Serveur d'impression

Bloc de messages du serveur – Wikipedia – Serveur d’impression

Le 13 juin 2019 - 32 minutes de lecture

Dans les réseaux informatiques, Bloc de messages du serveur (PME), dont une version était également appelée Système de fichiers Internet commun (CIFS ),[1][2] fonctionne comme un protocole réseau de couche application ou de couche présentation[3] principalement utilisé pour fournir un accès partagé aux fichiers, aux imprimantes et aux ports série, ainsi que pour diverses communications entre les nœuds d'un réseau. Il fournit également un mécanisme de communication interprocessus authentifié. La plupart des utilisations de SMB concernent des ordinateurs exécutant Microsoft Windows, connue sous le nom de "réseau Microsoft Windows" avant l'introduction d'Active Directory. Les services Windows correspondants sont le serveur LAN Manager (pour le composant serveur) et le poste de travail LAN Manager (pour le composant client).[4]

Caractéristiques[[[[modifier]

Bien que son objectif principal soit le partage de fichiers, le protocole SMB supplémentaire fournit d’autres fonctionnalités telles que:

  • Navigation sur le réseau
  • Impression sur un réseau

Le protocole SMB est le plus souvent utilisé en tant que couche d'application ou de présentation et utilise des protocoles de niveau inférieur pour le transport.

  1. Le protocole de couche de transport avec lequel le protocole Microsoft SMB était souvent utilisé était NetBIOS sur TCP / IP (NBT) sur les ports UDP 137 et 138 et les ports TCP 137 et 139.
    • NBT à utiliser par NetBIOS est pris en charge sous Windows Server 2003, Windows XP, Windows 2000, Windows NT et Windows Me / 98/95.
    • NetBIOS n'est pas pris en charge sur Windows Vista, Windows Server 2008 et les versions ultérieures de Windows. La combinaison SMB / NBT est généralement utilisée pour la compatibilité ascendante.
  2. Le protocole NetBIOS sur NetBEUI fournit un support NetBIOS pour le protocole NetBEUI. Ce protocole s'appelle également NetBIOS Frames (NBF).
    • NBF est pris en charge sous Windows 2000, Windows NT et Windows Me / 98/95.
    • NetBEUI n'est plus pris en charge sous Windows XP et versions ultérieures.
  3. Cependant, le protocole SMB peut également être utilisé sans protocole de transport distinct directement sur TCP, port 445.
  4. NetBIOS était également pris en charge sur plusieurs protocoles existants, tels que IPX / SPX.

Le système "Inter-Process Communication" (IPC) de SMB fournit des canaux nommés et a été l’un des premiers mécanismes inter-processus couramment disponibles pour les programmeurs permettant aux services de hériter de l’authentification réalisée lorsqu’un client[[[[clarification nécessaire] se connecte d'abord à un serveur SMB.[[[[citation requise]

Certains services qui fonctionnent sur des canaux nommés, tels que ceux qui utilisent la propre implémentation de DCE / RPC sur SMB de Microsoft, appelée MSRPC sur SMB, autorisent également les programmes clients MSRPC à effectuer une authentification qui annule l’autorisation fournie par le serveur SMB, mais uniquement. dans le contexte du programme client MSRPC qui réussit l'authentification supplémentaire.

Signature SMBWindows NT 4.0 Service Pack 3 et versions ultérieures peuvent utiliser la cryptographie pour signer numériquement les connexions SMB. Le terme officiel le plus courant est "signature SMB". Les autres termes utilisés officiellement sont "[SMB] Signatures de sécurité "," numéros de séquence SMB "[5] et "Signature de message SMB".[6] La signature SMB peut être configurée individuellement pour les connexions SMB entrantes (gérées par le service "LanManServer") et les connexions SMB sortantes (gérées par le service "LanManWorkstation"). Le paramètre par défaut à partir de Windows 98 consiste à signer de manière opportuniste les connexions sortantes chaque fois que le serveur le prend également en charge, et à utiliser le protocole SMB non signé si les deux partenaires le permettent. Le paramètre par défaut pour les contrôleurs de domaine Windows à partir de Windows Server 2003 est de ne pas autoriser la reprise pour les connexions entrantes.[7] La fonctionnalité peut également être activée sur tout serveur exécutant Windows NT 4.0 Service Pack 3 ou une version ultérieure. Cela protège des attaques d'interception contre les clients récupérant leurs stratégies des contrôleurs de domaine lors de la connexion.[8]

La conception de Server Message Block version 2 (SMB2) vise à[[[[citation requise] pour atténuer cette limitation de performances en fusionnant les signaux SMB en un seul paquet.

SMB prend en charge le verrouillage opportuniste – un type spécial de mécanisme de verrouillage – sur les fichiers afin d'améliorer les performances.

SMB sert de base à la mise en œuvre du système de fichiers distribués de Microsoft.

