Inteligencia artificial
SMB
Sugerir cambios
PDF
"SMB" Es un protocolo de uso compartido de archivos de red desarrollado por Microsoft que proporciona autenticación centralizada de usuarios/grupos, permisos, bloqueo y uso compartido de archivos a varios clientes SMB a través de una red Ethernet. Los archivos y carpetas se presentan a los clientes mediante recursos compartidos, que pueden configurarse con diversas propiedades de recursos compartidos y ofrecen control de acceso mediante permisos de nivel de recursos compartidos. SMB puede presentarse a cualquier cliente que ofrezca compatibilidad con el protocolo, incluidos clientes de Windows, Apple y Linux.
Cloud Volumes Service es compatible con las versiones SMB 2.1 y 3.x del protocolo.
Control de acceso/recursos compartidos de SMB
-
Cuando un nombre de usuario de Windows solicita acceso al volumen Cloud Volumes Service, Cloud Volumes Service busca un nombre de usuario UNIX utilizando los métodos configurados por los administradores de Cloud Volumes Service.
-
Si se configura un proveedor de identidad UNIX externo (LDAP) y los nombres de usuario de Windows/UNIX son idénticos, entonces los nombres de usuario de Windows asignarán 1:1 a nombres de usuario de UNIX sin necesidad de ninguna configuración adicional. Cuando LDAP está habilitado, Active Directory se utiliza para alojar esos atributos UNIX para objetos de grupo y usuario.
-
Si los nombres de Windows y UNIX no coinciden de la misma manera, se debe configurar LDAP para permitir que Cloud Volumes Service utilice la configuración de asignación de nombres LDAP (consulte la sección "“Utilizar LDAP para asignar nombres asimétricos”").
-
Si LDAP no está en uso, los usuarios SMB de Windows se asignan a un usuario UNIX local predeterminado denominado
pcuserEn Cloud Volumes Service. Esto significa que los usuarios que se asignan a los archivos escritos en WindowspcuserMostrar propiedad de UNIX comopcuserEn entornos NAS multiprotocolo.pcuseraquí está efectivamente lanobodyUsuario en entornos Linux (UID 65534).
En implementaciones con solo SMB, el pcuser La asignación se sigue produciendo, pero no importa, porque la propiedad de usuarios y grupos de Windows se muestra correctamente y no se permite el acceso NFS al volumen sólo para SMB. Además, los volúmenes solo para SMB no admiten la conversión a volúmenes de protocolo doble o NFS después de crearse.
Windows utiliza Kerberos para la autenticación de nombre de usuario con los controladores de dominio de Active Directory, que requiere un intercambio de nombre de usuario/contraseña con los DC de AD, que es externo a la instancia de Cloud Volumes Service. La autenticación Kerberos se utiliza cuando el \\SERVERNAME Los clientes SMB utilizan la ruta UNC que es la siguiente:
-
Existe una entrada DNS A/AAAA para SERVERNAME
-
Existe un SPN válido para el acceso SMB/CIFS para SERVERNAME
Cuando se crea un volumen SMB de Cloud Volumes Service, se crea el nombre de la cuenta de la máquina, tal como se define en la sección "“Cómo aparece Cloud Volumes Service en Active Directory.”" Ese nombre de cuenta de equipo también se convierte en la ruta de acceso a recursos compartidos SMB porque Cloud Volumes Service aprovecha DNS dinámico (DDNS) para crear las entradas A/AAAA y PTR necesarias en DNS y las entradas SPN necesarias en el principal de cuenta de máquina.
|
Para crear entradas PTR, la zona de búsqueda inversa para la dirección IP de la instancia Cloud Volumes Service debe existir en el servidor DNS. |
Por ejemplo, este volumen Cloud Volumes Service utiliza la siguiente ruta de uso compartido UNC: \\cvs-east- 433d.cvsdemo.local.
