我有一台 Windows(8 消费者预览版)PC 和一台 Macbook(OS X Lion)。有时,我想暂停一个项目,将 Windows PC 留在房间,连接到大学的内部网,然后在其他地方(校园内)使用相同的文件继续工作,我不想携带 USB/上传到 FTP/等待 Dropbox 同步大文件等麻烦,所以我只想通过网络直接访问我的项目文件。但是,我担心这种方法的安全性。我已将共享设置设置为我的工作区目录,例如:我自己的帐户(我用来登录 PC 的帐户)对文件具有完全访问权限,并且我已从 Everyone“用户”中删除所有权限(包括列表目录和读取)。我可以使用我的 PC 凭据通过网络成功通过 SMB 连接到我的 PC,并且它运行正常,但我的数据(包括我的文件和我的凭据)是否安全,不会被窃听。网络完全不安全(不安全的常规 WiFi,就像在咖啡店一样),我需要依赖更高层次的安全性。有吗?如果没有,还有其他选择吗(考虑到我之前的要求)?
谢谢,Can。
答案1
不,LM 和 NTLM 算法已经被破解多次。只有 NTLMv2(如果服务器强制使用)对临时嗅探器有一定的抵抗力,但它很容易被破坏通过暴力攻击。只有 Kerberos(用于 Active Directory 域)足够强大,但它需要额外的基础设施,而您通常没有。
但是,无论使用哪种身份验证方法,SMB 协议不支持加密并将传输您的文件纯文本,因此不建议在公共互联网上使用,除非通过 VPN。
编辑(2023):SMBv3 支持加密 – 适用于一切除了身份验证握手 – 因此,如果您使用 SMBv3使用 Kerberos并且服务器已将加密设置为强制加密,那么一切正常。但是,它仍然无法保护 NTLM。(如果 SMB-over-QUIC 不是 Azure 独有的功能,那么它会在这里有所帮助。)
另一种选择是 SFTP,即 SSH 文件传输协议。Windows 有多种 SSH 服务器(我更喜欢 Bitvise WinSSHd),Windows(WinSCP)和 OS X 都有许多 SFTP 客户端(如果我没记错的话,有 Transmit、Cyberduck、OSXFUSE)。