Definir SMB e suas considerações de segurança

  • 15 minutos

Gerenciar a colaboração e o compartilhamento de dados é uma parte importante das responsabilidades de um administrador de TI. Para cumprir essas responsabilidades, é útil entender as tecnologias que servem como base para o compartilhamento de arquivos do Windows, como o protocolo SMB (Server Message Block).

O que é SMB?

SMB é um protocolo de compartilhamento de arquivos de rede baseado em TCP/IP que permite que aplicativos em um computador leiam e gravem arquivos e solicitem serviços de programas de servidor em uma rede de computadores. Utilizando o protocolo SMB, uma aplicação (ou o utilizador de uma aplicação) pode aceder a ficheiros ou outros recursos no servidor remoto. Isto permite que as aplicações leiam, criem e atualizem ficheiros no servidor remoto.

Quais são os benefícios do SMB 3.x?

A Microsoft desenvolveu o Server Message Block (SMB) na década de 1980. A especificação original, SMB 1, era ineficiente em termos de largura de banda e não tinha nível suficiente de segurança. As versões SMB subsequentes resolveram essas deficiências por meio de recursos como criptografia integrada, SMB Multichannel e SMB Direct.

O SMB 2.0, que a Microsoft introduziu no Windows Server 2008, ofereceu melhorias significativas de desempenho, no entanto, não abordou de forma significativa os desafios de segurança.

O SMB 3.0, que a Microsoft introduziu no Windows Server 2012, inclui os seguintes recursos:

  • Failover transparente do SMB. Esse recurso permite que você execute a manutenção de hardware ou software de nós em um servidor de arquivos clusterizado sem interromper os aplicativos de servidor que estão armazenando dados em compartilhamentos de arquivos.
  • Dimensionamento do SMB. Em configurações clusterizadas, você pode criar compartilhamentos de arquivos que fornecem acesso simultâneo a arquivos de dados, com entrada/saída direta (E/S), através de todos os nós em um cluster de servidor de arquivos.
  • Encriptação SMB. Esse recurso fornece a criptografia de ponta a ponta de dados SMB em redes não confiáveis e ajuda a proteger os dados contra espionagem.
  • Comandos do Windows PowerShell para gerenciar SMB. Você pode gerenciar compartilhamentos de arquivos no servidor de arquivos, de ponta a ponta, a partir da linha de comando.
  • SMB Multicanal. Esse recurso permite agregar largura de banda de rede e tolerância a falhas de rede se vários caminhos estiverem disponíveis entre o cliente SMB 3.x e o servidor.
  • SMB Direto. Este recurso suporta adaptadores de rede que têm o recurso RDMA (Acesso Remoto Direto à Memória) e podem ser executados em velocidade máxima com latência muito baixa e usando muito pouco tempo de processamento da unidade central de processamento (CPU).

O SMB 3.1.1, que a Microsoft introduziu no Windows Server 2016, oferece vários aprimoramentos adicionais, incluindo:

  • Integridade da pré-autenticação. A integridade da pré-autenticação fornece proteção aprimorada contra um ataque man-in-the-middle que pode adulterar o estabelecimento e a autenticação de mensagens de conexão SMB.
  • Melhorias na criptografia SMB. A criptografia SMB, introduzida com o SMB 3.0, usa um algoritmo criptográfico fixo, AES-128-CCM. No entanto, o AES-128-GCM, disponível com SMB 3.1.1, tem um melhor desempenho com a maioria dos processadores modernos.
  • A remoção da configuração RequireSecureNegotiate . Como algumas implementações de terceiros do SMB não executam essa negociação corretamente, a Microsoft fornece uma opção para desabilitar a negociação segura. No entanto, o padrão para servidores e clientes SMB 3.1.1 é usar a integridade de pré-autenticação, conforme descrito anteriormente.

Quais são os casos de uso mais comuns dos aprimoramentos de desempenho do SMB 3.x?

O SMB Direct e o SMB Multichannel permitem que você implante armazenamento econômico, continuamente disponível e de alto desempenho para aplicativos de servidor em servidores de arquivos. Tanto o SMB Multichannel quanto o SMB Direct são habilitados por padrão no Windows Server. Você pode usar várias conexões de rede simultaneamente com SMB Multichannel, o que melhora o desempenho geral de compartilhamento de arquivos. O SMB Direct garante que vários adaptadores de rede possam coordenar a transferência de grandes quantidades de dados na velocidade da linha enquanto usam menos ciclos de CPU.

Os compartilhamentos de arquivos baseados em SMB Direct e SMB Multichannel oferecem uma alternativa ao armazenamento de arquivos em dispositivos iSCSI (Internet Small Computer System Interface) ou SAN (Storage Area Network, rede de armazenamento de dados) Fibre Channel. Ao criar uma VM no Hyper-V no Windows Server, você pode especificar um compartilhamento de rede ao escolher o local da VM e o local do disco rígido virtual. Você também pode anexar discos armazenados em compartilhamentos de arquivos SMB 3.x. Usando essa abordagem, você pode obter alta disponibilidade não clusterizando nós do Microsoft Hyper-V, mas usando servidores de arquivos clusterizados que hospedam arquivos VM em seus compartilhamentos de arquivos. Isso é conhecido como um servidor de arquivos de expansão. Com esse recurso, o Hyper-V pode armazenar todos os arquivos de VM, incluindo arquivos de configuração, arquivos .vhd e pontos de verificação em compartilhamentos de arquivos SMB altamente disponíveis.

Nota

O Cluster Dialect Fencing, disponível a partir do SMB 3.1.1, fornece suporte para atualizações de cluster entre versões consecutivas do sistema operacional para os servidores de arquivos de expansão.