![SMB 是否足够安全,可以通过不受信任的网络使用我的凭据进行远程访问?](https://linux22.com/image/1318433/SMB%20%E6%98%AF%E5%90%A6%E8%B6%B3%E5%A4%9F%E5%AE%89%E5%85%A8%EF%BC%8C%E5%8F%AF%E4%BB%A5%E9%80%9A%E8%BF%87%E4%B8%8D%E5%8F%97%E4%BF%A1%E4%BB%BB%E7%9A%84%E7%BD%91%E7%BB%9C%E4%BD%BF%E7%94%A8%E6%88%91%E7%9A%84%E5%87%AD%E6%8D%AE%E8%BF%9B%E8%A1%8C%E8%BF%9C%E7%A8%8B%E8%AE%BF%E9%97%AE%EF%BC%9F.png)
我有一台 Windows(8 消费者预览版)PC 和一台 Macbook(OS X Lion)。有时,我想暂停一个项目,将 Windows PC 留在房间,连接到大学的内部网,然后在其他地方(校园内)使用相同的文件继续工作,我不想携带 USB/上传到 FTP/等待 Dropbox 同步大文件等麻烦,所以我只想通过网络直接访问我的项目文件。但是,我担心这种方法的安全性。我已将共享设置设置为我的工作区目录,例如:我自己的帐户(我用来登录 PC 的帐户)对文件具有完全访问权限,并且我已从 Everyone“用户”中删除所有权限(包括列表目录和读取)。我可以使用我的 PC 凭据通过网络成功通过 SMB 连接到我的 PC,并且它运行正常,但我的数据(包括我的文件和我的凭据)是否安全,不会被窃听。网络完全不安全(不安全的常规 WiFi,就像在咖啡店一样),我需要依赖更高层次的安全性。有吗?如果没有,还有其他选择吗(考虑到我之前的要求)?
谢谢,Can。
答案1
不,LM 和 NTLM 算法已经被破解多次。只有 NTLMv2(如果服务器强制使用)对临时嗅探器有一定的抵抗力,但它很容易被破坏通过暴力攻击。只有 Kerberos(用于 Active Directory 域)足够强大,但它需要额外的基础设施,而您通常没有。
但是,无论使用哪种身份验证方法,SMB 协议不支持加密并将传输您的文件纯文本,因此不建议在公共互联网上使用,除非通过 VPN。
编辑(2023):SMBv3 支持加密 – 适用于一切除了身份验证握手 – 因此,如果您使用 SMBv3使用 Kerberos并且服务器已将加密设置为强制加密,那么一切正常。但是,它仍然无法保护 NTLM。(如果 SMB-over-QUIC 不是 Azure 独有的功能,那么它会在这里有所帮助。)
另一种选择是 SFTP,即 SSH 文件传输协议。Windows 有多种 SSH 服务器(我更喜欢 Bitvise WinSSHd),Windows(WinSCP)和 OS X 都有许多 SFTP 客户端(如果我没记错的话,有 Transmit、Cyberduck、OSXFUSE)。