Sinhronizacija SMB datoteka: dozvole, sigurnost i performanse

  • SMB i Samba omogućavaju dijeljenje datoteka i sinhronizaciju preko mješovitih mreža, uz održavanje kontrole pristupa i kompatibilnosti sa Windowsom.
  • Moderne verzije SMB-a uključuju enkripciju, napredne potpise i integritet prije autentifikacije kako bi zaštitile podatke tokom prenosa.
  • Ispravna konfiguracija NTFS dozvola i ACL-ova je ključna u lokalnim serverima, Azure Files, NetApp Files i scenarijima sa FSLogix-om.
  • Cloud i hibridna rješenja proširuju SMB na S3 ili druge backendove, uz održavanje sigurnosti zasnovane na ACL-ovima i ulogama identiteta.
Daniel Terrasa

14 minuta

Sinhronizacija datoteka putem SMB-a

La sinhronizacija datoteka putem SMB-a Postala je ključna komponenta za svaku organizaciju koja dijeli podatke između Windows, Linux, NAS, Azure, AWS ili hibridnih servera. Kada počnete upravljati s nekoliko terabajta, desetinama istovremenih korisnika i zahtjevima usklađenosti, samo "dijeljenje mape" više nije dovoljno: performanse, NTFS i dozvole za dijeljenje, sigurnost protokola, pa čak i način na koji migrirate te podatke bez zaustavljanja pola poslovanja, sve to dolazi do izražaja.

U ovom članku ćete pronaći a potpuni vodič o tome kako SMB funkcioniše, kakvu ulogu Samba igra u mješovitim okruženjima, kako ojačati sigurnost (šifriranje, potpisi, verzije protokola), koje najbolje prakse slijediti s dozvolama i ACL-ovima u Windowsu, Azure Filesu, Azure NetApp Filesu ili FSLogixu i kako održavati pristojne performanse čak i kada premještate ili sinhronizujete ogromne količine podataka između servera ili u oblak.

Šta je SMB i zašto je i dalje ključan za dijeljenje datoteka?

Protokol Blok servera poruka (SMB) To je "jezik" za dijeljenje datoteka, štampača i određenih mrežnih usluga koje Windows sistemi koriste izvorno. Putem SMB-a, klijent može pristupiti dijeljenim folderima, otvarati i uređivati ​​datoteke, pregledavati štampače ili ispitivati ​​određene resurse kao da su na njegovom vlastitom računaru, iako se oni zapravo nalaze na udaljenom serveru.

SMB se razvijao tokom godina. Svaki skok je donio poboljšanja performansi, poboljšanu sigurnost (integrirano šifriranje, moderne potpise, integritet prije autentifikacije) i više funkcija dizajniranih za okruženja visoke dostupnosti ili virtualizirana okruženja kao što su Hyper-V ili SQL Server na datotečnim serverima.

Ljepota korištenja SMB-a je u tome što omogućava integrirati mješovite mreže (Windows, macOS, Linux, uređaji za pohranu podataka, javni oblaci) bez prisiljavanja korisnika da promijene način rada: oni nastavljaju koristiti File Explorer, mapiraju mrežne diskove i Čuvaju svoja dokumenta kao i uvijek..

SMB

SMB sigurnosni sloj: šifriranje, potpisi i verzije protokola

SMB sigurnost više nije opcioni dodatak. Ako dijelite datoteke s osjetljivim podacima, a mreža nije potpuno pouzdana, potrebna vam je. enkripcija i zaštita od napada presretanja (čovjek u sredini). Windows Server i Windows 10/11 su u najnovije verzije SMB protokola uključili značajna sigurnosna poboljšanja.

El SMB šifriranje Pruža potpunu zaštitu za podatke koji putuju između klijenta i servera. Za razliku od rješenja kao što su IPsec ili namjenski WAN hardver, SMB enkripcija se konfiguriše direktno preko protokola. Može se primijeniti na:

  • Na nivou zajedničkih resursa (samo neke mape).
  • Na nivou servera (cijeli datotečni server).
  • U samom mapiranju jedinica od kupca.

