Was tun, wenn die Dateiinformationen leer sind und SMBv3 verwendet?
Symptom
Beim Anzeigen von Protokollen sind Dateien und Informationen nicht verfügbar
Protokolle, wie Wildfirez. B. "Bedrohung" und "Vereinheitlicht", sollten alle irgendeine Art von Dateiinformationen anzeigen.In der Regel sind ein Dateiname, ein Datei-Digest und/oder URL verfügbar.In einigen Fällen, wenn die Dateien mit SMBv3 übertragen werden, werden einige der Dateiinformationen möglicherweise nicht aufgezeichnet. Dies liegt normalerweise daran, dass SMBv3 Mehrkanal-Dateiübertragungen verwendet.
Was ist SMBv3?
SMB 3.0 (Server Message Block 3.0) ist ein Protokoll, das den Clientanwendungen eines Computers die Möglichkeit bietet, Dateien zu lesen und zu schreiben und Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. SMB 3.0 wurde ursprünglich mit Windows Server 2012 als SMB 2.2 eingeführt. Es wurde auf 3.0 aktualisiert, um die Ergänzungen in der neuen Version im Vergleich zur vorherigen Version 2.1 widerzuspiegeln.
SMB 3,0 (2012)
Debüt in Windows 8 und Windows Server 2012. Diese Version fügte mehrere wichtige Upgrades hinzu, um die Verfügbarkeit, Leistung, Sicherung, Sicherheit und Verwaltung zu verbessern. Es gab mehrere bemerkenswerte neue Funktionen, darunter SMB Multichannel, Direct, transparentes Failover des Clientzugriffs, Remote-SupportVSS, SMB SMB Verschlüsselung und mehr.
SMB 3.02 (2014)
Eingeführt in Windows 8.1 und Windows Server 2012 R2. Diese Version enthielt Leistungsaktualisierungen und die Möglichkeit, die 1.0-Unterstützung vollständig zu deaktivierenCIFSSMB, einschließlich des Entfernens der zugehörigen Binärdateien.
SMB 3.1.1 (2015)
Veröffentlicht mit Windows 10 und Windows Server 2016. Diese Version fügte unter anderem Unterstützung für erweiterte Verschlüsselung, Integrität vor der Authentifizierung zur Verhinderung von Man-in-the-Middle-Angriffen und Cluster-Dialekt-Fencing hinzu.
Was ist SMB Multichannel und warum sollte I man sich darum kümmern?
SMB Multichannel ist eine Protokollverbesserung für die Windows-Dateifreigabe, die unter Windows Server 2012R2 und Windows 8.1 und höher zu finden ist. Die jüngsten Verbesserungen von Windows 10 haben es jedoch einfacher denn je gemacht, Multichannel zum Laufen zu bringen SMB . Vor dem Windows 10-Update SMB vom August 2016 reagierte Multichannel empfindlich auf Dinge wie den Computernamen mit allen zugehörigen IP Adressen in DNS. Windows DNS und DHCP wird dies tun.Gute Router haben diese Fähigkeit und pfSense kann dies auch.
Dies gilt auch, wenn Sie 10 Gigabit-Adapter sowohl im Client als auch im Server haben.Diese Netzwerkadapter sind so schnell, dass die Datenmenge in der Regel das übersteigt, was ein einzelner CPU Kern bewältigen kann. In diesem Fall bietet Multichannel immer noch einen Vorteil, da es den Datenstrom trennt, sodass mehrere CPU Kerne die Arbeitslast des Verschiebens von Daten bewältigen können.
SMB Multichannel soll so einfach sein wie das Einstecken einer weiteren Netzwerkkarte. Sie müssen keine Softwarekonfiguration vornehmen (obwohl das das Versprechen ist, ist es nicht ganz richtig), es erfordert keinen speziellen Ethernet-Switch oder eine Konfiguration auf dem Switch und senkt CPU gleichzeitig die Nutzung.
Environment
In welcher Umgebung kann SMBv3 gefunden werden?
SMBv3 befindet sich normalerweise in einer Windows-Umgebung, ist aber auch in einigen Linux- und Unix-Umgebungen zu finden.
Einige unterstützte Anwendungen, die SMBv3 verwenden Multichannel
CIFSD
CIFSD ist ein Open-Source-In-Kernel /SMB Server, der von Namjae Jeon für den Linux-Kernel CIFSerstellt wurde. Anfänglich ist das Ziel, eine verbesserte Datei I- /O Leistung bereitzustellen, aber das größere Ziel ist es, einige neue Funktionen zu haben, die viel einfacher zu entwickeln und im Kernel zu warten sind und die Schichten vollständig verfügbar machen. Die Richtungen können Abschnitten zugeordnet werden, in denen Samba zu wenigen Modulen innerhalb des Kernels wechselt, um Funktionen wie Remote Direct Memory Access (RDMA) zu haben, um mit tatsächlichem Leistungsgewinn zu arbeiten.
Multi-Path-Dateisystem
Das Multi-Protocol File System (MPFS) ist ein Multi-Path-Netzwerkdateisystem, bei dem es sich um eine Technologie handelt, die von EMC der Corporation entwickelt und verkauft wird. MPFS soll Hunderten bis Tausenden von Client-Computerknoten den Zugriff auf gemeinsam genutzte Computerdaten mit höherer Leistung ermöglichen als herkömmliche NAS File-Sharing-Protokolle wie NFS. besteht aus einem Agenten auf dem Client-System und einem kompatiblen NAS Speichersystem. MPFS Der Client-Agent teilt die Daten und Metadaten für die angeforderte Datei auf. Dies geschieht mit Hilfe eines FMP (File Mapping Protocol). Anfragen nach den Daten und deren Speicherort werden konventionell NFS an das NAS System gesendet. Blockdaten werden über iSCSI oder Fibre Channel direkt vom Speichergerät gesendet und abgerufen. Das direkte Abrufen von Daten vom Speichergerät erhöht die Leistung, indem der mit oder SMBverbundene NFS Dateisystem- und Protokoll-Overhead eliminiert wird.
