Udostępnianie uprawnień

Wprowadzenie

Koncepcja sieci komputerów nie jest nowa ani rewolucyjna. Serwery, zwykle trzymane w zamkniętych pomieszczeniach, przechowują zasoby firmy (foldery, pliki, dokumenty, arkusze kalkulacyjne, itp.). Serwery te są zamykane za zamkniętymi drzwiami tak, że jedyny dostęp pracowników do zasobów odbywa się przez sieć. Tak więc, jednym z poziomów bezpieczeństwa dla ochrony zasobów jest fizyczne bezpieczeństwo, które jest zapewnione przez nie pozwalając pracownikom na bezpośredni dostęp do sprzętu, na którym znajduje się zasób.

Aby pracownicy mogli uzyskać dostęp do zasobów przechowywanych na serwerach, serwer musi być skonfigurowany w sposób umożliwiający pracownikom dostęp do zasobów przez sieć. W przypadku środowiska Windows odbywa się to poprzez foldery współdzielone. Kiedy folder jest udostępniony, staje się dostępny w sieci, tak że wszyscy użytkownicy w sieci mogą zobaczyć nazwę udostępnionego folderu, jak pokazano na rysunku 1.

Rysunek 1: Lista folderów udostępnionych dostępnych na serwerze przez sieć

W celu ochrony zasobów, które są udostępniane poprzez foldery współdzielone, administratorzy muszą skonfigurować „uprawnienia” dla folderów i plików, które są udostępniane przez sieć. Istnieją dwa rodzaje uprawnień, które mogą być skonfigurowane na folderach współdzielonych: share i NTFS. Skupimy się na uprawnieniach współdzielonych, omawiając niektóre pułapki, które są narażone, gdy ich używasz, jak również niektóre zalecane metody, aby pomyślnie skonfigurować uprawnienia dla folderów współdzielonych.

A Tale of Two Permissions

Aby upewnić się, że mój opis uprawnień dostępnych na folderze współdzielonym jest jasny, chciałem zacząć od opisania dwóch różnych uprawnień, które mogą być skonfigurowane na każdym folderze współdzielonym. Te dwa uprawnienia to: udział i NTFS.

Uprawnienia NTFS są atrybutem folderu lub pliku, dla którego są skonfigurowane. Uprawnienia NTFS zawierają zarówno standardowe, jak i specjalne poziomy ustawień. Ustawienia standardowe są kombinacją uprawnień specjalnych, dzięki czemu konfiguracja jest bardziej wydajna i łatwiejsza do ustalenia. Uprawnienia te obejmują następujące elementy, jak pokazano na rysunku 2:

  • Full Control
  • Modify
  • Read & Execute
  • List Folder Contents
  • Read
  • Write

Rysunek 2: Standardowe uprawnienia NTFS dla folderu

Istnieje 14 specjalnych uprawnień dla folderów, które obejmują szczegółową kontrolę nad tworzeniem, modyfikowaniem, odczytywaniem i usuwaniem podfolderów i plików zawartych w folderze, w którym ustanowiono uprawnienia.

Uprawnienia NTFS są powiązane z obiektem, więc uprawnienia są zawsze związane z obiektem podczas zmiany nazwy, przenoszenia lub archiwizacji obiektu.

Uprawnienia współdzielenia są powiązane tylko z folderem, który jest współdzielony. Na przykład, jeśli pod folderem współdzielonym znajduje się 5 podfolderów, tylko początkowy folder współdzielony może mieć skonfigurowane uprawnienia współdzielenia. Uprawnienia NTFS mogą być ustanowione na każdym pliku i folderze w strukturze przechowywania danych, nawet jeśli folder nie jest współdzielony.

Uprawnienia udostępniania są konfigurowane na karcie Udostępnianie folderu udostępnionego. Na tej karcie znajduje się przycisk Uprawnienia, który po wybraniu odsłania uprawnienia do udostępniania, jak pokazano na rysunku 3.

Rysunek 3: Uprawnienia współdzielenia na folderze współdzielonym

Jak widać, standardowa lista opcji uprawnień współdzielenia nie jest tak solidna jak w przypadku uprawnień NTFS. Uprawnienia udziału zapewniają tylko pełną kontrolę, zmianę i odczyt. Nie ma żadnych specjalnych uprawnień dostępnych dla uprawnień udziału, więc standardowe uprawnienia są tak szczegółowe, jak tylko można to zrobić dla tego zestawu kontroli dostępu.

Uprawnienia udziału nie są częścią folderu lub pliku, więc gdy nazwa udziału jest zmieniana, folder jest przenoszony lub folder jest archiwizowany, uprawnienia udziału nie są uwzględniane. Sprawia to, że kontrola nad uprawnieniami udziału jest delikatna, jeśli folder zostanie zmodyfikowany.

Historyczne uprawnienia do udziałów

Microsoft historycznie konfigurował wszystkie nowe foldery współdzielone z bardzo otwartymi uprawnieniami do udziałów. Domyślne uprawnienia do udziałów w systemach Windows NT, Windows 2000 (Server i Professional) oraz Windows XP (przed Service Pack 1) są takie, że grupa Everyone ma dostęp Full Control.

