CIFS.restrict_anonymous 选项的说明及其对空用户访问的影响是什么?
适用场景
Data ONTAP
问题解答
NetApp 支持中心会频繁收到有关安全漏洞扫描的呼叫,这些扫描显示与空用户会话有关的漏洞。特别是,此漏洞显示空用户已成功连接到存储器上的 IPC$ 共享。
此知识库将解释您可以更改哪些选项来更改空用户访问权限,并根据特定的 Data ONTAP 选项设置在各种结果上添加屏幕截图。
在对环境进行任何更改之前,请确保您不仅对存储器以及依赖存储器的外部应用程序进行了全面测试,以了解这些更改的影响。
为了使 Data ONTAP 在用户会话访问为空时更像 Windows 服务器,我们实施了上述 restrict_anonymous 选项。根据您在存储器上运行的 Data ONTAP 版本,您可以使用不同的选项 / 设置。本文将通过各种选项来控制用户通过通用 Internet 文件系统协议( Common Internet File System Protocol , CIFS )对存储器的空访问。
- 7.2.5.1 之前的 Data ONTAP 版本
您可以使用的选项只有两个设置:
Filer>options cifs.restrict_anonymous.enable < on | off >
如果将选项设置为off
,则允许与存储器建立空用户连接,并成功枚举存储器上显示的共享。将选项设置为on
将允许空用户映射到存储器,但会拒绝枚举共享。
以下几个屏幕截图将显示您根据每个选项设置应看到的内容:
- 设置
cifs.restrict_anonymous.enable
为off
2. 设置cifs.restrict_anonymous.enable
为 on
如果设置off,
为该值,则不会限制任何空用户访问。通过网络使用和网络视图进行映射的同时,不会拒绝访问。
如果设置为on
,则默认为 Windows RestrictAnonymous 设置 1 ( Do not allow enumeration ……) )。这将允许空用户通过网络使用进行连接,但会拒绝通过网络视图枚举共享。这两个结果都是预期的响应,但不会完全拒绝空用户访问。如下文所述,更高版本的 ONTAP 与 Windows 服务器环境中可用的行为 / 设置更接近。
- Data ONTAP 7.2.5.1 及更高版本
从 7.2.5.1 及更高版本开始, ONTAP 引入了设置限制匿名设置以模拟 Windows 环境设置的功能。尝试限制匿名用户的功能时,您可以根据需要在存储器上设置一个新选项,使其设置为三种不同的设置。选项和设置包括:
Filer> options cifs.restrict_anonymous <0|1|2>
Possible values for this option are:
0 - No special restrictions
1 - Enumeration is restricted
2 - Access is fully restricted
旧选项cifs.restrict_anonymous.enable
仍存在,但已弃用,不应使用。如果尝试使用已弃用的选项,则会影响 cifs.restrict_anonymous 的设置。
有关详细信息,请参见知识库: 弃用的选项命令 "cifs.restrict_anonymous 。 enable" 和 "cifs.restrict_anonymous " 有何区别?
已弃用 options 命令与cifs.restrict_anonymous.enable
cifs.restrict_anonymous
在 7.2.5.1 及更高版本上切换已弃用选项时可能发生的情况之间的区别。
以下几个屏幕截图将显示您根据每个选项设置应看到的内容:
1. 设置cifs.restrict_anonymous
0
为:
2. 设置cifs.restrict_anonymous
为1
:
3. 设置cifs.restrict_anonymous
2
为:
追加信息
相关链接:
适用于您的相应 Data ONTAP 版本的系统管理指南和文件访问和协议管理指南。
TR-3649:《 Data ONTAP 7G 安全配置最佳实践》