En Active Directory, estas son las entradas de SPN generadas por el servicio Cloud Volumes:
Este es el resultado de búsqueda directa/inversa de DNS:
PS C:\> nslookup CVS-EAST-433D Server: activedirectory. region. lab. internal Address: 10. xx.0. xx Name: CVS-EAST-433D.cvsdemo.local Address: 10. xxx.0. x PS C:\> nslookup 10. xxx.0. x Server: activedirectory.region.lab.internal Address: 10.xx.0.xx Name: CVS-EAST-433D.CVSDEMO.LOCAL Address: 10. xxx.0. x
De manera opcional, se puede aplicar un mayor control de acceso al habilitar o requerir el cifrado SMB para recursos compartidos SMB en Cloud Volumes Service. Si uno de los extremos no admite el cifrado SMB, no se permite el acceso.
Usar alias de nombre de SMB
En algunos casos, podría ser una preocupación de seguridad para los usuarios finales saber el nombre de la cuenta de equipo que se está utilizando para Cloud Volumes Service. En otros casos, es posible que simplemente desee proporcionar una ruta de acceso más sencilla a sus usuarios finales. En esos casos, puede crear alias SMB.
Si desea crear alias para la ruta de acceso compartida SMB, puede aprovechar lo que se conoce como registro CNAME en DNS. Por ejemplo, si desea usar el nombre \\CIFS para acceder a los recursos compartidos en lugar de \\cvs-east- 433d.cvsdemo.local, Pero todavía desea utilizar la autenticación Kerberos, un CNAME en DNS que señala al registro A/AAAA existente y un SPN adicional agregado a la cuenta de equipo existente proporciona acceso Kerberos.
Este es el resultado de búsqueda directa de DNS resultante después de agregar un CNAME:
PS C:\> nslookup cifs Server: ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal Address: 10. xx.0. xx Name: CVS-EAST-433D.cvsdemo.local Address: 10. xxx.0. x Aliases: cifs.cvsdemo.local
Esta es la consulta SPN resultante tras agregar nuevos números de dominio:
En una captura de paquete, podemos ver la solicitud de configuración de sesión mediante el SPN vinculado al CNAME.
Dialectos de autenticación SMB
Cloud Volumes Service admite lo siguiente "dialectos" Para la autenticación SMB:
-
LM
-
NTLM
-
NTLMv2
-
Kerberos
La autenticación Kerberos para acceso a recursos compartidos SMB es el nivel de autenticación más seguro que puede utilizar. Con el cifrado AES y SMB habilitado, el nivel de seguridad aumenta aún más.
Cloud Volumes Service también admite compatibilidad con versiones anteriores de la autenticación LM y NTLM. Cuando Kerberos está mal configurado (como al crear alias SMB), el acceso al recurso compartido vuelve a los métodos de autenticación más débiles (como NTLMv2). Debido a que estos mecanismos son menos seguros, se desactivan en algunos entornos de Active Directory. Si los métodos de autenticación más débiles están desactivados y Kerberos no está configurado correctamente, el acceso al recurso compartido falla porque no hay ningún método de autenticación válido al que recurrir.
Para obtener información acerca de cómo configurar o ver los niveles de autenticación compatibles en Active Directory, consulte "Seguridad de red: Nivel de autenticación de LAN Manager".
Modelos de permisos
Permisos NTFS/Archivo
Los permisos NTFS son los permisos aplicados a archivos y carpetas en sistemas de archivos que cumplen la lógica NTFS. Puede aplicar permisos NTFS en Basic o. Advanced y se puede establecer en Allow o. Deny para control de acceso.
Los permisos básicos incluyen los siguientes:
-
Control total
-
Modificar
-
Lectura y ejecución
-
Lea
-
Escritura
Cuando establece permisos para un usuario o grupo, denominado ACE, reside en una ACL. Los permisos NTFS utilizan los mismos conceptos básicos de lectura/escritura/ejecución que los bits de modo UNIX, pero también pueden extenderse a controles de acceso más granulares y extendidos (también conocidos como permisos especiales), como tomar posesión, Crear carpetas/datos anexados, escribir atributos, etc.
Los bits de modo UNIX estándar no proporcionan el mismo nivel de granularidad que los permisos NTFS (como ser capaz de establecer permisos para objetos de usuario y grupo individuales en una ACL o establecer atributos extendidos). Sin embargo, las ACL de NFSv4.1 proporcionan la misma funcionalidad que las ACL de NTFS.
