Indledning
Konceptet med et netværk af computere er ikke nyt eller revolutionerende. Servere, der typisk opbevares i aflåste rum, lagrer virksomhedens ressourcer (mapper, filer, dokumenter, regneark osv.). Disse servere er låst bag lukkede døre, så den eneste adgang, som medarbejderne har til ressourcerne, er via netværket. Et af sikkerhedsniveauerne til beskyttelse af ressourcerne er altså den fysiske sikkerhed, der opnås ved ikke at give medarbejderne direkte adgang til den hardware, som ressourcen er placeret på.
For at medarbejderne kan få adgang til de ressourcer, der er lagret på serverne, skal serveren være konfigureret til at tillade medarbejderne at få adgang til ressourcerne via netværket. I et Windows-miljø sker dette via delte mapper. Når en mappe deles, bliver den tilgængelig over netværket, så alle brugere på netværket kan se navnet på den delte mappe, som vist i figur 1.
Figur 1: Liste over delte mapper, der er tilgængelige på en server over netværket
For at beskytte de ressourcer, der gøres tilgængelige via delte mapper, skal administratorer konfigurere “tilladelser” for de mapper og filer, der gøres tilgængelige over netværket. Der er to typer tilladelser, der kan konfigureres for delte mapper: deling og NTFS. Vi vil fokusere på delingstilladelser og diskutere nogle faldgruber, der kan opstå, når du bruger dem, samt nogle anbefalede metoder til at konfigurere tilladelser til delte mapper med succes.
En fortælling om to tilladelser
For at sikre mig, at jeg er tydelig i min beskrivelse af de tilladelser, der er tilgængelige på en delt mappe, ville jeg starte med at beskrive de to forskellige tilladelser, der kan konfigureres på hver delt mappe. De to tilladelser er: share og NTFS.
NTFS-tilladelser er en egenskab ved den mappe eller fil, som de er konfigureret for. NTFS-tilladelserne omfatter både standard- og særlige indstillingsniveauer. Standardindstillingerne er kombinationer af de specielle tilladelser, hvilket gør konfigurationen mere effektiv og lettere at etablere. Disse tilladelser omfatter følgende, som vist i figur 2:
- Fuld kontrol
- Modificere
- Læse & Udføre
- Liste over mappeindhold
- Læse
- Skrivning
Figur 2: NTFS-standardtilladelser til en mappe
Der findes 14 særlige tilladelser til mapper, som omfatter detaljeret kontrol over oprettelse, ændring, læsning og sletning af undermapper og filer, der er indeholdt i den mappe, hvor tilladelserne er oprettet.
NTFS-tilladelser er knyttet til objektet, så tilladelserne er altid forbundet med objektet under en omdøbning, flytning eller arkivering af objektet.
Delingstilladelser er kun knyttet til den mappe, der deles. Hvis der f.eks. er 5 undermapper under den mappe, der deles, er det kun den oprindelige delte mappe, der kan have delingstilladelser konfigureret for den. NTFS-tilladelser kan oprettes for alle filer og mapper i datalagringsstrukturen, også selv om en mappe ikke er delt.
Delingstilladelser konfigureres på fanen Deling for den delte mappe. På denne fane har du en knap Tilladelser, som eksponerer delingstilladelserne, når den er valgt, som vist i figur 3.
Figur 3: Delingstilladelser på en delt mappe
Som du kan se, er standardlisten med muligheder for delingstilladelser ikke så robust som NTFS-tilladelser. Delingstilladelserne giver kun fuld kontrol, ændring og læsning. Der er ingen særlige tilladelser til rådighed for delingstilladelser, så standardtilladelserne er så granulære, som du kan gå for dette sæt adgangskontrol.
Delingstilladelserne er ikke en del af mappen eller filen, så når delingsnavnet ændres, mappen flyttes, eller der tages sikkerhedskopiering af mappen, medtages delingstilladelserne ikke. Dette giver en skrøbelig kontrol af delingstilladelserne, hvis mappen ændres.
Historiske delingstilladelser
Microsoft har historisk set konfigureret alle nye delte mapper med meget åbne delingstilladelser. Standardtilladelserne til delinger i Windows NT, Windows 2000 (Server og Professional) og Windows XP (før Service Pack 1) er, at gruppen Alle har adgang til fuld kontrol.
Dette kan virke usikkert med fuld kontroladgang, men når NTFS-tilladelserne kombineres med delingstilladelserne, er det den mest sikre af de to tilladelser, der styrer adgangen til ressourcen.