L'histoire[[[[modifier]

SMB / CIFS / SMB1[[[[modifier]

Barry Feigenbaum avait initialement conçu SMB chez IBM au début de 1983 dans le but de transformer l’accès au fichier local DOS INT 21h en un système de fichiers en réseau.[9] Microsoft a apporté des modifications considérables à la version la plus couramment utilisée. Microsoft a fusionné le protocole SMB avec le produit LAN Manager qu’elle avait commencé à développer pour OS / 2 avec 3Com vers 1990 et a continué d’ajouter des fonctionnalités au protocole dans Windows pour Workgroups (c.1992) et dans les versions ultérieures de Windows.

SMB a été conçu à l'origine pour fonctionner sur l'API NetBIOS / NetBEUI (généralement implémenté avec NBF, NetBIOS sur IPX / SPX ou NBT). Depuis Windows 2000, SMB s'exécute, par défaut, avec une couche mince, similaire au paquet de messages de session du service de session de NBT, en plus du protocole TCP, en utilisant le port TCP 445 plutôt que le port 139 (fonctionnalité appelée "hôte direct SMB"). .[10]

Windows Server 2003 et les anciens périphériques NAS utilisent SMB1 / CIFS de manière native. SMB1 / CIFS est un protocole extrêmement bavard, car il utilise de manière inefficace les ressources réseau, en particulier lorsqu'il est transporté sur des liaisons WAN coûteuses. Bien que Microsoft estime que SMB1 / CIFS représente moins de 10% du trafic réseau dans le réseau d'entreprise moyen, cela représente néanmoins une quantité de trafic importante. Une solution pour atténuer les inefficacités du protocole consiste à utiliser des produits d’accélération WAN tels que ceux fournis par Riverbed, Silver Peak ou Cisco Systems. Une meilleure approche consiste simplement à éliminer SMB1 / CIFS en mettant à niveau l'infrastructure de serveur qui l'utilise. Cela inclut à la fois les périphériques NAS et Windows Server 2003. La méthode la plus efficace actuellement pour identifier le trafic SMB1 / CIFS consiste à utiliser un outil d'analyse de réseau tel que Wireshark, etc., pour identifier les "locuteurs" SMB1 / CIFS, puis les mettre hors service. ou les améliorer au fil du temps. Microsoft fournit également un outil d'audit dans Windows Server 2016, qui peut être utilisé pour localiser les locuteurs SMB1 / CIFS.[11]

En 1996, lorsque Sun Microsystems a annoncé WebNFS,[12] Microsoft a lancé une initiative visant à renommer SMB en système de fichiers Internet commun (CIFS)[9] Elle a également ajouté des fonctionnalités supplémentaires, notamment la prise en charge des liens symboliques, des liaisons physiques, des fichiers de plus grande taille, ainsi qu'une tentative initiale de prise en charge des connexions directes sur le port TCP 445 sans nécessiter de transport NetBIOS (effort largement expérimental nécessitant un affinement supplémentaire). Microsoft a soumis à l'IETF des spécifications partielles sous forme de brouillons Internet,[13] bien que ces soumissions soient expirées.

PME 2.0[[[[modifier]

Microsoft a introduit une nouvelle version du protocole (SMB 2.0 ou SMB2) avec Windows Vista en 2006.[14] Bien que le protocole soit propriétaire, sa spécification a été publiée pour permettre à d'autres systèmes d'interagir avec les systèmes d'exploitation Microsoft utilisant le nouveau protocole.[15]

SMB2 réduit le "chatteur" du protocole SMB 1.0 en réduisant le nombre de commandes et de sous-commandes de plus de cent à seulement dix-neuf.[16] Il dispose de mécanismes pour le traitement en pipeline, c'est-à-dire l'envoi de demandes supplémentaires avant que la réponse à une demande précédente n'arrive, améliorant ainsi les performances sur les liens à latence élevée. Il ajoute la possibilité de combiner plusieurs actions en une seule demande, ce qui réduit considérablement le nombre d'allers et retours que le client doit effectuer sur le serveur, ce qui améliore les performances.[16] SMB1 dispose également d'un mécanisme de composition appelé AndX pour combiner plusieurs actions, mais les clients Microsoft utilisent rarement AndX.[[[[citation requise] Il introduit également la notion de "descripteurs de fichiers durables": ceux-ci permettent à une connexion à un serveur SMB de survivre à de brèves pannes de réseau, comme cela est typique dans un réseau sans fil, sans avoir à supporter le surcoût de la renégociation d'une nouvelle session.

SMB2 prend en charge les liens symboliques. Parmi les autres améliorations, citons la mise en cache des propriétés de fichier, la signature de messages améliorée avec l'algorithme de hachage HMAC SHA-256 et une évolutivité améliorée en augmentant le nombre d'utilisateurs, de partages et de fichiers ouverts par serveur, entre autres.[16] Le protocole SMB1 utilise des tailles de données de 16 bits, ce qui limite notamment la taille maximale des blocs à 64 Ko. SMB2 utilise des champs de stockage de 32 ou 64 bits de large, et 128 bits dans le cas de descripteurs de fichiers, supprimant ainsi les contraintes précédentes sur la taille des blocs, ce qui améliore les performances avec les transferts de fichiers volumineux sur des réseaux rapides.[16]