Może się to wydawać niebezpieczne przy dostępie Full Control, ale kiedy uprawnienia NTFS są połączone z uprawnieniami udziału, najbezpieczniejsze z dwóch uprawnień kontroluje dostęp do zasobu.

W przeszłości, kiedy uprawnienia udziału są zmieniane z Każdy ma Pełną Kontrolę, może to spowodować więcej problemów niż jest warte. Na przykład, gdy firma zazwyczaj nie używa uprawnień do udostępniania, naprawa dostępu do zasobów, gdy są one używane, może zająć dłuższy cykl. Kiedy uprawnienia do udostępniania są skonfigurowane niepoprawnie na folderze współdzielonym, uprawnienia do udostępniania nie są początkową konfiguracją do sprawdzenia. W większości przypadków stwierdziłem, że może minąć wiele godzin, zanim uprawnienia do udostępniania zostaną zbadane. Podczas procedur rozwiązywania problemów, użytkownicy mogą być dodawani do grup „admin”, otrzymują podwyższone prawa użytkownika i są dodawani bezpośrednio do ACL zasobu. Kiedy uprawnienia do udostępniania są w końcu zbadane i naprawione, może być trudno zapamiętać wszystkie inne konfiguracje, które zostały wykonane w próbie naprawienia dostępu użytkowników do zasobu. Oczywiście, pozostawia to zasób i całą sieć w niezabezpieczonym stanie, wszystko z powodu nieprawidłowo skonfigurowanych uprawnień do udostępniania.

Nowe uprawnienia do udziałów

Wobec całego zamieszania, jakie mogły wywołać stare uprawnienia do udziałów, firma Microsoft zdecydowała się zmienić zasady domyślnych uprawnień do udziałów wraz z wydaniem Windows XP Service Pack 1. W każdym systemie operacyjnym po wydaniu tego dodatku Service Pack (w tym Windows Server 2003), nowe domyślne uprawnienia dla wszystkich nowych folderów współdzielonych to Każdy mający dostęp tylko do odczytu, jak pokazano na rysunku 3.

Wydaje się to dobrym ustawieniem bezpieczeństwa, dopóki nie zastanowisz się, ile zasobów w sieci może mieć faktycznie dostęp „tylko do odczytu” dla każdego. Nie ma ich zbyt wiele, ze względu na fakt, że użytkownicy muszą modyfikować i zmieniać zawartość większości zasobów, aby być produktywnymi.

W prawie każdym przypadku uprawnienia do udziałów będą musiały zostać zmienione z dostępu do odczytu. To ustawia administratora, aby skonfigurować szczegółowe uprawnienia do udziałów, co może powodować problemy, które omówiliśmy wcześniej w odniesieniu do rozwiązywania problemów z dostępem do zasobów ze starymi uprawnieniami do udziałów są modyfikowane. Z domyślnie zmienionymi uprawnieniami do udziałów, zauważyłem, że wielu administratorów nie czuje potrzeby konfigurowania uprawnień NTFS, ponieważ polegają oni na uprawnieniach do udziałów w celu ochrony zasobów. Jest to poważny błąd i pozostawia sieć i zasoby w bardzo wrażliwym stanie. Uprawnienia udziału są ważne tylko wtedy, gdy zasób jest dostępny przez sieć, ale nie wtedy, gdy jest dostępny lokalnie, przy użyciu Terminal Services, itp. Pamiętaj też, że uprawnienia do udostępniania nie są backupowane z zasobami, więc wszystkie backupowane pliki są również podatne na ataki, bez chroniących je uprawnień.

Najlepsza praktyka uprawnień do udziałów

Jako najlepsza praktyka, najbardziej efektywne jest skonfigurowanie uprawnień do udziałów z uwierzytelnionymi użytkownikami posiadającymi dostęp Full Control. Następnie, uprawnienia NTFS powinny skonfigurować każdą grupę ze standardowymi uprawnieniami. Zapewnia to doskonałe bezpieczeństwo dla lokalnego i sieciowego dostępu do zasobu. Zapewnia również doskonałą ochronę zasobu podczas tworzenia kopii zapasowych i gdy nazwa zasobu jest zmieniana lub przenoszona. Jak wspomniałem wcześniej, uprawnienia NTFS będą chronić zasób nawet jeśli uprawnienia udziału są ustawione na dostęp Full Control.

Podsumowanie

Uprawnienia współdzielenia nie są z natury złe, ale istnieje wiele sposobów na ich niewłaściwe użycie. Jeśli dokumentacja i personel administracyjny są bardzo bystre, uprawnienia współdzielenia mogą być używane w połączeniu z uprawnieniami NTFS do dalszego blokowania i zabezpieczania zasobów sieciowych. Jednakże, jeśli jest mało dokumentacji i duża rotacja personelu IT, najlepszą praktyką jest nieużywanie uprawnień do udostępniania i pozostawienie bezpieczeństwa zasobów sieciowych uprawnieniom NTFS. Nawet jeśli Microsoft zmienił uprawnienia do udziałów na Read dla grupy Everyone, nie oznacza to, że jest to rozwiązanie dla świata rzeczywistego. Jest to tylko najlepsza próba Microsoftu zwiększenia bezpieczeństwa zasobów sieciowych, która niestety nie jest zbyt dobra.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.