Tipični scenariji u kojima ima smisla aktivirati ga uključuju kritični korisnički ili aplikacijski podaci koje prolaze kroz nekontrolirane mreže (WAN mreže dobavljača, mreže trećih strana, hibridna okruženja) ili kada koristite SMB za pružanje visoko dostupne pohrane uslugama kao što su SQL Server ili Hyper-V.

Počevši od Windows Servera 2022 i Windowsa 11, SMB 3.1.1 automatski pregovara o modernim kriptografskim skupovima kao što su AES-256-GCM i AES-256-CCMIako je kompatibilnost s AES-128-GCM i AES-128-CCM i dalje prisutna, AES-128-GCM se obično koristi po defaultu jer nudi vrlo dobru ravnotežu između performansi i sigurnosti.

Nadalje, SMB Direct (SMB preko RDMA), prisutan u okruženjima visokih performansi, sada može Šifrirajte promet bez žrtvovanja direktnog pristupa memorijiOvo smanjuje utjecaj na performanse u usporedbi s klasičnim TCP-om kada je omogućeno šifriranje.

Zahtjevi i metode za omogućavanje SMB enkripcije

Prije nego što požurite s aktiviranjem enkripcije na svim dijeljenim resursima, dobro je provjeriti nekoliko stvari. osnovne preduvjete. Da biste izbjegli iznenađenja sa starim klijentima ili neobičnim aplikacijama, evo ih:

Prvo: Imajte kompatibilna verzija Windowsa ili Windows Servera sa SMB 3.0 ili novijim. I da je ovaj protokol omogućen i na strani klijenta i na strani servera. Pored toga, trebat će vam administratorske privilegije (ili ekvivalent) na obje strane da biste izmijenili konfiguraciju.

Šifriranje se može omogućiti putem grafičkog interfejsa s Windows administratorskim centrom, putem PowerShell ili nametanjem zahtjeva klijentu putem takozvane "UNC zaštite", koja omogućava da se šifriranje zahtijeva čak i ako server to nema konfigurisano prema zadanim postavkama.

Kada omogućite šifriranje na serveru ili dijeljenom resursu, podrazumijevano se aktivira samo SMB klijenti 3.0, 3.02 i 3.1.1 Mogu se povezati. Ovo je namjerna mjera kako bi se osiguralo da svi klijenti koji pristupaju ovom resursu to čine sa šifriranjem. Stariji klijenti ili oni bez SMB 3.x podrške bit će odbijeni osim ako ne ublažite konfiguraciju.

Ako vaše okruženje uključuje starije sisteme koji ne podržavaju SMB 3.x, možete onemogućiti odbijanje nešifriranog pristupa pomoću PowerShella sa svojstvom Odbij nešifrirani pristup sa SMB servera. Ovo snižava sigurnosnu traku, pa je preporučljivo ograničiti je.

SMB

Kako omogućiti SMB šifriranje: Administratorski centar, PowerShell i UNC zaštita

U mnogim slučajevima, najpogodniji način upravljanja modernim datotečnim serverom je Windows Admin CenterPreko njegovog web interfejsa možete aktivirati enkripciju i na nivou servera i za određene dijeljene resurse bez kompliciranja stvari naredbama.

Za određeni dijeljeni resurs, jednostavno odaberite naziv dijeljenja Na kartici za dijeljenje datoteka odaberite opciju za omogućavanje SMB enkripcije. Ako želite prisiliti cijeli server da koristi enkripciju, možete otići u postavke datotečnog servera i postaviti SMB 3 enkripciju da bude obavezna za sve klijente, odbijajući sve veze koje je ne podržavaju.

Ako više volite komandnu liniju, PowerShell nudi jasne cmdlete kao što su Set-SmbShare, Set-SmbServerConfiguration o New-SmbShare za kreiranje i konfigurisanje resursa sa omogućenom enkripcijom od početka, kao i naredbe za mapiranje diskova koji zahtijevaju privatnost (-RequirePrivacy) i iz PowerShella i iz CMD-a sa NET USE ... /REQUIREPRIVACY.

La UNC zaštita Dodaje još jedan sloj. Omogućava konfigurisanje klijenta da prihvata samo šifrirane veze ka određenim UNC putanjama, čak i ako server ne zahtijeva šifriranje prema zadanim postavkama. Ovo je posebno korisno za zaštitu od napada presretanja na nepouzdanim mrežama, provodeći privatnost za korporativne klijente.