Les systèmes d'exploitation Windows Vista / Server 2008 et ultérieurs utilisent SMB2 lors de la communication avec d'autres ordinateurs également capables d'utiliser SMB2. SMB1 continue d’être utilisé pour les connexions avec les anciennes versions de Windows, ainsi que pour les solutions NAS de différents fournisseurs. Samba 3.5 inclut également un support expérimental pour SMB2.[17] Samba 3.6 prend entièrement en charge SMB2, à l'exception de la modification des quotas utilisateur à l'aide des outils de gestion de quotas Windows.[18]

Lorsque SMB2 a été introduit, il présentait un certain nombre d'avantages par rapport à SMB1 pour les développeurs tiers de protocoles SMB. SMB1, conçu à l'origine par IBM, a été mis au point par reverse engineering et est ensuite devenu une partie d'une grande variété de systèmes d'exploitation non Windows tels que Xenix, OS / 2 et VMS (Pathworks). X / Open l'a normalisé partiellement; il y avait aussi des projets de normes de l'IETF qui sont devenus caducs. (Voir http://ubiqx.org/cifs/Intro.html pour les détails historiques.) SMB2 est également une rupture relativement nette avec le passé. Le code SMB1 de Microsoft doit fonctionner avec une grande variété de clients et de serveurs SMB. SMB1 propose de nombreuses versions des informations relatives aux commandes (sélection de la structure à renvoyer pour une requête particulière), car des fonctionnalités telles que la prise en charge de Unicode ont été réinstallées ultérieurement. SMB2 implique des tests de compatibilité considérablement réduits pour les développeurs du protocole. Le code SMB2 est considérablement moins complexe, car sa variabilité est bien moindre (par exemple, les chemins de code non Unicode deviennent redondants car SMB2 nécessite la prise en charge de Unicode).

Apple procède également à la migration vers SMB2 (à partir de son propre protocole de classement Apple, désormais hérité) avec OS X 10.9.[19] Cette transition était cependant lourde de problèmes de compatibilité.[20][21] La prise en charge non standard de SMB2 est en fait apparue dans OS X 10.7, lorsque Apple a abandonné Samba au profit de sa propre implémentation SMB appelée SMBX.[19] Apple a adopté sa propre implémentation SMBX après que Samba a adopté la GPLv3.[22][23]

Le système de fichiers client CIFS du noyau Linux prend en charge SMB2 depuis la version 3.7.[24]

SMB 2.1[[[[modifier]

SMB 2.1, introduit avec Windows 7 et Server 2008 R2, a introduit des améliorations de performances mineures avec un nouveau mécanisme de verrouillage opportuniste.[25]

SMB 3.0[[[[modifier]

SMB 3.0 (précédemment nommé SMB 2.2)[26] a été introduit avec Windows 8[26] et Windows Server 2012.[26] Plusieurs modifications importantes ont été apportées dans le but d’ajouter des fonctionnalités et d’améliorer les performances de SMB2.[27] notamment dans les centres de données virtualisés:

Il introduit également plusieurs améliorations en matière de sécurité, telles que le cryptage de bout en bout et un nouvel algorithme de signature basé sur AES.[32][33]

SMB 3.0.2[[[[modifier]

SMB 3.0.2 (appelé 3.02 à l'époque) a été introduit avec Windows 8.1 et Windows Server 2012 R2;[34][35] dans ces versions et dans les versions ultérieures, la version 1 précédente de SMB peut éventuellement être désactivée pour renforcer la sécurité.[36][37]

PME 3.1.1[[[[modifier]

SMB 3.1.1 a été introduit avec Windows 10 et Windows Server 2016.[38] Cette version prend en charge le cryptage AES 128 GCM en plus du cryptage AES 128 CCM ajouté à SMB3, et implémente le contrôle d'intégrité de pré-authentification à l'aide du hachage SHA-512. SMB 3.1.1 rend également obligatoire la négociation sécurisée lors de la connexion à des clients utilisant SMB 2.x et versions ultérieures.

la mise en oeuvre[[[[modifier]

Approche client-serveur[[[[modifier]

SMB fonctionne selon une approche client-serveur, un client faisant des demandes spécifiques et le serveur répondant en conséquence. Une section du protocole SMB traite spécifiquement de l’accès aux systèmes de fichiers, de telle sorte que les clients peuvent adresser des demandes à un serveur de fichiers; mais certaines autres sections du protocole SMB sont spécialisées dans la communication inter-processus (IPC). Le partage IPC (Inter-Process Communication), ou ipc $, est un partage réseau sur des ordinateurs exécutant Microsoft Windows. Ce partage virtuel est utilisé pour faciliter la communication entre processus et ordinateurs via SMB, souvent pour échanger des données entre ordinateurs authentifiés.

Les développeurs ont optimisé le protocole SMB pour l’utilisation des sous-réseaux locaux, mais les utilisateurs ont également mis SMB à contribution pour accéder à différents sous-réseaux sur Internet. Des exploits impliquant le partage de fichiers ou le partage d’impressions dans des environnements MS Windows se concentrent généralement sur une telle utilisation.