Los permisos NTFS son más específicos que los permisos de uso compartido y se pueden utilizar junto con los permisos de uso compartido. Con las estructuras de permisos NTFS, se aplica el más restrictivo. Como tal, las denegaciones explícitas a un usuario o grupo anulan incluso Control total al definir los derechos de acceso.
Los permisos NTFS se controlan desde clientes SMB de Windows.
Comparta los permisos
Los permisos de recursos compartidos son más generales que los permisos NTFS (sólo lectura/cambio/control total) y controlan la entrada inicial en un recurso compartido SMB, de forma similar a cómo funcionan las reglas de política de exportación NFS.
Si bien las reglas de política de exportación de NFS controlan el acceso mediante información basada en hosts, como direcciones IP o nombres de hosts, los permisos de uso compartido de SMB pueden controlar el acceso mediante ACE de usuario y de grupo en una ACL compartida. Puede configurar las ACL para compartir desde el cliente de Windows o desde la IU de gestión de Cloud Volumes Service.
De forma predeterminada, las ACL compartidas y las ACL de volumen inicial incluyen a todos los usuarios con control total. Las ACL de archivo se deben cambiar pero los permisos de uso compartido están anulados por los permisos de archivo de los objetos del recurso compartido.
Por ejemplo, si a un usuario solo se le permite acceso de lectura a la ACL del archivo de volumen Cloud Volumes Service, se les deniega el acceso para crear archivos y carpetas aunque la ACL de uso compartido esté establecida en todos los usuarios con control completo, como se muestra en la siguiente figura.
Para obtener los mejores resultados de seguridad, haga lo siguiente:
-
Elimine a todos los usuarios de las ACL de uso compartido y de archivo y, en su lugar, establezca el acceso compartido para usuarios o grupos.
-
Utilice grupos para controlar el acceso en lugar de usuarios individuales con el fin de facilitar la gestión y agilizar la incorporación/eliminación de usuarios para compartir ACL a través de la gestión de grupos.
-
Permita un acceso compartido menos restrictivo y más general a los ACE en los permisos de uso compartido y bloquee el acceso a los usuarios y grupos con permisos de archivos para obtener un control de acceso más granular.
-
Evite el uso general de ACL de denegación explícita, ya que anulan permitir ACL. Limitar el uso de ACL de denegación explícita para usuarios o grupos que deben restringirse rápidamente del acceso a un sistema de archivos.
-
Asegúrese de prestar atención al "Herencia de ACL" configuración al modificar los permisos; establecer el indicador de herencia en el nivel superior de un directorio o volumen con altos recuentos de archivos significa que cada archivo debajo de ese directorio o volumen ha heredado permisos que se le han agregado, que puede crear comportamientos no deseados como acceso no intencionado/denegación y pérdida prolongada de modificación de permisos a medida que se ajusta cada archivo.
Funciones de seguridad para recursos compartidos de SMB
Cuando se crea por primera vez un volumen con acceso de SMB en Cloud Volumes Service, se presenta una serie de opciones para proteger ese volumen.
Algunas de estas opciones dependen del nivel de Cloud Volumes Service (rendimiento o software) y las opciones disponibles son:
-
Hacer visible el directorio de la instantánea (disponible tanto para CVS-Performance como para CVS-SW). esta opción controla si los clientes de SMB pueden acceder al directorio de la instantánea en un recurso compartido de SMB (
\\server\share\~snapshotY/o la ficha versiones anteriores). La configuración predeterminada no está activada, lo que significa que el volumen se oculta y se despermite el acceso a la~snapshoty no aparecen copias Snapshot en la pestaña versiones anteriores del volumen.
Ocultar copias Snapshot de usuarios finales puede ser conveniente por motivos de seguridad, por motivos de rendimiento (ocultar estas carpetas de los análisis AV) o por preferencias. Las instantáneas Cloud Volumes Service son de sólo lectura, por lo que aunque estas Snapshots estén visibles, los usuarios finales no pueden eliminar ni modificar archivos en el directorio Snapshot. Se aplican permisos de archivo en los archivos o carpetas en el momento en que se realizó la copia snapshot. Si los permisos de un archivo o carpeta cambian entre copias Snapshot, los cambios también se aplican a los archivos o carpetas del directorio Snapshot. Los usuarios y grupos pueden obtener acceso a estos archivos o carpetas en función de los permisos. Aunque no es posible eliminar o modificar archivos del directorio Snapshot, es posible copiar archivos o carpetas fuera del directorio Snapshot.
