Bevezetés
A számítógépek hálózatának fogalma nem új vagy forradalmi. A szerverek, amelyeket általában zárt helyiségekben tartanak, a vállalati erőforrásokat (mappák, fájlok, dokumentumok, táblázatok stb.) tárolják. Ezeket a szervereket zárt ajtók mögé zárják, így az alkalmazottak csak a hálózaton keresztül férhetnek hozzá az erőforrásokhoz. Az erőforrás védelmének egyik biztonsági szintje tehát a fizikai biztonság, amelyet az nyújt, hogy az alkalmazottak nem férhetnek hozzá közvetlenül ahhoz a hardverhez, amelyen az erőforrás található.
Hogy az alkalmazottak hozzáférhessenek a szervereken tárolt erőforrásokhoz, a szervert úgy kell konfigurálni, hogy az alkalmazottak a hálózaton keresztül hozzáférhessenek az erőforrásokhoz. Windows környezetben ez a megosztott mappákon keresztül történik. Amikor egy mappa megosztásra kerül, elérhetővé válik a hálózaton keresztül, így a hálózat összes felhasználója láthatja a megosztott mappa nevét, ahogy az az 1. ábrán látható.
1. ábra: A hálózaton keresztül elérhető megosztott mappák listája egy szerveren
A megosztott mappákon keresztül elérhetővé tett erőforrások védelme érdekében a rendszergazdáknak “engedélyeket” kell konfigurálniuk a hálózaton keresztül elérhetővé tett mappákra és fájlokra. A megosztott mappákhoz kétféle engedélyt lehet beállítani: a megosztás és az NTFS. A következőkben a megosztási engedélyekre fogunk összpontosítani, kitérve néhány buktatóra, amelyek használatuk során felmerülnek, valamint néhány ajánlott módszerre a megosztott mappák engedélyeinek sikeres konfigurálásához.
A Tale of Two Permissions
Azért, hogy a megosztott mappákon elérhető engedélyekről szóló leírásom egyértelmű legyen, először is szeretném ismertetni az egyes megosztott mappákon konfigurálható két különböző engedélyt. A két jogosultság a következő: megosztás és NTFS.
Az NTFS-engedélyek annak a mappának vagy fájlnak az attribútumai, amelyhez be vannak állítva. Az NTFS-jogosultságok standard és speciális szintű beállításokat is tartalmaznak. A standard beállítások a speciális engedélyek kombinációi, így a konfiguráció hatékonyabb és könnyebben létrehozható. Ezek a jogosultságok a következőket tartalmazzák, amint az a 2. ábrán látható:
- Teljes irányítás
- Módosítás
- Read & Execute
- List Folder Contents
- Read
- Write
2. ábra: NTFS szabványos jogosultságok egy mappához
A mappákhoz 14 speciális jogosultság tartozik, amelyek részletesen szabályozzák az almappák és az abban a mappában található fájlok létrehozását, módosítását, olvasását és törlését, ahol a jogosultságokat létrehozták.
Az NTFS-jogosultságok az objektumhoz kapcsolódnak, így az objektum átnevezése, áthelyezése vagy archiválása során a jogosultságok mindig az objektumhoz kapcsolódnak.
A megosztási engedélyek csak a megosztott mappához kapcsolódnak. Ha például a megosztott mappa alatt 5 almappa található, akkor csak a kezdeti megosztott mappához lehet megosztási engedélyeket beállítani. Az NTFS-jogosultságok az adattárolási struktúrán belül minden fájlra és mappára beállíthatók, még akkor is, ha egy mappa nem megosztott.
A megosztási engedélyek beállítása a megosztott mappa Megosztás lapján történik. Ezen a lapon található az Engedélyek gomb, amelynek kiválasztásakor láthatóvá válnak a megosztási engedélyek, amint az a 3. ábrán látható.
3. ábra: Megosztott mappa megosztási engedélyei
Amint látható, a megosztási engedélyek standard opciós listája nem olyan robusztus, mint az NTFS engedélyeké. A megosztási engedélyek csak a Teljes ellenőrzés, a Módosítás és az Olvasás lehetőséget biztosítják. A megosztási engedélyekhez nem állnak rendelkezésre speciális engedélyek, így a szabványos engedélyek a lehető legrészletesebbek a hozzáférés-szabályozás ezen készletéhez.
A megosztási engedélyek nem részei a mappának vagy fájlnak, így a megosztás nevének megváltoztatásakor, a mappa áthelyezésekor vagy a mappa biztonsági mentésekor a megosztási engedélyek nem kerülnek bele. Ez a megosztási engedélyek törékeny ellenőrzését teszi lehetővé, ha a mappát módosítják.
Historikus megosztási engedélyek
A Microsoft történelmileg minden új megosztott mappát nagyon nyitott megosztási engedélyekkel konfigurált. A Windows NT, a Windows 2000 (Server és Professional) és a Windows XP (Service Pack 1 előtti) alapértelmezett megosztási jogosultságai szerint a Mindenki csoportnak teljes körű hozzáférése van.
Ez a Full Control hozzáféréssel nem tűnik biztonságosnak, de ha az NTFS-jogosultságokat kombináljuk a megosztási jogosultságokkal, akkor a két jogosultság közül a legbiztonságosabb szabályozza az erőforráshoz való hozzáférést.