Les serveurs SMB rendent leurs systèmes de fichiers et autres ressources accessibles aux clients du réseau. Les ordinateurs clients peuvent vouloir accéder aux systèmes de fichiers partagés et aux imprimantes sur le serveur. Dans cette fonctionnalité principale, SMB est devenu le plus connu et le plus utilisé. Cependant, l'aspect serveur de fichiers SMB aurait peu d'importance sans la suite de protocoles des domaines NT, qui fournit au minimum une authentification basée sur un domaine de type NT. Presque toutes les implémentations de serveurs SMB utilisent l'authentification de domaine NT pour valider l'accès des utilisateurs aux ressources.

Samba[[[[modifier]

En 1991, Andrew Tridgell a lancé le développement de Samba, une nouvelle implémentation de logiciel libre (utilisant le reverse engineering) du protocole réseau SMB / CIFS pour les systèmes de type Unix, initialement pour implémenter un serveur SMB afin de permettre aux clients PC exécutant le client DEC Pathworks accéder aux fichiers sur les machines SunOS.[9][39] En raison de l’importance du protocole SMB dans l’interaction avec la plate-forme largement répandue de Microsoft Windows, Samba est devenu une implémentation logicielle libre populaire d’un client et d’un serveur SMB compatible permettant aux systèmes d’exploitation autres que Windows, tels que les systèmes d’exploitation de type Unix, d’interopérer. Les fenêtres.

Depuis la version 3 (2003), Samba fournit des services de fichiers et d'impression aux clients Microsoft Windows et peut s'intégrer à un domaine de serveur Windows NT 4.0, en tant que contrôleur de domaine principal ou membre de domaine. Les installations Samba4 peuvent agir en tant que contrôleur de domaine Active Directory ou serveur membre, aux niveaux fonctionnels de domaine et de forêt Windows 2008.[40]

Les gestionnaires de paquets dans les distributions Linux peuvent rechercher le cifs-utils paquet. Le paquet provient des mainteneurs Samba.

NQ[[[[modifier]

NQ est une famille d'implémentations portables de client et de serveur SMB développées par Visuality Systems, une société basée en Israël créée en 1998 par Sam Widerman, ancien PDG de Siemens Data Communications. La famille NQ comprend une pile SMB intégrée (écrite en C), un client Pure Java SMB et une implémentation de serveur SMB de stockage. Tous prennent en charge le dernier dialecte SMB 3.1.1. NQ est portable sur des plateformes autres que Windows, telles que Linux, iOS, Android, ainsi que sur VxWorks, Integrity et d'autres systèmes d'exploitation en temps réel.[41]

MoSMB[[[[modifier]

MoSMB est une implémentation propriétaire SMB pour Linux et d'autres systèmes de type Unix, développée par Ryussi Technologies. Il ne prend en charge que SMB 2.x et SMB 3.x.[42]

Tuxera SMB[[[[modifier]

Tuxera SMB est une implémentation de serveur SMB propriétaire développée par Tuxera qui peut être exécutée dans le noyau ou dans l’espace utilisateur.[43] Il supporte SMB 3.1.1 et les versions précédentes.

également[[[[modifier]

De même, a mis au point une implémentation CIFS / SMB (versions 1.0, 2.0, 2.1 et NFS 3.0) en 2009, qui fournissait une plate-forme multiprotocole et à identité permettant un accès réseau aux fichiers utilisés dans les produits de stockage OEM construits sur des périphériques basés sur Linux / Unix. La plate-forme pourrait être utilisée avec les périphériques NAS, Cloud Gateway et Cloud Caching traditionnels pour fournir un accès sécurisé aux fichiers sur un réseau. De même a été acheté par EMC Isilon en 2012.

CIFSD[[[[modifier]

CIFSD est une implémentation de serveur CIFS / SMB In-noyau open source pour le noyau Linux. Il présente les avantages suivants par rapport aux implémentations en espace utilisateur: Il offre de meilleures performances et facilite la mise en œuvre de fonctionnalités telles que SMB Direct. Il supporte SMB 3.1.1 et les versions précédentes.

Les problèmes de performance[[[[modifier]

L'utilisation du protocole SMB a souvent été corrélée à une augmentation significative du trafic de diffusion sur un réseau. Cependant, le SMB lui-même n'utilise pas de diffusion: les problèmes de diffusion couramment associés à SMB ont pour origine le protocole de localisation de service NetBIOS.[[[[clarification nécessaire] Par défaut, un serveur Microsoft Windows NT 4.0 utilisait NetBIOS pour annoncer et localiser des services. NetBIOS fonctionne en diffusant des services disponibles sur un hôte particulier à intervalles réguliers. Bien que cela constitue généralement une valeur par défaut acceptable dans un réseau avec un nombre inférieur d'hôtes, une augmentation du trafic de diffusion peut poser problème à mesure que le nombre d'hôtes sur le réseau augmente. L'implémentation d'une infrastructure de résolution de noms sous la forme de WINS (Windows Internet Naming Service) ou de DNS (Domain Name System) (DNS) résout ce problème. WINS était une implémentation propriétaire utilisée avec les réseaux Windows NT 4.0, mais posait ses propres problèmes et complexités dans la conception et la maintenance d'un réseau Microsoft.

