将 CIFS 选项 -restrict-anonymous 设置为 no-access 的影响
适用于
- ONTAP 9
- CIFS
问题解答
- 设置
vserver cifs options modify -restrict-anonymous no-access有效地禁用 SMB 空会话(匿名登录)。 - 加入域的客户端和应用程序的普通身份验证访问(Kerberos/NTLMv2)不受影响。
- 影响通常仅限于依赖于匿名枚举或匿名 IPC$ 连接的工具或工作流程,例如:
- 使用匿名 SMB 列出共享或查询 SAMR/LSA 的资产/漏洞扫描程序或监控工具将失败(例如,smbclient -L //server -N 或 net view \server without creds)。
- 依赖于在没有凭据的情况下查看共享的工作组或非域计算机将被拒绝,并且必须提供凭据。
- 依赖于传统匿名/SMB1 行为的非常陈旧的应用程序/客户端可能会中断。如果 SMB1 已被禁用,则此风险甚至更低。