Verificatie van Microsoft SMB-protocol

Het beveiligingsmodel dat in Microsoft SMB Protocol wordt gebruikt, is identiek aan het model dat wordt gebruikt door andere varianten van SMB en bestaat uit twee beveiligingsniveaus: gebruiker en share. Een share is een bestand, map of printer die toegankelijk is voor Microsoft SMB Protocol-clients.

Verificatie op gebruikersniveau geeft aan dat de client die probeert toegang te krijgen tot een share op een server, een gebruikersnaam en wachtwoord moet opgeven. Wanneer deze is geverifieerd, heeft de gebruiker vervolgens toegang tot alle shares op een server die niet ook wordt beveiligd door beveiliging op shareniveau. Met dit beveiligingsniveau kunnen systeembeheerders specifiek bepalen welke gebruikers en groepen toegang hebben tot een share.

Verificatie op shareniveau geeft aan dat de toegang tot een share wordt beheerd door een wachtwoord dat alleen aan die share is toegewezen. In tegenstelling tot beveiliging op gebruikersniveau is voor dit beveiligingsniveau geen gebruikersnaam vereist voor verificatie en is er geen gebruikersidentiteit tot stand gebracht.

Onder beide beveiligingsniveaus wordt het wachtwoord versleuteld voordat het naar de server wordt verzonden. NTLM- en de oudere LM-versleuteling (LAN Manager) worden ondersteund door Microsoft SMB Protocol. Beide versleutelingsmethoden maken gebruik van verificatie met een vraag-antwoord, waarbij de server de client een willekeurige tekenreeks verzendt en de client een berekende antwoordtekenreeks retourneert die bewijst dat de client voldoende referenties heeft voor toegang.