2017年，与IT安全相关的头条新闻引发了人们对更好地保护业务数据的担忧。重点已从方便转向更好的安全性。

因此，spark大数据，SAP修订了其在IBM i平台上安装的建议，并在本文档中总结了结果。一般来说，我们不再建议通过NetServer共享ibmi主机的根目录。

过去，标准的SAP NetWeaver安装过程包括创建服务器消息块（SMB）share ROOTBIN，51返利，导出ibmi主机的主文件系统目录。这些共享可以用于将SAP安装介质从典型的Windows工作站传输到IBMi文件系统。此外，软件供应管理器的日志文件可以通过网络路径而不是基于文本的5250 Telnet会话在Windows机器上打开和分析。

虽然所描述的过程非常灵活，在许多使用场景中提供了方便，但在安全性方面有一个显著的缺点。一旦在Windows机器上映射了ROOTBIN共享并建立了读/写连接，就可以跨ibmi主机的整个文件系统读取文件，并修改甚至删除它们（取决于用于SMB连接的用户帐户的访问权限）。在这种情况下，有两个主要的风险是可以识别的：

由于Windows工作站上的错误（意外地拖动文件、错误地键入批处理命令等）导致的文件、库或其他IBM i对象的意外删除或修改恶意删除、修改或窃取IBM i系统上的数据，这是由Windows工作站的恶意软件感染引起的。

2017年5月臭名昭著的WannaCry勒索软件攻击是众多例子之一，强调了在发生安全漏洞时保护关键数据和限制潜在损害的重要性。

防止意外伤害或者恶意数据丢失、损坏或盗窃在上述场景中，我们不再建议在安装或运行SAP时在IBMi主机上创建ROOTBIN共享。相反，传输安装介质时，应使用以下替代方法：

一种可能的替代方法是为目录"/tmp/SAP"创建压缩的SMB共享TMPSAP，如更新的SAP安装文档中所述。TMPSAP可以安全地用于在Windows和IBM i之间传输文件，而无需任何更改不必要地将整个ibmi文件系统暴露在Windows下，从而避免了上述风险。传输安装介质的另一种可能性是使用其他网络协议，如SSH（与scp或rsync等实用程序结合使用）或SFTP（SSL连接上的文件传输协议）。另一种可能是使用物理光学介质并离线复制安装文件。

SMB网络共享也用于带有其他Windows应用程序服务器的分布式场景。在这种情况下，标准的SAP建议仍然有效：其他Windows应用程序服务器只需要访问ibmi的以下目录："/usr/SAP/"。不需要暴露ibmi端的根目录。

上面提到的WannaCry勒索软件利用了服务器消息块版本1（SMBv1）协议中的安全漏洞。被配置为允许SMBv1进行通信的受恶意软件感染的计算机。微软提供了一个软件更新关闭了这个安全漏洞。但是，攻击之后，Windows中的默认设置发生了更改。SMBv1现在默认禁用，除非显式启用，否则无法使用。无法再通过SMBv1将Windows客户端连接到IBM i SMB共享。有关SMBv1协议中描述的安全漏洞的详细信息，请参阅Microsoft安全公告MS17-010，网址为https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

IBM i版本7.1之前的SMB支持仅限于SMBv1。IBMI7.2要求PTFSMF63692、MF63693、MF63694和SI64984也支持SMBv2。ibmi7.3从最初的发布开始就支持SMBv2，人工智能可以做什么，但是我们也建议为ibmi7.3安装MF63136。有关IBM i对SMBv2支持的更多详细信息，请访问https://www.ibm.com/support/docview.wss？uid=nas8N1022198。如果您仍在使用ibmi7.1，我们强烈建议您升级到ibm7.2或7.3并安装上述PTFs。如果您现在无法升级到更高的版本，并且考虑到使用易受攻击的SMBv1协议的风险是可以接受的，您可以在Windows计算机上重新启用SMBv1，大数据培训班哪个好，品高云，如Microsoft支持文档中所述https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows.