Inleiding
Het concept van een netwerk van computers is niet nieuw of revolutionair. Op servers, die gewoonlijk in afgesloten ruimten staan, worden de bedrijfsmiddelen (mappen, bestanden, documenten, spreadsheets, enz.) opgeslagen. Deze servers worden achter gesloten deuren bewaard, zodat de werknemers alleen via het netwerk toegang hebben tot de bronnen. Eén beveiligingsniveau voor de bescherming van de middelen is dus de fysieke beveiliging die wordt geboden door werknemers geen rechtstreekse toegang te geven tot de hardware waarop de middelen zich bevinden.
Om werknemers toegang te geven tot de bronnen die op de servers zijn opgeslagen, moet de server zodanig worden geconfigureerd dat de werknemers de bronnen via het netwerk kunnen benaderen. In een Windows-omgeving gebeurt dit via gedeelde mappen. Wanneer een map wordt gedeeld, wordt deze beschikbaar via het netwerk zodat alle gebruikers op het netwerk de naam van de gedeelde map kunnen zien, zoals wordt getoond in Figuur 1.
Figuur 1: Lijst van gedeelde mappen die via het netwerk op een server beschikbaar zijn
Om de bronnen te beschermen die via gedeelde mappen beschikbaar worden gesteld, moeten beheerders “machtigingen” configureren voor de mappen en bestanden die via het netwerk beschikbaar worden gesteld. Er zijn twee soorten machtigingen die kunnen worden geconfigureerd voor gedeelde mappen: delen en NTFS. We gaan ons concentreren op de share permissies, en bespreken enkele valkuilen die blootgelegd worden wanneer je ze gebruikt, alsook enkele aanbevolen methodes om met succes permissies te configureren voor gedeelde mappen.
Een verhaal van twee machtigingen
Om er zeker van te zijn dat mijn beschrijving van de beschikbare machtigingen voor een gedeelde map duidelijk is, wil ik beginnen met een beschrijving van de twee verschillende machtigingen die voor elke gedeelde map kunnen worden geconfigureerd. De twee machtigingen zijn: share en NTFS.
NTFS-machtigingen zijn een attribuut van de map of het bestand waarvoor ze zijn geconfigureerd. De NTFS-machtigingen omvatten zowel standaardinstellingen als speciale instellingen. De standaardinstellingen zijn combinaties van de speciale machtigingen, waardoor de configuratie efficiënter en eenvoudiger te maken is. Deze machtigingen omvatten de volgende, zoals getoond in Figuur 2:
- Full Control
- Modify
- Read & Execute
- List Folder Contents
- Read
- Write
Figuur 2: NTFS-standaardmachtigingen voor een map
Er zijn 14 speciale machtigingen voor mappen, die gedetailleerde controle bevatten over het maken, wijzigen, lezen en verwijderen van submappen en bestanden die zich bevinden in de map waarin de machtigingen zijn ingesteld.
NTFS-machtigingen zijn gekoppeld aan het object, zodat de machtigingen altijd aan het object zijn gekoppeld tijdens een hernoeming, verplaatsing of archivering van het object.
Deelmachtigingen zijn alleen gekoppeld aan de map die wordt gedeeld. Als er bijvoorbeeld 5 submappen zijn onder de map die wordt gedeeld, kunnen alleen voor de oorspronkelijke gedeelde map gedeelde machtigingen worden geconfigureerd. NTFS-machtigingen kunnen worden ingesteld op elk bestand en elke map binnen de gegevensopslagstructuur, zelfs als een map niet wordt gedeeld.
Deelmachtigingen worden geconfigureerd op het tabblad Delen van de gedeelde map. Op dit tabblad bevindt zich een knop Machtigingen, die de gedeelde machtigingen weergeeft wanneer deze wordt geselecteerd, zoals getoond in Figuur 3.
Figuur 3: Deelmachtigingen op een gedeelde map
Zoals u kunt zien, is de standaardlijst met opties voor de deelmachtigingen niet zo robuust als die voor de NTFS-machtigingen. De share-machtigingen bieden alleen Volledige controle, Wijzigen en Lezen. Er zijn geen speciale rechten beschikbaar voor share rechten, dus de standaard rechten zijn zo granulair als je kunt gaan voor deze set van toegangscontrole.
De machtigingen voor delen maken geen deel uit van de map of het bestand, dus als de naam van het deel wordt gewijzigd, de map wordt verplaatst of een back-up van de map wordt gemaakt, worden de machtigingen voor delen niet meegenomen. Dit zorgt voor een fragiele controle van de share permissies als de map wordt gewijzigd.
Historische share-machtigingen
Microsoft heeft in het verleden alle nieuwe gedeelde mappen geconfigureerd met zeer open share-machtigingen. De standaarddeelrechten voor Windows NT, Windows 2000 (Server en Professional) en Windows XP (pre Service Pack 1) zijn dat de groep Iedereen volledige beheerstoegang heeft.
Dit lijkt misschien onveilig met Full Control-toegang, maar wanneer de NTFS-machtigingen worden gecombineerd met de share-machtigingen, wordt de toegang tot de bron geregeld door de veiligste van de twee machtigingen.
In het verleden kan het wijzigen van de deelrechten van Iedereen met volledige controle meer problemen veroorzaken dan het waard is. Wanneer een bedrijf bijvoorbeeld doorgaans geen gebruikmaakt van share-permissies, kan het een langere cyclus in beslag nemen om de toegang tot resources te herstellen wanneer deze wel worden gebruikt. Wanneer de share permissies verkeerd geconfigureerd zijn op een gedeelde map, zijn de share permissies niet de initiële configuratie die gecontroleerd moet worden. In de meeste gevallen heb ik gemerkt dat het uren kan duren voordat de share permissies zijn onderzocht. Tijdens de troubleshooting procedures kunnen gebruikers worden toegevoegd aan “admin” groepen, verhoogde gebruikersrechten krijgen, en direct worden toegevoegd aan de ACL van de bron. Wanneer de share permissies eindelijk onderzocht en hersteld zijn, kan het moeilijk zijn om alle andere configuraties te onthouden die gemaakt zijn in een poging om de toegang van de gebruiker tot de bron te herstellen. Dit laat natuurlijk de bron en het netwerk als geheel in een onveilige toestand achter, allemaal omdat de share permissies verkeerd zijn geconfigureerd.
Nieuwe share-machtigingen
Met alle verwarring die oude share-machtigingen konden veroorzaken, besloot Microsoft de regels voor standaard share-machtigingen te wijzigen met de release van Windows XP Service Pack 1. Met elk besturingssysteem na deze service pack-release (inclusief Windows Server 2003), zijn de nieuwe standaardmachtigingen voor alle nieuwe gedeelde mappen Iedereen met alleen-lezen-toegang, zoals weergegeven in figuur 3.
Dit lijkt een goede beveiligingsinstelling, totdat u bedenkt hoeveel bronnen op uw netwerk daadwerkelijk voor iedereen “alleen-lezen”-toegang kunnen hebben. Dat zijn er niet veel, omdat gebruikers de inhoud van de meeste bronnen moeten aanpassen en wijzigen om productief te kunnen zijn.
In bijna alle gevallen moeten de deelrechten worden gewijzigd van leestoegang. Dit stelt de beheerder in staat om gedetailleerde share-permissies te configureren, wat kan leiden tot de problemen die we eerder hebben besproken met betrekking tot het oplossen van problemen met de toegang tot bronnen terwijl de oude share-permissies zijn gewijzigd. Nu de share permissies standaard gewijzigd zijn, heb ik gemerkt dat veel beheerders het niet meer nodig vinden om NTFS permissies te configureren, omdat ze vertrouwen op de share permissies om de bron te beschermen. Dit is een grove fout en laat het netwerk en de bronnen in een zeer kwetsbare toestand. Share permissies zijn alleen geldig wanneer de bron wordt benaderd over het netwerk, maar niet wanneer het lokaal wordt benaderd, met Terminal Services, enz. Vergeet ook niet dat share permissies niet worden gebackupped met de bron, dus alle gebackuede bestanden zijn ook kwetsbaar, zonder enige permissies die ze beschermen.
Beste werkwijze voor gedeelde machtigingen
Als beste werkwijze is het het efficiëntst om gedeelde machtigingen te configureren waarbij geauthenticeerde gebruikers volledige controletoegang hebben. Vervolgens moeten de NTFS-machtigingen elke groep configureren met standaardmachtigingen. Dit biedt een uitstekende beveiliging voor lokale en netwerktoegang tot de bron. Het biedt ook een uitstekende bescherming van de bron voor als er een back-up van wordt gemaakt en als de naam van de bron wordt gewijzigd of verplaatst. Zoals ik al eerder zei, zullen de NTFS rechten de bron beschermen, zelfs als de share rechten zijn ingesteld op Full Control toegang.
Samenvatting
Deelmachtigingen zijn niet per definitie slecht, maar er zijn veel manieren om ze verkeerd te gebruiken. Als de documentatie en het administratief personeel erg handig zijn, kunnen deelmachtigingen samen met NTFS-machtigingen worden gebruikt om netwerkbronnen verder te vergrendelen en te beveiligen. Als er echter weinig documentatie is en een groot verloop in het IT-personeel, dan is het een best practice om geen share-permissies te gebruiken en de beveiliging van netwerkbronnen over te laten aan de NTFS-permissies. Ook al heeft Microsoft de share-permissies veranderd in Lezen voor de groep Iedereen, dit wijst niet op een oplossing in de echte wereld. Het is slechts Microsoft’s beste poging om de beveiliging van netwerkbronnen te verhogen, wat helaas niet een erg goede poging is.