对CIFS .RESTRIT_ANYONMOUS选项及其对空用户访问的影响有何解释?
适用场景
Data ONTAP
问题解答
NetApp支持中心经常接到有关安全漏洞扫描的呼叫、这些扫描显示了有关空用户会话的漏洞。具体而言、此漏洞显示空用户能够成功连接到文件管理器上的ipc共享。
此知识库文章将解释您可以更改哪些选项来更改空用户访问权限、并根据特定Data ONTAP选项设置提供各种结果的屏幕截图。
在对环境进行任何更改之前、请确保全面测试所做的更改不仅会对文件管理器产生影响、还会对依赖于文件管理器的外部应用程序产生影响。
Data ONTAP为了在实现空用户会话访问时更像Windows服务器、实施了上述限制匿名选项。根据文件管理器上运行的Data ONTAP版本、您可以使用不同的选项/设置。本文将介绍控制空用户通过Common Internet File System协议(CIFS)访问文件管理器的各种选项。
- 7.2.5.1之前的Data ONTAP版本
您可以使用的选项只有两个设置:
Filer>options cifs.restrict_anonymous.enable < on | off >
如果将选项设置为 off ,则允许与文件管理器建立空用户连接,并且可以成功枚举文件管理器上显示的共享。将此选项设置为 on 将允许空用户映射到文件管理器、但会拒绝枚举共享。
下面是几个屏幕截图、这些屏幕截图将显示您根据每个选项设置应看到的内容:
- 将
cifs.restrict_anonymous.enable设置 为off
2.将 cifs.restrict_anonymous.enable 设置 为 on
如果设置为 off, 、则不会限制任何空用户访问。通过网络使用和网络视图的地图均可在不拒绝访问的情况下运行。
如果设置为 on ,则默认为Windows的“匿名限值”设置1 (不允许枚举...)。这将允许空用户通过网络使用进行连接、但将拒绝通过网络视图枚举共享。这两个结果均为预期响应、但不会完全拒绝空用户访问。如下文所述、更高版本的ONTAP与Windows服务器环境中可用的行为/设置更接近。
- Data ONTAP 7.2.5.1及更高版本
从7.2.5.1及更高版本开始、ONTAP引入了将限制匿名设置设置为模拟Windows环境的功能。在尝试限制匿名用户的功能时、您可以根据需要在文件管理器上设置一个新选项、使其设置为三种不同的设置。选项和设置包括:
Filer> options cifs.restrict_anonymous <0|1|2>
Possible values for this option are:
0 - No special restrictions
1 - Enumeration is restricted
2 - Access is fully restricted
旧选项 cifs.restrict_anonymous.enable 仍存在、但已弃用、不应使用。如果尝试使用已弃用的选项、则会影响CIFS .RESTRIT_ANYONMOUS的设置。
有关详细信息、请参见知识库文章:已弃用的选项命令"kfs.Restrict_Anonusy.enable "和"kfs.Restrict_Anonusy"之间有何区别?
已弃用选项命令 cifs.restrict_anonymous.enable 与 cifs.restrict_anonymous 之间区别 、用于了解在7.2.5.1及更高版本上切换已弃用选项时可能会发生什么情况。
下面是几个屏幕截图、这些屏幕截图将显示您根据每个选项设置应看到的内容:
1.将 cifs.restrict_anonymous 设置 为 0 :
2.将 cifs.restrict_anonymous 设置 为 1 :
3.将 cifs.restrict_anonymous 设置 为 2 :
追加信息
相关链接:
适用于您的相应 Data ONTAP版本的系统管理指南和文件访问和协议管理指南。
TR-3649:《Data ONTAP 7G安全配置最佳实践》