A múltban, amikor a megosztási jogosultságok megváltoztatásával a Mindenki teljes hozzáférési jogosultságot kap, az több problémát okozhat, mint amennyit érdemes. Például, ha egy vállalat jellemzően nem használja a megosztási engedélyeket, akkor hosszabb ciklusba telhet az erőforrásokhoz való hozzáférés rögzítése, ha azokat használják. Ha a megosztási engedélyek helytelenül vannak beállítva egy megosztott mappán, a megosztási engedélyek nem a kezdeti konfiguráció, amelyet ellenőrizni kell. A legtöbb esetben azt tapasztaltam, hogy órákig is eltarthat, mire a megosztási engedélyek vizsgálata megtörténik. A hibaelhárítási eljárások során a felhasználókat hozzá lehet adni az “admin” csoportokhoz, emelt szintű felhasználói jogokkal lehet ellátni, és közvetlenül hozzá lehet adni az erőforrás ACL-jéhez. Amikor a megosztási jogosultságokat végül kivizsgálják és javítják, nehéz lehet emlékezni az összes többi beállításra, amelyet a felhasználók erőforráshoz való hozzáférésének javítása érdekében végeztek. Ez természetesen az erőforrást és a teljes hálózatot bizonytalan állapotban hagyja, mindezt a helytelenül konfigurált megosztási engedélyek miatt.
Új megosztási engedélyek
A régi megosztási engedélyek okozta zavarok miatt a Microsoft úgy döntött, hogy a Windows XP Service Pack 1 kiadásával megváltoztatja az alapértelmezett megosztási engedélyek szabályait. E szervizcsomag kiadása után minden operációs rendszernél (beleértve a Windows Server 2003-at is) az összes új megosztott mappa új alapértelmezett jogosultsága a Mindenki csak olvasási hozzáféréssel rendelkezik, amint az a 3. ábrán látható.
Ez jó biztonsági beállításnak tűnik, egészen addig, amíg meg nem gondoljuk, hogy a hálózaton valójában hány erőforráshoz lehet “csak olvasási” hozzáférése mindenkinek. Nem sok van, mivel a felhasználóknak a legtöbb erőforrás tartalmát módosítaniuk és megváltoztatniuk kell ahhoz, hogy produktívak legyenek.
Szinte minden esetben a megosztási jogosultságokat olvasási hozzáférésről meg kell változtatni. Ezáltal a rendszergazdának részletes megosztási engedélyeket kell beállítania, ami a korábban tárgyalt problémákat okozhatja az erőforrás-hozzáférés hibaelhárításával kapcsolatban a régi megosztási engedélyek módosításával kapcsolatban. Mivel a megosztási engedélyek alapértelmezés szerint módosulnak, azt tapasztaltam, hogy sok rendszergazda nem érzi úgy, hogy többé szüksége lenne az NTFS-engedélyek konfigurálására, mivel az erőforrás védelmét a megosztási engedélyekre bízza. Ez durva hiba, és nagyon sebezhető állapotban hagyja a hálózatot és az erőforrásokat. A megosztási engedélyek csak akkor érvényesek, amikor az erőforrást a hálózaton keresztül érik el, de nem akkor, amikor helyben, Terminálszolgáltatások stb. segítségével érik el. Ne feledje azt sem, hogy a megosztási engedélyek nem kerülnek mentésre az erőforrással együtt, így a mentett fájlok is sebezhetőek, mivel nem védi őket semmilyen engedély.
A megosztási engedélyek legjobb gyakorlata
A legjobb gyakorlat szerint a leghatékonyabb a megosztási engedélyeket úgy konfigurálni, hogy a hitelesített felhasználóknak teljes hozzáférésük legyen. Ezután az NTFS-jogosultságoknál minden csoportot szabványos jogosultságokkal kell beállítani. Ez kiváló biztonságot nyújt az erőforrás helyi és hálózati eléréséhez. Emellett kiváló védelmet nyújt az erőforrásnak a biztonsági mentés, valamint az erőforrás nevének megváltoztatása vagy áthelyezése esetén is. Mint korábban említettem, az NTFS-engedélyek akkor is védik az erőforrást, ha a megosztási engedélyek teljes hozzáférésűre vannak beállítva.
Összefoglaló
A megosztási engedélyek nem eleve rosszak, de sokféleképpen lehet helytelenül használni őket. Ha a dokumentáció és a rendszergazdák nagyon hozzáértőek, a megosztási engedélyek az NTFS-engedélyekkel együtt használhatók a hálózati erőforrások további lezárására és biztosítására. Ha azonban kevés a dokumentáció és nagy a fluktuáció az informatikai személyzetben, akkor a legjobb gyakorlat, ha nem használjuk a megosztási engedélyeket, és a hálózati erőforrások biztonságát az NTFS-engedélyekre bízzuk. Annak ellenére, hogy a Microsoft megváltoztatta a megosztási engedélyeket a Mindenki csoport számára olvasásra, ez nem jelent valós megoldást. Ez csak a Microsoft legjobb próbálkozása a hálózati erőforrások biztonságának növelésére, ami sajnos nem túl jó próbálkozás.