Engedélyek megosztása

Bevezetés

A számítógépek hálózatának fogalma nem új vagy forradalmi. A szerverek, amelyeket általában zárt helyiségekben tartanak, a vállalati erőforrásokat (mappák, fájlok, dokumentumok, táblázatok stb.) tárolják. Ezeket a szervereket zárt ajtók mögé zárják, így az alkalmazottak csak a hálózaton keresztül férhetnek hozzá az erőforrásokhoz. Az erőforrás védelmének egyik biztonsági szintje tehát a fizikai biztonság, amelyet az nyújt, hogy az alkalmazottak nem férhetnek hozzá közvetlenül ahhoz a hardverhez, amelyen az erőforrás található.

Hogy az alkalmazottak hozzáférhessenek a szervereken tárolt erőforrásokhoz, a szervert úgy kell konfigurálni, hogy az alkalmazottak a hálózaton keresztül hozzáférhessenek az erőforrásokhoz. Windows környezetben ez a megosztott mappákon keresztül történik. Amikor egy mappa megosztásra kerül, elérhetővé válik a hálózaton keresztül, így a hálózat összes felhasználója láthatja a megosztott mappa nevét, ahogy az az 1. ábrán látható.

1. ábra: A hálózaton keresztül elérhető megosztott mappák listája egy szerveren

A megosztott mappákon keresztül elérhetővé tett erőforrások védelme érdekében a rendszergazdáknak “engedélyeket” kell konfigurálniuk a hálózaton keresztül elérhetővé tett mappákra és fájlokra. A megosztott mappákhoz kétféle engedélyt lehet beállítani: a megosztás és az NTFS. A következőkben a megosztási engedélyekre fogunk összpontosítani, kitérve néhány buktatóra, amelyek használatuk során felmerülnek, valamint néhány ajánlott módszerre a megosztott mappák engedélyeinek sikeres konfigurálásához.

A Tale of Two Permissions

Azért, hogy a megosztott mappákon elérhető engedélyekről szóló leírásom egyértelmű legyen, először is szeretném ismertetni az egyes megosztott mappákon konfigurálható két különböző engedélyt. A két jogosultság a következő: megosztás és NTFS.

Az NTFS-engedélyek annak a mappának vagy fájlnak az attribútumai, amelyhez be vannak állítva. Az NTFS-jogosultságok standard és speciális szintű beállításokat is tartalmaznak. A standard beállítások a speciális engedélyek kombinációi, így a konfiguráció hatékonyabb és könnyebben létrehozható. Ezek a jogosultságok a következőket tartalmazzák, amint az a 2. ábrán látható:

  • Teljes irányítás
  • Módosítás
  • Read & Execute
  • List Folder Contents
  • Read
  • Write

2. ábra: NTFS szabványos jogosultságok egy mappához

A mappákhoz 14 speciális jogosultság tartozik, amelyek részletesen szabályozzák az almappák és az abban a mappában található fájlok létrehozását, módosítását, olvasását és törlését, ahol a jogosultságokat létrehozták.

Az NTFS-jogosultságok az objektumhoz kapcsolódnak, így az objektum átnevezése, áthelyezése vagy archiválása során a jogosultságok mindig az objektumhoz kapcsolódnak.

A megosztási engedélyek csak a megosztott mappához kapcsolódnak. Ha például a megosztott mappa alatt 5 almappa található, akkor csak a kezdeti megosztott mappához lehet megosztási engedélyeket beállítani. Az NTFS-jogosultságok az adattárolási struktúrán belül minden fájlra és mappára beállíthatók, még akkor is, ha egy mappa nem megosztott.

A megosztási engedélyek beállítása a megosztott mappa Megosztás lapján történik. Ezen a lapon található az Engedélyek gomb, amelynek kiválasztásakor láthatóvá válnak a megosztási engedélyek, amint az a 3. ábrán látható.

3. ábra: Megosztott mappa megosztási engedélyei

Amint látható, a megosztási engedélyek standard opciós listája nem olyan robusztus, mint az NTFS engedélyeké. A megosztási engedélyek csak a Teljes ellenőrzés, a Módosítás és az Olvasás lehetőséget biztosítják. A megosztási engedélyekhez nem állnak rendelkezésre speciális engedélyek, így a szabványos engedélyek a lehető legrészletesebbek a hozzáférés-szabályozás ezen készletéhez.

A megosztási engedélyek nem részei a mappának vagy fájlnak, így a megosztás nevének megváltoztatásakor, a mappa áthelyezésekor vagy a mappa biztonsági mentésekor a megosztási engedélyek nem kerülnek bele. Ez a megosztási engedélyek törékeny ellenőrzését teszi lehetővé, ha a mappát módosítják.

Historikus megosztási engedélyek

A Microsoft történelmileg minden új megosztott mappát nagyon nyitott megosztási engedélyekkel konfigurált. A Windows NT, a Windows 2000 (Server és Professional) és a Windows XP (Service Pack 1 előtti) alapértelmezett megosztási jogosultságai szerint a Mindenki csoportnak teljes körű hozzáférése van.

Ez a Full Control hozzáféréssel nem tűnik biztonságosnak, de ha az NTFS-jogosultságokat kombináljuk a megosztási jogosultságokkal, akkor a két jogosultság közül a legbiztonságosabb szabályozza az erőforráshoz való hozzáférést.