-
Activar cifrado SMB (disponible tanto para CVS-Performance como para CVS-SW). el cifrado SMB está desactivado en el recurso compartido SMB de forma predeterminada (sin seleccionar). Al activar la casilla se habilita el cifrado SMB, lo que significa que el tráfico entre el cliente SMB y el servidor se cifra en tránsito con los niveles de cifrado más altos admitidos negociados. Cloud Volumes Service admite hasta el cifrado AES-256 para SMB. La habilitación del cifrado SMB supone un detrimento del rendimiento que puede o no ser perceptible para sus clientes de SMB, aproximadamente en el rango de 10-20 %. NetApp recomienda encarecidamente realizar pruebas para ver si esa penalización en el rendimiento es aceptable.
-
Ocultar recurso compartido SMB (disponible tanto para CVS-Performance como para CVS-SW). al establecer esta opción se oculta la ruta de acceso compartido SMB de la navegación normal. Esto significa que los clientes que no conocen la ruta de acceso al recurso compartido no pueden ver los recursos compartidos al acceder a la ruta UNC predeterminada (por ejemplo
\\CVS-SMB). Cuando se selecciona la casilla de verificación, solo los clientes que conozcan explícitamente la ruta de acceso compartido SMB o que tengan la ruta de acceso de recurso compartido definida por un objeto de directiva de grupo pueden tener acceso a ella (seguridad mediante ocultación). -
Activar enumeración basada en acceso (ABE) (sólo CVS-SW). esto es similar a ocultar el recurso compartido SMB, excepto que los recursos compartidos o archivos sólo están ocultos de usuarios o grupos que no tienen permisos para acceder a los objetos. Por ejemplo, si el usuario de Windows
joeNo se permite al menos acceso de lectura a través de los permisos, entonces el usuario de WindowsjoeNo se pueden ver los archivos o recursos compartidos de SMB en absoluto. Esta opción está deshabilitada de forma predeterminada y puede habilitarla mediante la selección de la casilla de verificación. Para obtener más información sobre ABE, consulte el artículo de la base de conocimientos de NetApp "¿Cómo funciona la enumeración basada en acceso (ABE)?" -
Activar soporte compartido de disponibilidad continua (CA) (CVS-Performance solamente). "Recursos compartidos de SMB disponibles de forma continua" Proporcionar una forma de minimizar las interrupciones de aplicaciones durante eventos de conmutación por error mediante la replicación de estados de bloqueo entre nodos del sistema de entorno de administración de Cloud Volumes Service. Esta no es una función de seguridad, pero sí ofrece una mejor resiliencia general. Actualmente, sólo se admiten las aplicaciones SQL Server y FSLogix para esta funcionalidad.
Recursos compartidos ocultos predeterminados
Cuando se crea un servidor SMB en Cloud Volumes Service, existen "recursos compartidos administrativos ocultos" (Usa la convención de nomenclatura de $) que se crean además del recurso compartido de SMB del volumen de datos. Entre ellas se incluyen C$ (acceso al espacio de nombres) e IPC$ (uso compartido de canalizaciones con nombre para la comunicación entre programas, como las llamadas a procedimiento remoto (RPC) utilizadas para el acceso a Microsoft Management Console (MMC)).
El recurso compartido IPC$ no contiene ACL compartidos y no se puede modificar; se utiliza estrictamente para las llamadas RPC y. "Windows no permite el acceso anónimo a estos recursos compartidos de forma predeterminada".
El recurso compartido C$ permite el acceso BUILTIN/Administrators de forma predeterminada, pero la automatización Cloud Volumes Service elimina la ACL compartida y no permite el acceso a nadie porque el acceso al recurso compartido C$ permite la visibilidad de todos los volúmenes montados en los sistemas de archivos Cloud Volumes Service. Como resultado, intenta navegar a. \\SERVER\C$ error.