Depuis la publication de Windows 2000, l'utilisation de WINS pour la résolution de noms est déconseillée par Microsoft. Le DNS dynamique hiérarchique est maintenant configuré comme protocole de résolution de noms par défaut pour tous les systèmes d'exploitation Windows. La résolution des noms NetBIOS (courts) par DNS nécessite qu'un client DNS développe des noms abrégés, généralement en ajoutant un suffixe DNS spécifique à la connexion à ses requêtes de recherche DNS. WINS peut toujours être configuré sur les clients en tant que protocole de résolution de nom secondaire pour une interopérabilité avec les applications et les environnements Windows hérités. En outre, les serveurs DNS Microsoft peuvent transférer les demandes de résolution de noms aux serveurs WINS hérités afin de prendre en charge l'intégration de la résolution de noms avec les environnements hérités (antérieurs à Windows 2000) qui ne prennent pas en charge DNS.

Les concepteurs de réseaux ont constaté que la latence avait un impact significatif sur les performances du protocole SMB 1.0, car ses performances étaient plus médiocres que celles d’autres protocoles tels que FTP. La surveillance révèle un degré élevé de "discussion" et un mépris de la latence du réseau entre les hôtes.[16] Par exemple, une connexion VPN sur Internet introduit souvent une latence du réseau. Microsoft a expliqué que les problèmes de performances résultent principalement du fait que SMB 1.0 est un protocole de niveau bloc plutôt qu'un protocole de transmission en continu, conçu à l'origine pour les petits réseaux locaux. sa taille de bloc étant limitée à 64 Ko, la signature SMB crée une surcharge supplémentaire et la taille de la fenêtre TCP n'est pas optimisée pour les liaisons WAN.[44] Les solutions à ce problème incluent le protocole SMB 2.0 mis à jour,[45] Fichiers hors connexion, dispositifs de mise à l'échelle de la fenêtre TCP et d'accélération de réseau étendu (WAN) de différents fournisseurs de réseaux mettant en cache et optimisent SMB 1.0[46] et 2.0.[47]

Les modifications de Microsoft[[[[modifier]

Microsoft a ajouté plusieurs extensions à sa propre implémentation SMB. Par exemple, il a ajouté NTLM, suivi des protocoles d'authentification NTLMv2, afin de résoudre les problèmes de sécurité liés à l'authentification LAN Manager d'origine. L'authentification LAN Manager a été mise en œuvre sur la base de l'exigence de la spécification SMB existante héritée consistant à utiliser les mots de passe IBM "LAN Manager", mais elle a implémenté DES d'une manière imparfaite permettant de déchiffrer les mots de passe.[48] Plus tard, l'authentification Kerberos a également été ajoutée. Les protocoles d'ouverture de session de domaine NT 4.0 utilisaient initialement un cryptage 40 bits en dehors des États-Unis, en raison des restrictions à l'exportation imposées pour un cryptage renforcé 128 bits.[49] (levé par la suite en 1996 lorsque le président Bill Clinton a signé le décret exécutif 13026[50]). La prise en charge de verrouillage opportuniste a changé avec chaque version de serveur.

Verrouillage opportuniste[[[[modifier]

Dans le protocole SMB, verrouillage opportuniste est un mécanisme conçu pour améliorer les performances en contrôlant la mise en cache des fichiers réseau par le client.[51] Contrairement aux serrures traditionnelles, OpLocks ne sont pas strictement verrouillables ni utilisés pour fournir une exclusion mutuelle.

Il existe quatre types de verrous opportunistes:

Serrures de lot
Les OpLocks par lots ont été créés à l'origine pour prendre en charge un comportement particulier de l'opération d'exécution de fichier de commandes DOS dans laquelle le fichier est ouvert et fermé plusieurs fois sur une courte période, ce qui constitue un problème de performances. Pour résoudre ce problème, un client peut demander un OpLock de type "batch". Dans ce cas, le client retarde l'envoi de la demande de fermeture et si une demande d'ouverture ultérieure est donnée, les deux demandes s'annulent.[52]
Niveau 1 OpLocks / Serrures Exclusives
Lorsqu'une application ouvre en "mode partagé" un fichier hébergé sur un serveur SMB qui n'est ouvert par aucun autre processus (ou d'autres clients), le client reçoit un message. OpLock exclusif du serveur. Cela signifie que le client peut maintenant supposer qu'il s'agit du seul processus ayant accès à ce fichier particulier et qu'il peut désormais mettre en cache toutes les modifications apportées au fichier avant de le valider sur le serveur. Il s'agit d'une amélioration des performances, car il faut moins d'allers et retours pour lire et écrire dans le fichier. Si un autre client / processus essaie d’ouvrir le même fichier, le serveur envoie un message au client (appelé Pause ou révocation) qui invalide le verrou exclusif précédemment attribué au client. Le client efface ensuite toutes les modifications apportées au fichier.
Niveau 2 OpLocks
Si un client exclusif détient un OpLock exclusif et qu'un tiers ouvre un fichier verrouillé, le client doit renoncer à son OpLock exclusif pour permettre l'accès en écriture / en lecture de l'autre client. Un client peut alors recevoir un «OpLock de niveau 2» du serveur. Un OpLock de niveau 2 permet la mise en cache des demandes de lecture mais exclut la mise en cache en écriture.
Filtre OpLocks
Ajouté dans NT 4.0., Les oplocks de filtrage sont similaires à OpLocks de niveau 2, mais empêchent les violations en mode de partage entre l'ouverture du fichier et la réception verrouillée. Microsoft conseille d'utiliser Filter OpLocks uniquement lorsqu'il est important d'autoriser plusieurs lecteurs et OpLocks de niveau 2 dans d'autres circonstances.