Prilikom implementacije enkripcije, morate uzeti u obzir prisustvo WAN akceleratori ili posredničke uređaje na mreži koji se oslanjaju na pregled sadržaja u običnom tekstu. SMB enkripcija može ometati njihov rad i uzrokovati probleme s pristupom ili performansama.

Integritet prethodne autentifikacije i moderni potpis u SMB 3.x

Kako bi se dodatno ojačala sigurnost od napada degradacije protokola ili manipulacije pregovorima, SMB 3.1.1 uključuje tzv. integritet prethodne autentifikacijeOva funkcija izračunava kriptografske heševe poruka o pregovorima i konfiguraciji sesije. Zatim koristi taj rezultat za izvođenje ključeva sesije i potpisa.

Zahvaljujući ovom mehanizmu, klijent i server mogu otkriti da li neko manipuliše Veza se koristi, na primjer, za prisilno vraćanje na nešifrirani SMB 2.x. Ako se otkrije nekonzistentnost u ovim hešovima, sesija se odmah zatvara.

Uz šifriranje, SMB se također razvija i u području potpis porukeSMB 2.0 je koristio HMAC-SHA256, dok je SMB 3.0/3.02 uveo AES-CMAC, koji je bolje optimiziran za moderne CPU-e koji podržavaju AES instrukcije. Sa Windows Serverom 2022 i Windowsom 11, SMB 3.1.1 je dodao AES-128-GMAC kao algoritam potpisa, nudeći poboljšane performanse u mnogim scenarijima.

Praktična prednost je što sada možete odvojeni potpis i enkripcija. Ako vam ikada zatreba samo potpis (integritet) bez enkripcije, SMB to omogućava uz pomoć modernih algoritama. To vam daje fleksibilnost da ispunite i zahtjeve revizije i zahtjeve performansi.

Da biste maksimalno iskoristili ove funkcije i spriječili napadača da prisili korištenje SMB 1.0, dobra je ideja onemogući SMBv1 potpuno na modernim serverima i klijentima, nešto što Microsoft već radi po zadanim postavkama u novijim verzijama Windowsa i Windows Servera.

Zašto biste trebali što prije onemogućiti SMB 1.0

SMB 1.0 je protokol zastario, neefikasan i sa ozbiljnim ranjivostima Ovo su poznate ranjivosti koje su posljednjih godina iskorištavali ransomware i druge vrste zlonamjernog softvera. Stoga, počevši od određenih verzija Windowsa 10 i Windows Servera, više se ne instalira po zadanim postavkama.

Ako još uvijek imate servere ili računare sa omogućenim SMB 1.0 protokolom u vašem okruženju, prvi razuman korak je planirati njegovo odlaganje. Trenutna preporuka je da se deaktivira i na serverima i na klijentima. Preporučuje se održavanje samo SMB 2.x i 3.x. Ovo drastično smanjuje napadnu površinu i sprječava da se legitimna veza vrati na nešifriranu ili slabo sigurnu verziju.

U Windows okruženjima, SMB 1.0 možete upravljati pomoću opcionalnih sistemskih funkcija, PowerShella ili alata za daljinsku administraciju. Preporučljivo je detaljno dokumentirati koje usluge mogu ovisiti o njemu kako biste izbjegli kasnija iznenađenja.

U nekim vrlo specifičnim scenarijima (na primjer, naslijeđeni centri za aktivaciju), možda nećete imati drugog izbora nego održavati SMB 1.0 u izoliranom i visoko kontroliranom segmentu mreže. Ovo su vrlo specifični izuzeci sa značajnim sigurnosnim kompromisima.

Sinhronizacija i migracija velikih količina SMB-a bez prekida usluge

Jedan od najneugodnijih izazova u stvarnom životu je migracija ili sinhronizacija velikih SMB direktorija (govorimo o 10 TB ili više) s jednog servera na drugi ili na drugu platformu, bez ostavljanja kompanije bez mogućnosti pisanja na dijeljene resurse nekoliko dana.

