文件信息为空,使用SMBv3怎么办
Symptom
查看日志文件和信息不可用时
日志,例如Wildfire, Threat 和 Unified 都应该显示某种文件信息。通常是文件名、文件摘要和/或URL可用。在某些情况下,如果使用 SMBv3 传输文件,则可能不会记录某些文件信息。 这通常是因为 SMBv3 使用多通道文件传输。
什么是 SMBv3?
SMB 3.0 (Server Message Block 3.0) 是一种协议,它为计算机的客户端应用程序提供了一种读取和写入文件以及向计算机网络中的服务器程序请求服务的方法。 SMB 3.0 最初是随 Windows Server 2012 引入的SMB2.2. 它已更新为 3.0,以反映与之前的 2.1 版本相比新版本中的新增内容。
SMB 3.0 (2012)
在 Windows 8 和 Windows Server 2012 中首次亮相。 此版本添加了多项重要升级,以提高可用性、性能、备份、安全性和管理。 有几个值得注意的新功能,包括SMB多渠道,SMB直接、透明的客户端访问故障转移,远程VSS支持,SMB加密等等。
SMB3.02 (2014)
在 Windows 8.1 和 Windows Server 2012 R2 中引入。 此版本包括性能更新和完全禁用的能力CIFS/SMB 1.0 支持,包括删除相关的二进制文件。
SMB3.1.1 (2015)
随 Windows 10 和 Windows Server 2016 一起发布。 此版本增加了对高级加密、预身份验证完整性以防止中间人攻击和集群方言防护等更新的支持。
什么是SMB多渠道以及为什么应该I关心?
SMB 多通道是对 Windows Server 2012R2 和 Windows 8.1 及更高版本上的 Windows 文件共享的协议改进。 但是,Windows 10 的最新改进使获取比以往任何时候都更容易SMB多渠道工作。 在 2016 年 8 月 Windows 10 更新之前,SMB多通道对诸如存在的机器名称之类的事情很敏感,所有相关联的IP地址,在DNS. 视窗DNS和DHCP会这样做。好的路由器具有此功能,pfSense 也可以做到这一点。
如果您在客户端和服务器中都有 10 GB 适配器,它也适用。这些网络适配器速度如此之快,以至于数据传输速度通常超过单个CPU核心能跟上。 在这种情况下,多通道仍然有好处,因为它将数据流分开,以便多个CPU核心可以帮助处理移动数据的工作量。
SMB多通道就像插入另一张网卡一样简单。 您不必进行任何软件配置(虽然这是承诺,但并不完全正确),它根本不需要特殊的以太网交换机或交换机上的任何配置,同时它还降低了CPU用法。
Environment
SMBv3可以找到什么环境?
SMBv3 通常在 windows 环境中,但也可以在某些 Linux 和 Unix 环境中找到。
使用 SMBv3 多通道的一些受支持的应用程序
CIFSD
CIFSD是开源的,在内核中CIFS/SMB Namjae Jeon 为 Linux 内核创建的服务器。 最初,目标是提供改进的文件I/O性能,但更大的目标是拥有一些更容易在内核中开发和维护的新功能,并充分暴露各层。 方向可以归因于 Samba 正在移动到内核中的几个模块以具有远程直接内存访问等功能的部分RDMA) 与实际性能增益一起工作。
多路径文件系统
多协议文件系统(MPFS ) 是一种多路径网络文件系统,由EMC公司。 MPFS 旨在允许成百上千的客户端计算机节点以比传统更高的性能访问共享计算机数据NAS文件共享协议,例如NFS.MPFS由客户端系统上的代理和兼容的NAS存储系统。 客户端代理为所请求的文件拆分数据和元数据。 这是使用一个FMP(文件映射协议)。 对数据及其位置的请求通过传统方式发送NFS到NAS系统。 块数据通过 iSCSI 或光纤通道直接从存储设备发送和检索。 直接从存储设备检索数据通过消除与存储设备相关的文件系统和协议开销来提高性能NFS或者SMB.
Cause
这如何影响威胁
FirewallSMB支持现在包括 SMBv3(3.0、3.0.2 和 3.1.1),并在所有版本中具有额外的威胁检测和文件识别功能、性能和可靠性SMB. 这些改进为数据中心部署、网段和内部网络等网络提供了额外的安全层,允许使用SMB转发给WildFire进行分析。 由于 SMBv3 多通道拆分文件的方式,客户应禁用多通道文件传输以最大程度地保护和检查文件. 因此,Palo Alto Networks 建议禁用SMB通过 Windows PowerShell 的多通道。
有关此任务的更多信息,请参阅以下文档:
使用 SMBv3 多通道可能会导致误报检测,因为firewall不会将多个流视为一个文件,但它会看到正在传输的多个文件。 这可能会导致签名在随机文件上触发,甚至在读取目录时触发。 这些 FP 极难在实验室中复制。 许多客户并未使用严格的 Windows 环境。 有许多使用 SMBV3 的非 Windows 应用程序和设备仍然会产生问题。
Resolution
该怎么办
您可以使用以下步骤来验证您正在使用SMB多渠道。
步骤 1:验证网络适配器配置
使用以下 PowerShell cmdlet 验证您是否拥有多个 NIC 和/或验证RSS和RDMANIC 的能力。 运行在SMB服务器和SMB客户。
- 获取 NetAdapter
- 获取 NetAdapterRSS
- 获取 NetAdapterRDMA
- 获取 NetAdapterHardwareInfo
第 2 步:验证SMB配置
使用以下 PowerShell cmdlet 确保SMB启用多通道并确认 NIC 已被正确识别SMB而他们的RSS和RDMA正在正确识别能力。
在SMB客户,运行以下 PowerShell cmdlet:
- 获取 SmbClientConfiguration |选择启用多通道
- 获取 SmbClientNetworkInterface
- 获取 SmbServerConfiguration |选择启用多通道
- 获取 SmbServerNetworkInterface
第 3 步:验证SMB联系
在SMB客户端,启动长时间运行的文件副本以创建与客户端的持久会话SMB服务器。 在复制过程中,打开 PowerShell 窗口并运行以下 cmdlet 以验证连接使用的是正确版本的SMB然后SMB多通道正在工作:
- 获取 SmbConnection
- 获取 SmbMultichannelConnection
- 获取 SmbMultichannelConnection-IncludeNotSelected
安装中
SMB默认情况下启用多通道。 无需安装组件、角色、角色服务或功能。 这SMB如果识别出正确的配置,客户端将自动检测并使用多个网络连接。
停用
SMB默认情况下启用多通道。禁用SMB多通道您可以使用以下 PowerShell cmdlet。
在SMB服务器端,使用以下 cmdlet:
- 设置 SmbServerConfiguration -EnableMultiChannel $false
- 设置 SmbClientConfiguration -EnableMultiChannel $false
重新启用
您可以重新启用SMB使用下面的 cmdlet 禁用它后的多通道。
在SMB服务器端,使用以下 cmdlet:
- 设置 SmbServerConfiguration -EnableMultiChannel $true
- 设置 SmbClientConfiguration -EnableMultiChannel $true
Additional Information
列表SMB客户端和服务器
有关支持的产品的完整列表SMB, 包括SMB客户,SMB服务器,以及扩展的协议列表SMB, 请访问维基百科页面https://en.wikipedia.org/wiki/List_of_products_that_support_SMB .