A múltban, amikor a megosztási jogosultságok megváltoztatásával a Mindenki teljes hozzáférési jogosultságot kap, az több problémát okozhat, mint amennyit érdemes. Például, ha egy vállalat jellemzően nem használja a megosztási engedélyeket, akkor hosszabb ciklusba telhet az erőforrásokhoz való hozzáférés rögzítése, ha azokat használják. Ha a megosztási engedélyek helytelenül vannak beállítva egy megosztott mappán, a megosztási engedélyek nem a kezdeti konfiguráció, amelyet ellenőrizni kell. A legtöbb esetben azt tapasztaltam, hogy órákig is eltarthat, mire a megosztási engedélyek vizsgálata megtörténik. A hibaelhárítási eljárások során a felhasználókat hozzá lehet adni az “admin” csoportokhoz, emelt szintű felhasználói jogokkal lehet ellátni, és közvetlenül hozzá lehet adni az erőforrás ACL-jéhez. Amikor a megosztási jogosultságokat végül kivizsgálják és javítják, nehéz lehet emlékezni az összes többi beállításra, amelyet a felhasználók erőforráshoz való hozzáférésének javítása érdekében végeztek. Ez természetesen az erőforrást és a teljes hálózatot bizonytalan állapotban hagyja, mindezt a helytelenül konfigurált megosztási engedélyek miatt.

Új megosztási engedélyek

A régi megosztási engedélyek okozta zavarok miatt a Microsoft úgy döntött, hogy a Windows XP Service Pack 1 kiadásával megváltoztatja az alapértelmezett megosztási engedélyek szabályait. E szervizcsomag kiadása után minden operációs rendszernél (beleértve a Windows Server 2003-at is) az összes új megosztott mappa új alapértelmezett jogosultsága a Mindenki csak olvasási hozzáféréssel rendelkezik, amint az a 3. ábrán látható.

Ez jó biztonsági beállításnak tűnik, egészen addig, amíg meg nem gondoljuk, hogy a hálózaton valójában hány erőforráshoz lehet “csak olvasási” hozzáférése mindenkinek. Nem sok van, mivel a felhasználóknak a legtöbb erőforrás tartalmát módosítaniuk és megváltoztatniuk kell ahhoz, hogy produktívak legyenek.

Szinte minden esetben a megosztási jogosultságokat olvasási hozzáférésről meg kell változtatni. Ezáltal a rendszergazdának részletes megosztási engedélyeket kell beállítania, ami a korábban tárgyalt problémákat okozhatja az erőforrás-hozzáférés hibaelhárításával kapcsolatban a régi megosztási engedélyek módosításával kapcsolatban. Mivel a megosztási engedélyek alapértelmezés szerint módosulnak, azt tapasztaltam, hogy sok rendszergazda nem érzi úgy, hogy többé szüksége lenne az NTFS-engedélyek konfigurálására, mivel az erőforrás védelmét a megosztási engedélyekre bízza. Ez durva hiba, és nagyon sebezhető állapotban hagyja a hálózatot és az erőforrásokat. A megosztási engedélyek csak akkor érvényesek, amikor az erőforrást a hálózaton keresztül érik el, de nem akkor, amikor helyben, Terminálszolgáltatások stb. segítségével érik el. Ne feledje azt sem, hogy a megosztási engedélyek nem kerülnek mentésre az erőforrással együtt, így a mentett fájlok is sebezhetőek, mivel nem védi őket semmilyen engedély.

A megosztási engedélyek legjobb gyakorlata

A legjobb gyakorlat szerint a leghatékonyabb a megosztási engedélyeket úgy konfigurálni, hogy a hitelesített felhasználóknak teljes hozzáférésük legyen. Ezután az NTFS-jogosultságoknál minden csoportot szabványos jogosultságokkal kell beállítani. Ez kiváló biztonságot nyújt az erőforrás helyi és hálózati eléréséhez. Emellett kiváló védelmet nyújt az erőforrásnak a biztonsági mentés, valamint az erőforrás nevének megváltoztatása vagy áthelyezése esetén is. Mint korábban említettem, az NTFS-engedélyek akkor is védik az erőforrást, ha a megosztási engedélyek teljes hozzáférésűre vannak beállítva.

Összefoglaló

A megosztási engedélyek nem eleve rosszak, de sokféleképpen lehet helytelenül használni őket. Ha a dokumentáció és a rendszergazdák nagyon hozzáértőek, a megosztási engedélyek az NTFS-engedélyekkel együtt használhatók a hálózati erőforrások további lezárására és biztosítására. Ha azonban kevés a dokumentáció és nagy a fluktuáció az informatikai személyzetben, akkor a legjobb gyakorlat, ha nem használjuk a megosztási engedélyeket, és a hálózati erőforrások biztonságát az NTFS-engedélyekre bízzuk. Annak ellenére, hogy a Microsoft megváltoztatta a megosztási engedélyeket a Mindenki csoport számára olvasásra, ez nem jelent valós megoldást. Ez csak a Microsoft legjobb próbálkozása a hálózati erőforrások biztonságának növelésére, ami sajnos nem túl jó próbálkozás.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.