Les clients détenteurs d’un OpLock n’ont pas vraiment de verrou sur le fichier, mais sont avertis par un Pause lorsqu'un autre client veut accéder au fichier d'une manière incompatible avec son verrou. La demande de l'autre client est bloquée pendant le traitement de la pause.

Pauses
Contrairement au comportement "standard" du protocole SMB, une demande de pause peut être envoyée de serveur à client. Il informe le client qu'un OpLock n'est plus valide. Cela se produit, par exemple, lorsqu'un autre client souhaite ouvrir un fichier de manière à invalider OpLock. Une pause OpLock est ensuite envoyée au premier client et obligée d’envoyer toutes ses modifications locales (en cas de traitement par lots ou exclusif OpLocks), le cas échéant, et d’accuser réception de la pause OpLock. Après cet accusé de réception, le serveur peut répondre au deuxième client de manière cohérente.

Sécurité[[[[modifier]

Au cours des années, de nombreuses vulnérabilités de sécurité dans la mise en œuvre du protocole ou des composants de Microsoft sur lesquelles Microsoft s'appuie directement.[53][54] Les vulnérabilités de sécurité d'autres constructeurs résident principalement dans le manque de prise en charge des nouveaux protocoles d'authentification tels que NTLMv2 et Kerberos, au profit de protocoles tels que NTLMv1, LanMan ou des mots de passe en texte brut. Suivi d'attaque en temps réel[55] montre que SMB est l’un des principaux vecteurs d’attaque pour les tentatives d’intrusion,[56] par exemple l'attaque de 2014 Sony Pictures,[57] et l'attaque WannaCry de ransomware de 2017.[58]

Caractéristiques[[[[modifier]

Les spécifications de la SMB sont propriétaires et ont été initialement fermées, obligeant ainsi d'autres fournisseurs et projets à procéder à un désossage du protocole afin de l'interopérer avec celui-ci. Le protocole SMB 1.0 a finalement été publié quelque temps après son ingénierie inverse, alors que le protocole SMB 2.0 a été mis à disposition du centre de développeur MSDN Open Specifications dès le départ.[59] Un certain nombre de spécifications sont pertinentes pour le protocole SMB:

  • MS-CIFS [3] MS-CIFS est un remplacement récent (2007) du document draft-leach-cifs-v1-spec-02.txt, un document largement utilisé pour implémenter les clients SMB, mais également connu pour ses erreurs d’omission et de commission.[[[[citation requise]
  • MS-SMB [4] Spécification pour les extensions Microsoft vers MS-CIFS
  • MS-SMB2 [5] Spécification pour les protocoles SMB 2 et SMB 3
  • MS-FSSO [6] Décrit la fonctionnalité prévue du système de services d'accès aux fichiers Windows, son interaction avec les systèmes et applications nécessitant des services de fichiers, et son interaction avec les clients d'administration pour configurer et gérer le système.
  • MS-SMBD [7] Spécification du protocole de transport RDMA (Remote Direct Memory Access) SMB2

Voir également[[[[modifier]

Références[[[[modifier]

