El análisis es realizado por un motor externo que Oracle ZFS Storage Appliance contacta. El motor externo no está incluido en el software del dispositivo.
Una vez que el archivo ha sido analizado con las definiciones de virus más recientes, no se lo vuelve a analizar hasta la siguiente modificación. El análisis de virus se proporciona principalmente para los clientes SMB que pueden llegar a introducir virus. Los clientes NFS también pueden usar el análisis de virus, pero debido a la manera en la que trabaja el protocolo NFS, es posible que un virus no se detecte tan rápido como con el cliente SMB.
SMB no implementa ningún motor de retraso para evitar los ataques de temporización. Se basa en la estructura criptográfica de Oracle Solaris.
El servicio SMB usa la versión 1 del protocolo SMB, que no admite el cifrado de datos durante la conexión.