Når delingstilladelser tidligere er blevet ændret fra Alle har fuld kontrol, kan det give flere problemer, end det er værd. Når en virksomhed f.eks. typisk ikke bruger delingstilladelser, kan det tage en længere cyklus at rette adgangen til ressourcer, når de bruges. Når delingstilladelser er konfigureret forkert på en delt mappe, er delingstilladelserne ikke den oprindelige konfiguration, der skal kontrolleres. I de fleste tilfælde har jeg fundet ud af, at det kan tage timer, før delingstilladelserne bliver undersøgt. Under fejlfindingsprocedurerne kan brugere tilføjes til “admin”-grupper, gives forhøjede brugerrettigheder og tilføjes direkte til ressourcens ACL. Når delingstilladelserne endelig er undersøgt og rettet, kan det være svært at huske alle de andre konfigurationer, der er blevet foretaget i et forsøg på at rette brugernes adgang til ressourcen. Dette efterlader naturligvis ressourcen og det samlede netværk i en usikker tilstand, alt sammen på grund af forkert konfigurerede delingstilladelser.
Nye delingstilladelser
Med al den forvirring, som de gamle delingstilladelser kunne skabe, besluttede Microsoft at ændre reglerne for standarddelingstilladelser med udgivelsen af Windows XP Service Pack 1. I alle operativsystemer efter denne servicepakkeudgivelse (herunder Windows Server 2003) er de nye standardtilladelser for alle nye delte mapper Alle har kun læseadgang, som vist i figur 3.
Dette synes at være en god sikkerhedsindstilling, indtil du overvejer, hvor mange ressourcer på dit netværk der rent faktisk kan have “skrivebeskyttet” adgang for alle. Der er ikke mange, hvilket skyldes, at brugerne har brug for at ændre og ændre indholdet af de fleste ressourcer for at være produktive.
I næsten alle tilfælde skal delingstilladelserne ændres fra læseadgang. Dette sætter administratoren op til at konfigurere detaljerede delingstilladelser, hvilket kan forårsage de problemer, som vi diskuterede før med hensyn til fejlfinding af ressourceadgang med de gamle delingstilladelser, der er ændret. Når delingstilladelserne ændres som standard, har jeg fundet ud af, at mange administratorer ikke længere føler, at de har behov for at konfigurere NTFS-tilladelser, da de stoler på, at delingstilladelserne beskytter ressourcen. Dette er en grov fejl og efterlader netværket og ressourcerne i en meget sårbar tilstand. Delingstilladelser er kun gyldige, når der er adgang til ressourcen via netværket, men ikke når der er adgang til den lokalt, ved hjælp af Terminal Services osv. Husk også, at delingstilladelser ikke sikkerhedskopieres sammen med ressourcen, så alle sikkerhedskopierede filer er også sårbare, uden at der er nogen tilladelser, der beskytter dem.
Bedste praksis for delingstilladelser
Som bedste praksis er det mest effektivt at konfigurere delingstilladelser med autentificerede brugere, der har adgang til fuld kontrol. Derefter skal NTFS-tilladelserne konfigurere hver gruppe med standardtilladelser. Dette giver fremragende sikkerhed for lokal- og netværksadgang til ressourcen. Det giver også en fremragende beskyttelse af ressourcen, når der tages backup af den, og når ressourcenavnet ændres eller flyttes. Som jeg sagde tidligere, vil NTFS-tilladelserne beskytte ressourcen, selv om delingstilladelserne er indstillet til adgang med fuld kontrol.
Summary
Delingstilladelser er ikke i sig selv dårlige, men der er mange måder at bruge dem forkert på. Hvis dokumentationen og det administrative personale er meget kyndige, kan delingstilladelser bruges sammen med NTFS-tilladelser til yderligere at låse og sikre netværksressourcerne. Men hvis der er lidt dokumentation og stor udskiftning blandt it-medarbejderne, er det en god praksis ikke at bruge delingstilladelser og overlade sikkerheden af netværksressourcerne til NTFS-tilladelserne. Selv om Microsoft har ændret delingstilladelserne til at være Læse for gruppen Alle, er dette ikke udtryk for en løsning i den virkelige verden. Det er blot Microsofts bedste forsøg på at øge sikkerheden på netværksressourcerne, hvilket desværre ikke er et særlig godt forsøg.