Klasičan pristup je obično sljedeći:

  1. Onemogući pisanje na stari dio.
  2. Koristite alat kao što je robokopija kopirati sav sadržaj uz zadržavanje NTFS dozvola.
  3. Konfigurišite nove dijeljene resurse na odredišnom serveru.
  4. Ažurirajte dodjele jedinica.
  5. Zamolite korisnike da ponovo pokrenu računare.

Ovo funkcioniše, ali ima problem što tokom dugog kopiranja niko ne može sačuvati promjene u izvornom kodu.

Na vrlo velikim volumenima i sporim diskovima, početna kopija može potrajati više od jednog vikendaOvo direktno utiče na poslovanje. Ako ostavite dijeljeni resurs u upotrebi tokom kopiranja, rizikujete gubitak promjena, brisanja ili premještanja datoteka napravljenih tokom perioda migracije.

U ovim slučajevima, strategija uključuje kombinovanje višestruki prolazci s robocopyjem (Prvo masovna kopija, a zatim samo promjene) i zakazati vrlo kratak završni prozor tokom kojeg je pisanje onemogućeno. Zatim se vrši inkrementalna sinhronizacija pomoću /MIR ili slično, a pristup se preusmjerava na novi server. Za VHDX i druge vrlo velike datoteke, možda će biti potrebno zakazati određene prozore. Ili čak replikaciju na nivou pohrane ako niz za pohranu to dozvoljava.

Druga alternativa je migrirati u komadimaOvo uključuje premještanje velikih foldera u fazama i jasno komuniciranje promjena putanja korisnicima. Nedostatak je što ovo često komplicira korisničko iskustvo.

ACL u SMB-u

Dozvole i ACL-ovi u SMB-u za FSLogix, Azure Files i Azure NetApp Files

U modernim okruženjima za virtualizaciju desktopa ili aplikacija, kao što su ona koja se koriste FSLogixKorisnički profili se pohranjuju u VHD(X) kontejnere na SMB resursima. Ovi resursi mogu se nalaziti na tradicionalnim datotečnim serverima, u Azure Files, u Azure NetApp Files ili čak preko mrežnih prolaza poput AWS Storage Gatewaya.

FSLogix koristi UNC putanje (VHDLocations ili CCDLocations) za lociranje profila i Office kontejnera. Sigurnost ovih podataka zavisi od dva sloja:

  • u NTFS dozvole (Windows ACL) u zajedničkom resursu.
  • u dozvole na nivou dijeljenja dodijeljeno identitetima Entra ID-a u Azure Files.

U Azure Filesu se toplo preporučuje konfiguriranje zadana dozvola za dijeljenje tipa "Saradnik za dijeljenje podataka SMB datoteke za pohranu" primjenjuje se na sve autentificirane identitete. Ovo je neophodno da bi mogli čitati i pisati. Za upravljanje detaljnim ACL-ovima, određenim korisnicima ili grupama se dodjeljuje uloga saradnika s povišenim privilegijama na dijeljenju.

Preporučena praksa za ove scenarije je korištenje tzv. pristup zasnovan na korisnikuSvaki korisnik mora posjedovati vlastitu mapu profila ili VHD(X) datoteku. Administratori domene i grupe za podršku, s druge strane, imaju potpunu kontrolu nad zadacima održavanja.

Da bi se ovo konfiguriralo, uspostavljaju se tipične ACL liste gdje grupa administratora domene KREATOR I VLASNIK ima potpunu kontrolu nad cijelom strukturom, ima dozvole za izmjenu podmapa i datoteka, a grupa korisnika domene ima dozvole za izmjenu samo nad korijenskom mapom tako da se njeni direktoriji mogu kreirati.

Primjena Windows ACL-ova: icacls, Explorer i SIDDirSDDL u FSLogixu

U Windowsu možete koristiti alat komandne linije icacls Za masovnu primjenu preporučenih NTFS dozvola na dijeljeni resurs, uključujući korijensku mapu i sve njene poddirektorije i datoteke, što je vrlo korisno prilikom pripreme dijeljenja za FSLogix, roaming profile ili višekorisničke repozitorije.

Pomoću icacls-a možete, na primjer, Onemogući nasljeđivanje U korijenu dijeljenog resursa, dodijelite posebne dozvole KREATORIJU VLASNIKU, administratorima domene i korisnicima domene te osigurajte da svaka novokreirana mapa ispravno nasljeđuje tu strukturu dozvola.

Ako preferirate grafičko okruženje, ono samo Windows File Explorer Omogućava vam uređivanje naprednih dozvola: onemogućavanje nasljeđivanja, dodavanje sigurnosnih principa (kao što su KREATOR VLASNIK, grupe domena itd.), definiranje na što se primjenjuju (samo ova mapa, podmape i datoteke itd.) i označavanje nivoa dozvola kao što su Izmjena ili Potpuna kontrola.

FSLogix također nudi zanimljivu opciju pod nazivom SIDDirSDDLOva konfiguracija prihvata SDDL string koji definira ACL-ove koji će se automatski primijeniti na korisnički direktorij nakon kreiranja. Za generiranje ovog stringa obično se kreira testna mapa. Unutar ove mape, dozvole se podešavaju na željenu strukturu, SDDL se izdvaja pomoću PowerShella (Get-Acl | Select SDDL), a zatim se odjeljci vlasnik i kreator-vlasnik prilagođavaju za dinamičko korištenje SID-a korisnika.

Nakon što je SIDDirSDDL konfiguriran u FSLogix pravilima, svaki put kada se korisnik prvi put prijavi, njegov direktorij će biti kreiran sa tačne dozvole definirano u tom SDDL-u. Ovo nas štedi od naknadnog ispravljanja ACL-ova ili pokretanja dodatnih skripti.

Mala i srednja preduzeća u oblaku i datotečni prolazi: Azure, AWS i hibridno skladištenje

Pored klasičnog lokalnog datotečnog servera, mnoge organizacije danas koriste Usluge skladištenja u oblaku za mala i srednja preduzeća kao što su Azure Files, Azure NetApp Files ili hibridna rješenja koja izlažu SMB na rubu mreže i pohranjuju podatke u S3 ili drugim pozadinskim sustavima, kao što je AWS Storage Gateway u načinu rada datotečnog prolaza.

U Azure Files, tipičan tijek rada je sljedeći:

  1. Kreiraj a Resurs za dijeljenje SMB datoteka.
  2. Povežite ga s izvorom identiteta (tradicionalni Active Directory, Azure AD Domain Services, itd.).
  3. Dodijelite dozvole za dijeljenje korisnicima ili grupama Entra ID-a.
  4. Konfigurišite NTFS ACL-ove sa računara pridruživog domeni.

U Azure NetApp Files, koraci su sljedeći:

  1. Kreirajte NetApp račun.
  2. Definirajte lokacije i dizajnirajte za AD DS.
  3. Kreirajte specifične grupe kapaciteta i volumena za mala i srednja preduzeća.
  4. Isključivo radeći sa Dozvole za Windows kao da je u pitanju klasični datotečni server, ali podržan visokoperformansnim skladištenjem u oblaku.

Sa AWS-om, konzola od Storage Gateway Omogućava vam kreiranje SMB dijeljenih datoteka podržanih na S3 bucketima, definirajući gateway, bucket ili pristupnu tačku, klasu pohrane, IAM ulogu i opcije kao što su korištenje ili nekorištenje PrivateLinka, tipovi šifriranja ili detekcija MIME tipa.

U ovim hibridnim okruženjima, SMB i NTFS ACL-ovi SMB-ovi ostaju osnovni mehanizam za kontrolu ko vidi koje datoteke i sa kojim nivoom dozvola, čak i kada se ispod koriste objektni segmenti ili volumeni u oblaku. Posebno je važno koordinirati sigurnost SMB-a sa IAM ulogama ili njihovim ekvivalentima kako bi se izbjegle nedosljednosti.

Kombinacijom svih ovih dijelova moguće je izgraditi infrastrukturu za sinhronizaciju datoteka. robustanSigurno i sa razumnim performansama. Čak i pri radu sa ogromnim količinama podataka i složenim hibridnim okruženjima.

Prijenos datoteka između računara: Vodič za korištenje mrežnog kabela i Wi-Fi mreže
Vezani članak:
Prijenos datoteka između računara: Vodič za korištenje mrežnog kabela i Wi-Fi mreže