Cuentas con derechos de administrador/copia de seguridad local/BUILTIN
Los servidores SMB de Cloud Volumes Service mantienen una funcionalidad similar a los servidores SMB de Windows regulares en el sentido de que hay grupos locales (como BUILTIN\Administrators) que aplican derechos de acceso a determinados usuarios y grupos de dominio.
Cuando se especifica un usuario que se va a agregar a los usuarios de copia de seguridad, el usuario se agrega al grupo BUILTIN\operadores de copia de seguridad en la instancia de Cloud Volumes Service que utiliza esa conexión de Active Directory, que a continuación obtiene la "SeBackupPrivilege y SeRestorePrivilege".
Cuando agrega un usuario a usuarios de privilegios de seguridad, se le da al usuario SeSecurityPrivilege, que es útil en algunos casos de uso de aplicaciones, como "SQL Server en recursos compartidos de SMB".
Puede ver las pertenencias a grupos locales de Cloud Volumes Service a través de MMC con los privilegios adecuados. La siguiente figura muestra los usuarios que se han agregado mediante la consola de Cloud Volumes Service.
La siguiente tabla muestra la lista de grupos BUILTIN predeterminados y qué usuarios/grupos se agregan de forma predeterminada.
| Grupo local/BUILTIN | Miembros predeterminados |
|---|---|
BUILTIN\Administrators* |
Dominio\Administradores de dominio |
Operadores DE COPIAS DE seguridad/BUILTIN* |
Ninguno |
EDIFICIO\huéspedes |
Dominio\invitados de dominio |
Usuarios AVANZADOS\BUILTIN |
Ninguno |
USUARIOS DE BUILTIN\Domain |
USUARIOS de DOMINIO/dominio |
*Pertenencia a grupos controlada en la configuración de conexión de Cloud Volumes Service Active Directory.
Puede ver los usuarios y grupos locales (y los miembros del grupo) en la ventana MMC, pero no puede agregar ni eliminar objetos ni cambiar las pertenencias a grupos desde esta consola. De forma predeterminada, sólo el grupo Administradores de dominio y Administrador se agregan al grupo BUILTIN\Administradores de Cloud Volumes Service. Actualmente, no puede modificarlo.
Acceso a MMC/Computer Management
El acceso de SMB en Cloud Volumes Service proporciona conectividad a la MMC de gestión de equipos, que permite ver recursos compartidos, gestionar ACL de uso compartido, ver/gestionar sesiones de SMB y archivos abiertos.
Para utilizar MMC para ver los recursos compartidos y las sesiones de SMB en Cloud Volumes Service, el usuario que ha iniciado sesión debe ser un administrador de dominio. A otros usuarios se les permite el acceso para ver o administrar el servidor SMB desde MMC y recibir un cuadro de diálogo no tiene permisos al intentar ver recursos compartidos o sesiones en la instancia del SMB de Cloud Volumes Service.
Para conectarse al servidor SMB, abra Administración de equipos, haga clic con el botón derecho en Administración de equipos y, a continuación, seleccione conectar a otro equipo. Con esto se abre el cuadro de diálogo Seleccionar equipo, donde puede introducir el nombre del servidor SMB (que se encuentra en la información del volumen Cloud Volumes Service).
Cuando se ven los recursos compartidos de SMB con los permisos adecuados, se ven todos los recursos compartidos disponibles en la instancia de Cloud Volumes Service que comparten la conexión de Active Directory. Para controlar este comportamiento, configure la opción Ocultar recursos compartidos de SMB en la instancia de volumen de Cloud Volumes Service.
Recuerde que sólo se permite una conexión de Active Directory por región.
En la siguiente tabla se muestra una lista de las funciones compatibles/no admitidas para MMC.
| Funciones admitidas | Funciones no admitidas |
|---|---|
|
|
Información de seguridad del servidor SMB
El servidor SMB en Cloud Volumes Service utiliza una serie de opciones que definen políticas de seguridad para las conexiones SMB, incluidos factores como la desviación del reloj de Kerberos, la antigüedad de los tickets, el cifrado, etc.
