ファイル情報が空白で SMBv3 を使用している場合の対処方法

ファイル情報が空白で SMBv3 を使用している場合の対処方法

62738
Created On 03/22/19 13:24 PM - Last Modified 05/15/23 09:47 AM


Symptom


ログファイルを確認しても情報が得られない場合
ログ

ログなどWildfire, Threat と Unified はすべて、何らかのファイル情報を表示する必要があります。通常は、ファイル名、ファイル ダイジェスト、および/またはURLご利用いただけます。SMBv3を使用してファイルを転送した場合、ファイル情報の一部が記録されない場合があります。 これは通常、SMBv3 がマルチチャネル ファイル転送を使用することが原因です。

SMBv3とは何ですか?
SMB 3.0 (Server Message Block 3.0) は、コンピュータのクライアント アプリケーションがファイルの読み取りと書き込みを行い、コンピュータ ネットワーク内のサーバー プログラムにサービスを要求する方法を提供するプロトコルです。 SMB 3.0 はもともと Windows Server 2012 とともに導入されました。SMB 2.2. 以前のバージョン 2.1 と比較して、新しいリリースでの追加点を反映するために 3.0 に更新されました。

SMB 3.0 (2012)
Windows 8 および Windows Server 2012 でデビューしました。 このバージョンでは、可用性、パフォーマンス、バックアップ、セキュリティ、および管理を向上させるために、いくつかの重要なアップグレードが追加されました。 いくつかの注目すべき新機能がありました。SMBマルチチャンネル、SMBクライアント アクセスの直接的かつ透過的なフェイルオーバー、リモートVSSサポート、SMB暗号化など。

SMB3.02 (2014)
Windows 8.1 および Windows Server 2012 R2 で導入されました。 このバージョンには、パフォーマンスの更新と完全に無効にする機能が含まれていました。CIFS /SMB 1.0 のサポート (関連バイナリの削除を含む)。

SMB3.1.1 (2015)
Windows 10 および Windows Server 2016 とともにリリースされました。 このバージョンでは、高度な暗号化、中間者攻撃を防ぐための事前認証の整合性、およびクラスター方言フェンシングのサポートが追加されました。

とはSMBマルチチャネルとその理由Iお手入れ?
SMB マルチチャネルは、Windows Server 2012R2 および Windows 8.1 以降に搭載されている Windows ファイル共有のプロトコル改良です。 ただし、Windows 10 の最近の改良により、これまでよりも簡単に入手できるようになりました。SMBマルチチャンネル動作中。 2016 年 8 月の Windows 10 アップデートの前は、SMBマルチチャネルは、存在するマシン名などに敏感であり、関連するすべてのものが含まれていました。IPアドレス、DNS 。 ウィンドウズDNSとDHCPこれをやります。優れたルーターにはこの機能があり、pfSense もこれを実行できます。

これは、クライアントとサーバーの両方に 10 ギガビット アダプターがある場合にも当てはまります。これらのネットワーク アダプターは非常に高速であるため、通常、データは単一のネットワーク アダプターの速度を上回ります。CPUコアは追いつくことができます。 その場合でも、マルチチャネルはデータ ストリームを分離するため、複数のチャネルに利点があります。CPUコアは、データの移動のワークロードを処理するのに役立ちます。

SMBマルチチャネルは、別のネットワーク カードを接続するだけで簡単に実現できることを目的としています。 ソフトウェア構成を行う必要はありません (これは約束されていますが、完全に真実ではありません)。特別なイーサネット スイッチやスイッチ上の構成はまったく必要なく、同時にコストも削減されます。CPU使用法。

 
 

Environment


SMBv3はどのような環境で利用できますか?
SMBv3 は通常 Windows 環境にありますが、一部の Linux および Unix 環境にも存在します。

SMBv3 マルチチャネルを使用してサポートされている一部のアプリケーション

CIFSD
CIFSDオープンソースのカーネル内ですCIFS/SMB Namjae Jeon によって Linux カーネル用に作成されたサーバー。 当初の目標は、改良されたファイルを提供することです。I /Oパフォーマンスも向上しますが、より大きな目標は、カーネル内での開発と保守がはるかに簡単ないくつかの新機能を備え、レイヤーを完全に公開することです。 方向性は、Samba がリモート ダイレクト メモリ アクセス (RDMA ) 実際のパフォーマンスの向上を考慮して動作します。

マルチパスファイルシステム
マルチプロトコル ファイル システム (MPFS )は、マルチパスネットワークファイルシステムであり、によって開発および販売されている技術です。EMC株式会社。 MPFS 数百から数千のクライアント コンピュータ ノードが、従来よりも高いパフォーマンスで共有コンピュータ データにアクセスできるようにすることを目的としています。NASなどのファイル共有プロトコルNFS。MPFSクライアント システム上のエージェントと互換性のあるエージェントで構成されます。NASストレージシステム。 クライアント エージェントは、要求されたファイルのデータとメタデータを分割します。 これは、FMP (ファイル マッピング プロトコル)。 データとその場所のリクエストは従来の方法で送信されます。NFSにNASシステム。 ブロック データは、iSCSI またはファイバー チャネル経由でストレージ デバイスから直接送信および取得されます。 ストレージ デバイスからデータを直接取得すると、ファイル システムとプロトコルに関連するオーバーヘッドが排除され、パフォーマンスが向上します。NFSまたSMB。