Cause
Wie sich dies auf die Bedrohung
Firewall SMB auswirkt Die Unterstützung umfasst jetzt SMBv3 (3.0, 3.0.2 und 3.1.1) und verfügt über zusätzliche Funktionen zur Bedrohungserkennung und Dateiidentifizierung, Leistung und Zuverlässigkeit in allen Versionen von SMB. Diese Verbesserungen bieten eine zusätzliche Sicherheitsebene für Netzwerke, z. B. Rechenzentrumsbereitstellungen, Netzwerksegmente und interne Netzwerke, indem Dateien, die mit übertragen SMB werden, zur Analyse weitergeleitet WildFire werden können. Aufgrund der Art und Weise, wie SMBv3 Multichannel beim Aufteilen von Dateien funktioniert, sollten Kunden die Verwendung der Multichannel-Dateiübertragung deaktivieren, um den maximalen Schutz und die Überprüfung von Dateien zu gewährleisten. Aus diesem Grund empfiehlt Palo Alto Networks, Multichannel über die Windows PowerShell zu SMB deaktivieren.
Weitere Informationen zu dieser Aufgabe finden Sie in den folgenden Dokumenten:
Die Verwendung von SMBv3 Multichannel kann zu falsch positiven Erkennungen führen, da die firewall mehreren Streams nicht als eine Datei angezeigt werden, sondern mehrere Dateien übertragen werden. Dies kann dazu führen, dass die Signaturen bei zufälligen Dateien und sogar beim Lesen von Verzeichnissen ausgelöst werden. Diese FPs sind in einem Labor extrem schwer zu replizieren. Viele Kunden verwenden keine reine Windows-Umgebung. Es gibt viele Nicht-Windows-Anwendungen und -Appliances, die SMBV3 verwenden und dennoch Probleme verursachen können.
Resolution
Was ist zu tun
Sie können die folgenden Schritte ausführen, um zu überprüfen, ob Sie Multichannel verwenden SMB .
Schritt 1: Überprüfen der Netzwerkadapterkonfiguration
Verwenden Sie die folgenden PowerShell-Cmdlets, um zu überprüfen, ob Sie über mehrere Netzwerkkarten verfügen und/oder um die RSS RDMA Funktionen der Netzwerkkarten zu überprüfen. Führen Sie es sowohl auf dem Server als auch auf dem SMB SMB Client aus.
- Get-NetAdapter
- Get-NetAdapterRSS
- Get-NetAdapterRDMA
- Get-NetAdapterHardwareInfo
Schritt 2: Verifizieren SMB Konfiguration
Verwenden Sie die folgenden PowerShell-Cmdlets, um sicherzustellen, dass Multichannel aktiviert ist, und um zu bestätigen, dass die Netzwerkkarten ordnungsgemäß erkannt SMB werden und dass SMB ihre RSS RDMA Funktionen ordnungsgemäß identifiziert werden.
Führen Sie auf dem SMB Client die folgenden PowerShell-Cmdlets aus:
- Get-SmbClientConfiguration | Wählen Sie "EnableMultichannel" aus.
- Get-SmbClientNetworkInterface
- Get-SmbServerConfiguration | Wählen Sie "EnableMultichannel" aus.
- Get-SmbServerNetworkInterface
Schritt 3: Überprüfen Sie die SMB Verbindung
Starten Sie auf dem Client eine Dateikopie mit langer Ausführungszeit, um eine dauerhafte Sitzung mit dem SMB SMB Server zu erstellen. Öffnen Sie während des Kopiervorgangs ein PowerShell-Fenster, und führen Sie die folgenden Cmdlets aus, um zu überprüfen, ob die Verbindung die richtige Version von SMB verwendet und dass SMB Multichannel funktioniert:
- Get-SmbConnection
- Get-SmbMultichannelConnection
- Get-SmbMultichannelConnection -IncludeNotSelected
Installation
SMB Multichannel ist standardmäßig aktiviert. Es ist nicht erforderlich, Komponenten, Rollen, Rollendienste oder Features zu installieren. Der SMB Client erkennt und verwendet automatisch mehrere Netzwerkverbindungen, wenn eine ordnungsgemäße Konfiguration identifiziert wird.
Unfähig machend
SMB Multichannel ist standardmäßig aktiviert.Zum Deaktivieren von SMB Multichannel können Sie die folgenden PowerShell-Cmdlets verwenden.
Verwenden Sie auf der SMB Serverseite die folgenden Cmdlets:
- Set-SmbServerConfiguration -EnableMultiChannel $false
- Set-SmbClientConfiguration -EnableMultiChannel $false
Erneute Aktivierung
Sie können Multichannel wieder aktivierenSMB, nachdem Sie es deaktiviert haben, indem Sie die folgenden Cmdlets verwenden.
Verwenden Sie auf der SMB Serverseite die folgenden Cmdlets:
- Set-SmbServerConfiguration -EnableMultiChannel $true
- Set-SmbClientConfiguration -EnableMultiChannel $true
Additional Information
Liste der SMB
Clients und Server Eine vollständige Liste der Produkte, die , einschließlich SMB Clients, Server und eine Liste der Protokolle, die dies erweiternSMB, SMBSMB finden Sie auf der Wikipedia-Seite unter https://en.wikipedia.org/wiki/List_of_products_that_support_SMB.