La siguiente tabla contiene una lista de esas opciones, qué hacen, las configuraciones predeterminadas y si se pueden modificar con Cloud Volumes Service. Algunas opciones no se aplican a Cloud Volumes Service.
| Opción de seguridad | Qué hace | Valor predeterminado | ¿Puede cambiar? |
|---|---|---|---|
Sesgo de reloj Kerberos máximo (minutos) |
Desfase de tiempo máximo entre Cloud Volumes Service y controladoras de dominio. Si la desviación de tiempo supera los 5 minutos, la autenticación de Kerberos fallará. Se establece en el valor predeterminado de Active Directory. |
5 |
No |
Duración de la entrada de Kerberos (horas) |
Tiempo máximo que un ticket de Kerberos permanece válido antes de requerir una renovación. Si no se produce ninguna renovación antes de las 10 horas, debe obtener un boleto nuevo. Cloud Volumes Service realiza estas renovaciones automáticamente. 10 horas es el valor predeterminado de Active Directory. |
10 |
No |
Renovación máxima de entradas Kerberos (días) |
Número máximo de días que se puede renovar un billete Kerberos antes de que se necesite una nueva solicitud de autorización. Cloud Volumes Service renueva automáticamente los boletos para las conexiones SMB. Seven Days es el valor predeterminado de Active Directory. |
7 |
No |
Tiempo de espera de conexión Kerberos KDC (segundos) |
Número de segundos antes de que se agote el tiempo de espera de una conexión KDC. |
3 |
No |
Es necesario firmar para tráfico entrante del bloque de mensajes del servidor |
Configuración para requerir la firma para el tráfico SMB. Si se establece en true, los clientes que no admiten la conectividad de firma fallan. |
Falso |
|
Requerir complejidad de contraseña para cuentas de usuario locales |
Se usa para las contraseñas en usuarios SMB locales. Cloud Volumes Service no admite la creación de usuarios locales, por lo que esta opción no se aplica a Cloud Volumes Service. |
Verdadero |
No |
Utilice START_tls para conexiones LDAP de Active Directory |
Se utiliza para habilitar conexiones TLS de inicio para LDAP de Active Directory. Cloud Volumes Service no admite habilitar esto actualmente. |
Falso |
No |
Es el cifrado AES-128 y AES-256 para Kerberos habilitado |
Esto controla si el cifrado AES se utiliza para conexiones de Active Directory y se controla con la opción Activar cifrado AES para autenticación de Active Directory al crear o modificar la conexión de Active Directory. |
Falso |
Sí |
Nivel de compatibilidad LM |
Nivel de dialectos de autenticación compatibles para conexiones de Active Directory. Consulte la sección “Dialectos de autenticación SMB” para más información. |
ntlmv2-krb |
No |
Se requiere cifrado SMB para el tráfico CIFS entrante |
Requiere cifrado SMB para todos los recursos compartidos. Cloud Volumes Service no lo utiliza; en su lugar, establezca el cifrado por volumen (consulte la sección “Funciones de seguridad para recursos compartidos de SMB”). |
Falso |
No |
Seguridad de sesión de cliente |
Establece la firma y/o el sellado para la comunicación LDAP. Esto no está establecido actualmente en Cloud Volumes Service, pero podría ser necesario en futuras versiones para abordar . La solución de problemas de autenticación LDAP debidos a la revisión de Windows se trata en la sección "“Enlace del canal LDAP”.". |
Ninguno |
No |
Activación de SMB2 para conexiones de CC |
Utiliza SMB2 para conexiones de CC. Activado de forma predeterminada. |
Valor predeterminado del sistema |
No |
Especificación de referencia LDAP |
Al usar varios servidores LDAP, la búsqueda de referencias permite al cliente consultar otros servidores LDAP de la lista cuando no se encuentra una entrada en el primer servidor. Actualmente, Cloud Volumes Service no admite esta operación. |
Falso |
No |
Utilice LDAPS para conexiones seguras de Active Directory |
Permite el uso de LDAP sobre SSL. Actualmente no es compatible con Cloud Volumes Service. |
Falso |
No |
Se requiere cifrado para la conexión de CC |
Requiere cifrado para conexiones DC correctas. Deshabilitado de forma predeterminada en Cloud Volumes Service. |
Falso |
No |