  1. ^ "Système de fichiers Internet commun". Bibliothèque Microsoft TechNet. Récupéré 20 août 2013. Le système de fichiers Internet commun (CIFS) est la méthode standard utilisée par les utilisateurs pour partager des fichiers sur des intranets d'entreprise et sur Internet. CIFS est une version améliorée du protocole SMB (Server Message Block) ouvert et multiplate-forme de Microsoft, qui est un protocole de partage de fichiers natif dans Windows 2000.
  2. ^ "Vue d'ensemble du protocole Microsoft SMB et du protocole CIFS". Microsoft MSDN Library. 25 juillet 2013. Récupéré 20 août 2013. Le protocole SMB (Server Message Block) est un protocole de partage de fichiers réseau. Tel qu'implémenté dans Microsoft Windows, il est appelé protocole Microsoft SMB. L'ensemble de paquets de messages qui définit une version particulière du protocole s'appelle un dialecte. Le protocole CIFS (Common Internet File System) est un dialecte de SMB. SMB et CIFS sont également disponibles sur VMS, plusieurs versions de Unix et d’autres systèmes d’exploitation.
  3. ^ "Vue d'ensemble du protocole Microsoft SMB et du protocole CIFS". Microsoft. 22 octobre 2009. Récupéré 10 avril 2019.
  4. ^ "Concepts de réseau de Lan Manager". Microsoft.
  5. ^ "MSKB887429: vue d'ensemble de la signature du bloc de message du serveur". Microsoft Corporation. 30 novembre 2007. Récupéré Le 24 octobre 2012. Signatures de sécurité (numéros de séquence SMB)
  6. ^ Jesper M. Johansson (8 septembre 2005). "Comment se tirer dans le pied avec la sécurité, Partie 1". Microsoft Corporation. Récupéré Le 24 octobre 2012. Cet article adresse […] Signature du message SMB (Server Message Block).
  7. ^ "MSKB887429: vue d'ensemble de la signature du bloc de message du serveur". Microsoft Corporation. 30 novembre 2007. Récupéré Le 24 octobre 2012. Par défaut, la signature SMB est requise pour les sessions SMB entrantes sur des contrôleurs de domaine Windows Server 2003.
  8. ^ Jose Barreto (1er décembre 2010). "Les bases de la signature SMB (couvrant à la fois SMB1 et SMB2)". Microsoft TechNet Server et blogs de gestion. Récupéré Le 24 octobre 2012. Ce mécanisme de sécurité dans le protocole SMB permet d’éviter des problèmes tels que la falsification de paquets et les attaques de type "homme au milieu". […] La signature SMB est disponible dans toutes les versions de Windows actuellement prises en charge, mais elle n’est activée par défaut que sur les contrôleurs de domaine. Ceci est recommandé pour les contrôleurs de domaine car SMB est le protocole utilisé par les clients pour télécharger les informations de stratégie de groupe. La signature SMB permet de s'assurer que le client reçoit une stratégie de groupe authentique.
  9. ^ une b c Tridgell, Andrew. "Mythes à propos de Samba". Récupéré 3 janvier 2016.
  10. ^ "Hébergement direct de SMB sur TCP / IP". Microsoft. 11 octobre 2007. Récupéré 1er novembre, 2009.
  11. ^ Kyttle, Ralph (13 mai 2017). "SMB1 – Audit de l'utilisation active à l'aide de Message Analyzer". Microsoft TechNet. Microsoft. Récupéré 28 mars 2019.
  12. ^ "WebNFS – Présentation technique". Archivé de l'original le 18 mai 2007.
  13. ^ * I. Heizer; P. Leach; D. Perry (13 juin 1996). "Protocole commun au système de fichiers Internet (CIFS / 1.0)".

