SMB ABE访问控制

背景信息

ABE（Access-based enumeration）是SMB协议和Windows文件共享服务中的一项特性，它允许在共享资源上实现更精细的访问控制。

在没有启用ABE的情况下，当用户浏览一个网络共享时，即使用户没有权限对某个文件或文件夹进行操作，该文件或文件夹对用户依然默认可见。这可能会造成权限过大或不足，增加未授权访问的风险，从而导致数据泄露、数据篡改风险。

当启用ABE后，用户在浏览共享资源时，只能看到有权限访问的文件和文件夹。对于没有访问权限的内容，即使这些内容存在于共享中，也无法看到。这样可以增加数据的安全性与可用性，有效隔离数据，防止数据泄露和篡改风险。

工作原理

在文件系统层过滤文件和文件夹的枚举，确保只有具有相应NTFS权限的用户才能看到对应的资源。这种方式可以在不牺牲性能的情况下提供更细粒度的访问控制。

前提条件

已在Windows客户端中以AD域用户身份挂载SMB文件系统。

开启ABE功能

1. 登录NAS控制台。

2. 在左侧导航栏，选择文件系统 > 文件系统列表。

3. 在页面左侧顶部，选择目标文件系统所在的资源组和地域。

   

4. 找到目标文件系统，单击文件系统ID或者单击管理。

5. 单击访问控制，在SMB ABE区域，单击未开启，启用ABE功能。

验证ABE生效示例

本文以域环境下主机访问SMB协议文件系统共享为例进行说明。

1. 为目标SMB协议文件系统开启ABE功能。具体操作，请参见开启ABE功能。

2. 登录已部署AD域（例如，smbmock60.com）并挂载SMB文件系统的Windows客户端。

3. 进入SMB协议文件系统，创建共享文件alice-only.txt和文件夹everyone。

   

4. 设置alice-only.txt文件访问权限。

   设置域用户alice对alice-only.txt文件具有完整的读权限、域用户sam对alice-only.txt文件不具有读权限为例进行配置。

   重要

   同时需要移除Everyone用户的默认权限Full Control。否则，所有用户仍将具有Full Control权限，即仍可以看到该文件。

   • 域用户alice

     

   • 域用户sam

     

5. 设置everyone文件夹访问权限。

   设置Everyone用户对everyone文件夹具有可读写权限，即所有用户都可见。

   

6. 分别以域用户alice和域用户sam访问和查看共享路径下的文件。

   • 域用户alice

     1. 以smbmock60\alice身份挂载SMB协议文件系统。

        net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:SMBMOCK60.com\alice <Password>

        其中，nas-mount-target.nas.aliyuncs.com请替换为实际NAS挂载点地址；<Password>替换为alice用户登录密码。

     2. 查看共享路径下的文件，此时可查看到alice-only.txt文件和everyone文件夹。

        

   • 域用户sam

     1. 以smbmock60\sam身份挂载SMB协议文件系统。

        net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:SMBMOCK60.com\sam <Password>

        其中，nas-mount-target.nas.aliyuncs.com请替换为实际NAS挂载点地址；<Password>替换为sam用户登录密码。

     2. 查看共享路径下的文件，此时仅可查看到everyone文件夹。

        

   从结果可以看到，域用户alice能看见共享目录里的alice-only.txt文件和everyone文件夹，而域用户sam无法看见共享目录里的alice-only.txt文件，仅可查看到everyone文件夹，从而验证了SMB协议文件系统的ABE功能配置生效。