Cause


これが脅威に与える影響
FirewallSMBサポートには SMBv3 (3.0、3.0.2、および 3.1.1) が含まれており、追加の脅威検出およびファイル識別機能、パフォーマンス、およびすべてのバージョンにわたる信頼性が備わっています。SMB 。 これらの改善により、データ センターの展開、ネットワーク セグメント、内部ネットワークなどのネットワークに追加のセキュリティ層が提供され、次を使用してファイルを送信できるようになります。SMBに転送されるWildFire分析用に。 SMBv3 マルチチャネルはファイルを分割する際に機能するため、ファイルの保護と検査を最大限に高めるために、お客様はマルチチャネル ファイル転送の使用を無効にする必要があります。 。 そのため、パロアルトネットワークスでは無効にすることを推奨しています。SMB Windows PowerShell を介したマルチチャネル。

このタスクの詳細については、次のドキュメントを参照してください。
SMBv3 マルチチャネルを使用すると、誤検知が発生する可能性があります。firewallは複数のストリームを 1 つのファイルとして認識しませんが、転送されている複数のファイルを認識します。 これにより、ランダムなファイルやディレクトリの読み取りに対してシグネチャが起動される可能性があります。 これらの FP を研究室で再現するのは非常に困難です。 多くの顧客は厳密に Windows 環境を使用しているわけではありません。 SMBV3 を使用する Windows 以外のアプリケーションやアプライアンスは数多くありますが、依然として問題が発生する可能性があります。

Resolution


何をすべきか
次の手順を使用して、使用していることを確認できます。SMBマルチチャンネル。

ステップ 1: ネットワークアダプター構成を確認する
次の PowerShell コマンドレットを使用して、複数の NIC があることを確認したり、RSSとRDMANIC の機能。 両方で実行しますSMBサーバーとSMBクライアント。
  • Get-NetAdapter
  • Get-NetAdapterRSS
  • Get-NetAdapterRDMA
  • Get-NetAdapterHardwareInfo

ステップ 2: 確認するSMB構成
次の PowerShell コマンドレットを使用して、SMBマルチチャネルが有効になっており、NIC が適切に認識されていることを確認します。SMBそして彼らのRSSとRDMA能力は適切に特定されています。

でSMBクライアント、次の PowerShell コマンドレットを実行します。
  • Get-SmbClientConfiguration | 「マルチチャネルを有効にする」を選択します
  • Get-SmbClientNetworkInterface
でSMBサーバ、次の PowerShell コマンドレットを実行します。
  • Get-SmbServerConfiguration | 「マルチチャネルを有効にする」を選択します
  • Get-SmbServerNetworkInterface

ステップ 3: を確認します。SMB繋がり
でSMBクライアントは、長時間実行されるファイル コピーを開始して、SMBサーバ。 コピーの進行中に、PowerShell ウィンドウを開いて次のコマンドレットを実行し、接続で正しいバージョンが使用されていることを確認します。SMBそしてそれSMBマルチチャネルが動作しています:
  • Get-SmbConnection
  • Get-SmbMultichannelConnection
  • Get-SmbMultichannelConnection -IncludeNotSelected

インストール中
SMBマルチチャネルはデフォルトで有効になっています。 コンポーネント、役割、役割サービス、または機能をインストールする必要はありません。 のSMB適切な構成が識別されると、クライアントは自動的に複数のネットワーク接続を検出して使用します。

無効化
SMBマルチチャネルはデフォルトで有効になっています。無効にするにはSMBマルチチャネルでは、次の PowerShell コマンドレットを使用できます。

でSMBサーバ側場合は、次のコマンドレットを使用します。
  • Set-SmbServerConfiguration -EnableMultiChannel $false
でSMBクライアント側場合は、次のコマンドレットを使用します。
  • Set-SmbClientConfiguration -EnableMultiChannel $false
(NOTE :クライアント側またはサーバー側のいずれかでこの機能を無効にすると、システムはその機能を使用できなくなります。)

再有効化
再度有効にすることができますSMB以下のコマンドレットを使用して無効にした後のマルチチャネル。

でSMBサーバ側場合は、次のコマンドレットを使用します。
  • Set-SmbServerConfiguration -EnableMultiChannel $true
でSMBクライアント側場合は、次のコマンドレットを使用します。
  • Set-SmbClientConfiguration -EnableMultiChannel $true
(NOTE :再度この機能の使用を開始するには、クライアント側またはサーバー側の両方でこの機能を有効にする必要があります。)

Additional Information


のリストSMBクライアントとサーバー

サポートする製品の完全なリストについては、SMB 、 含むSMBクライアント、SMBサーバー、および拡張するプロトコルのリストSMB、次のウィキペディアのページをご覧ください。 https://en.wikipedia.org/wiki/List_of_products_that_support_SMB
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boOXCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language