  14. ^ Navjot Virk et Prashanth Prahalad (10 mars 2006). "Quoi de neuf dans SMB dans Windows Vista". Chk votre dsks. MSDN. Archivé de l'original le 5 mai 2006. Récupéré 1er mai 2006.
  15. ^ "(MS-SMB2): Spécification de protocole de la version 2 du bloc de messages du serveur (SMB)". Microsoft. 25 septembre 2009. Récupéré 1er novembre, 2009.
  16. ^ une b c e Jose Barreto (9 décembre 2008). "SMB2, une refonte complète du protocole de fichier distant principal pour Windows". Microsoft TechNet Server et blogs de gestion. Récupéré 1er novembre, 2009.
  17. ^ Samba 3.5.0 disponible au téléchargement
  18. ^ Samba 3.6.0 disponible au téléchargement
  19. ^ une b Eran, Daniel (11 juin 2013). "Apple passe du partage de fichiers AFP à SMB2 dans OS X 10.9 Mavericks". Appleinsider.com. Récupéré 12 janvier 2014.
  20. ^ Vaughan, Steven J. (28 octobre 2013). "Problème SMB2 de Mavericks et correctifs". ZDNet. Récupéré 12 janvier 2014.
  21. ^ MacParc. "10.9: Basculez la pile SMB pour utiliser SMB1 par défaut". Astuces Mac OS X. macworld.com. Récupéré 12 janvier 2014.
  22. ^ Topher Kessler (23 mars 2011). "Dites adios à Samba sous OS X". CNET.
  23. ^ Thom Holwerda (26 mars 2011). "Apple dit SAMBA en faveur du remplacement fait maison".
  24. ^ "Linux 3.7 – Débutants dans le noyau Linux".
  25. ^ "Implémentation d'une solution de centralisation des données pour les utilisateurs finaux". Microsoft. 21 octobre 2009. pp. 10-11. Récupéré 2 novembre 2009.
  26. ^ une b c Jeffrey Snover (19 avril 2012). "Blog de Windows Server: SMB 2.2 est maintenant SMB 3.0". Microsoft. Récupéré 14 juin 2012.
  27. ^ Chelsio Communications. "40G SMB Direct".
  28. ^ Jose Barreto (19 octobre 2012). "Tutoriel SNIA sur le protocole SMB" (PDF). Association de l'industrie du stockage en réseau. Récupéré 28 novembre 2012.
  29. ^ Thomas Pfenning. "L'avenir des protocoles de fichiers: SMB 2.2 dans le centre de données" (PDF). Archivé de l'original (PDF) le 20 juillet 2012.
  30. ^ Joergensen, Claus (7 juin 2012). "Basculement transparent SMB – Rendre les partages de fichiers disponibles en permanence". Microsoft TechNet.
  31. ^ Savill, John (21 août 2012). "Nouvelles manières d'activer la haute disponibilité pour les partages de fichiers". Windows IT Pro.
  32. ^ "Améliorations de la sécurité des PME". Microsoft Technet. 15 janvier 2014. Récupéré 18 juin 2014.
  33. ^ Jose Barreto (5 mai 2013). "Liens mis à jour sur le serveur de fichiers Windows Server 2012 et SMB 3.0". Microsoft TechNet Server & Blogs de gestion.
  34. ^ Jose Barreto (7 juillet 2014). "Liens mis à jour sur le serveur de fichiers Windows Server 2012 R2 et SMB 3.02". Microsoft TechNet Server & Blogs de gestion.
  35. ^ Jose Barreto (12 décembre 2013). "Conférence pour développeurs de stockage – Diapositives SDC 2013 maintenant disponibles pour le public. Voici les liens vers les diapositives Microsoft…". Microsoft TechNet Server & Blogs de gestion.
  36. ^ Eric Geier (5 décembre 2013). "WindowsNetworking.com: améliorations dans les mises à jour de protocole SMB 3.0 et 3.02". WindowsNetworking.com.
  37. ^ José Barreto (5 mai 2015). "Nouveautés de SMB 3.1.1 dans l'aperçu technique 2 de Windows Server 2016". Microsoft TechNet Server & Blogs de gestion.
  38. ^ Tridgell, Andrew (27 juin 1997). "Un peu d'histoire et de plaisir". Récupéré 26 juillet 2011.
  39. ^ "Samba 4 niveaux fonctionnels". 25 février 2011. Récupéré 12 janvier 2014.
  40. ^ "Bibliothèque YNQ ™ SMB pour périphériques intégrés". visualitynq.com. Récupéré 30 mai 2019.
  41. ^ Dr. Sunu Engineer. "Création d'un serveur de protocole SMB hautement évolutif et performant" (PDF).
  42. ^ "Microsoft et Tuxera renforcent leur partenariat via le serveur SMB de Tuxera". Microsoft. Microsoft News Center. Récupéré 6 février 2017.
  43. ^ Neil Carpenter (26 octobre 2004). "Performances SMB / CIFS sur des liaisons WAN". Microsoft. Récupéré 1er novembre, 2009.
  44. ^ "Quoi de neuf dans SMB dans Windows Server". Microsoft. Récupéré 6 février 2017.
  45. ^ Mark Rabinovich, Igor Gokhman. "Techniques d'accélération CIFS" (PDF). Conférence des développeurs de stockage, SNIA, Santa Clara 2009.
  46. ^ Mark Rabinovich. "Accélération SMB2" (PDF). Conférence des développeurs de stockage, SNIA, Santa Clara 2011.
  47. ^ Christopher Hertel (1999). "SMB: le protocole de bloc de message du serveur". Récupéré 1er novembre, 2009.
  48. ^ "Description de Microsoft Windows Encryption Pack 1". Microsoft. 1er novembre 2006. Récupéré 1er novembre, 2009.
  49. ^ "US Executive Order 13026" (PDF). Gouvernement des États-Unis. 1996. Récupéré 1er novembre, 2009.
  50. ^ "Serrures opportunistes". Microsoft. Récupéré 6 novembre 2012.
  51. ^ Sphère, I.T. (2014), Tout sur le verrouillage opportuniste, récupéré Le 9 avril 2014
  52. ^ "MS02-070: Une faille dans la signature SMB peut permettre la modification de la stratégie de groupe". Microsoft. 1er décembre 2007. Récupéré 1er novembre, 2009.
  53. ^ "MS09-001: Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance". Microsoft. 13 janvier 2009. Récupéré 1er novembre, 2009.,
  54. ^ "Sicherheitstacho.eu". Deutsche Telekom. 7 mars 2013. Récupéré 7 mars 2013.
  55. ^ "Alerte (TA14-353A) Logiciel malveillant destructeur ciblé". US-CERT.
  56. ^ "Outil de ver de bloc de message utilisé par serveur de pirates de Sony (SMB)".
  57. ^ "L'attaque de WannaCry Ransomware frappe des victimes avec Microsoft SMB Exploit". eWeek. Récupéré Mai 13, 2017.
  58. ^ Protocoles Windows

Liens externes[[[[modifier]

  • Hertel, Christopher (2003). Implémentation de CIFS – le système de fichiers Internet commun. Prentice Hall. ISBN 0-13-047116-X. (Texte sous licence Open Publication License, version 1.0 ou ultérieure, disponible sur le lien ci-dessus.)
  • Common Internet File System, détails techniques de Microsoft Corporation
  • le dialecte NT LM 0.12 de SMB. Au format Microsoft Word
  • Steven M. French, Un nouveau système de fichiers réseau est né: Comparaison de SMB2, CIFS et NFS, Symposium Linux 2007
  • Steve French, L'avenir des protocoles de fichiers: SMB2 rencontre Linux, Sommet de la collaboration Linux 2012


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.