Permissões de Partilha

Introdução

>

O conceito de rede de computadores não é novo nem revolucionário. Servidores, normalmente mantidos em salas fechadas, armazenam os recursos da empresa (pastas, arquivos, documentos, planilhas, etc). Estes servidores são trancados atrás de portas fechadas para que o único acesso que os funcionários têm aos recursos seja através da rede. Assim, um nível de segurança para proteger o recurso é a segurança física que é fornecida ao não permitir o acesso direto dos funcionários ao hardware sobre o qual o recurso está localizado.

Para que os funcionários possam acessar os recursos armazenados nos servidores, o servidor deve ser configurado para permitir que os funcionários acessem os recursos através da rede. Para um ambiente Windows, isto é feito através de pastas compartilhadas. Quando uma pasta é compartilhada ela se torna disponível através da rede para que todos os usuários da rede possam ver o nome da pasta compartilhada, como mostrado na Figura 1.

Figure 1: Listagem de pastas compartilhadas disponíveis em um servidor através da rede

Para proteger os recursos que são disponibilizados através de pastas compartilhadas, os administradores devem configurar “permissões” para as pastas e arquivos que são disponibilizados através da rede. Existem dois tipos de permissões que podem ser configuradas em pastas compartilhadas: compartilhamento e NTFS. Vamos focar nas permissões de compartilhamento, discutindo algumas armadilhas que são expostas quando você as usa, bem como alguns métodos recomendados para configurar com sucesso as permissões para pastas compartilhadas.

Um relato de duas permissões

Para ter certeza de que estou claro sobre minha descrição das permissões disponíveis em uma pasta compartilhada, eu queria começar descrevendo as duas diferentes permissões que podem ser configuradas em cada pasta compartilhada. As duas permissões são: share e NTFS.

NTFS permissões são um atributo da pasta ou ficheiro para o qual estão configuradas. As permissões NTFS incluem tanto o nível padrão como o nível especial de configurações. As configurações padrão são combinações das permissões especiais, tornando a configuração mais eficiente e fácil de estabelecer. Estas permissões incluem o seguinte, como mostrado na Figura 2:

>

  • Controle Completo
  • Modificar
  • Ler &Executar
  • Lista de Conteúdo da Pasta
  • Ler
  • Escrever

Figurar 2: NTFS permissões padrão para uma pasta

Existem 14 permissões especiais para pastas, que incluem controle detalhado sobre a criação, modificação, leitura e exclusão de subpastas e arquivos contidos dentro da pasta onde as permissões são estabelecidas.

As permissõesNTFS estão associadas ao objeto, portanto as permissões estão sempre conectadas ao objeto durante uma mudança de nome, movimento ou arquivo do objeto.

Partilhar as permissões só estão associadas à pasta que está sendo compartilhada. Por exemplo, se houver 5 subpastas abaixo da pasta que está sendo compartilhada, apenas a pasta compartilhada inicial pode ter permissões de compartilhamento configuradas nela. As permissões NTFS podem ser estabelecidas em cada arquivo e pasta dentro da estrutura de armazenamento de dados, mesmo que uma pasta não seja compartilhada.

Permissões de compartilhamento são configuradas na guia Compartilhamento da pasta compartilhada. Nesta aba, você terá um botão Permissões, que expõe as permissões de compartilhamento quando selecionado, como mostrado na Figura 3.

Figure 3: Share permissions on a shared folder

Como você pode ver, a lista padrão de opções de permissões de compartilhamento não é tão robusta quanto as permissões NTFS. As permissões de compartilhamento fornecem apenas Controle Total, Mudança e Leitura. Não há permissões especiais disponíveis para permissões de compartilhamento, então as permissões padrão são tão granulares quanto você pode ir para este conjunto de controle de acesso.

As permissões de compartilhamento não fazem parte da pasta ou arquivo, então quando o nome do compartilhamento é alterado, a pasta é movida, ou a pasta é copiada, as permissões de compartilhamento não são incluídas. Isto faz com que o controle das permissões de compartilhamento seja frágil se a pasta for modificada.

Permissões de compartilhamento histórico

Microsoft configurou historicamente todas as novas pastas compartilhadas com permissões de compartilhamento muito abertas. As permissões de compartilhamento padrão para Windows NT, Windows 2000 (Server e Professional) e Windows XP (pré Service Pack 1) é que o grupo Everyone tem acesso ao Full Control.

Isso pode parecer inseguro com o acesso ao Full Control, mas quando as permissões NTFS são combinadas com as permissões de compartilhamento, a mais segura das duas permissões controla o acesso ao recurso.

No passado, quando as permissões de compartilhamento são alteradas a partir de Todos que têm Controle Total, isso pode causar mais problemas do que vale. Por exemplo, quando uma empresa normalmente não usa as permissões de compartilhamento, pode levar um ciclo mais longo para fixar o acesso aos recursos quando eles são usados. Quando as permissões de compartilhamento são configuradas incorretamente em uma pasta compartilhada, as permissões de compartilhamento não são a configuração inicial a ser verificada. Na maioria dos casos, descobri que pode levar horas até que as permissões de compartilhamento sejam investigadas. Durante os procedimentos de resolução de problemas, os usuários podem ser adicionados aos grupos “admin”, dados os direitos elevados do usuário, e adicionados diretamente ao ACL do recurso. Quando as permissões de compartilhamento são finalmente investigadas e corrigidas, pode ser difícil lembrar de todas as outras configurações que foram feitas na tentativa de corrigir o acesso dos usuários ao recurso. É claro que isto deixa o recurso e toda a rede em um estado inseguro, tudo devido ao fato de as permissões de compartilhamento estarem configuradas incorretamente.

Permissões de compartilhamento novas

Com toda a confusão que as permissões de compartilhamento antigas poderiam causar, a Microsoft decidiu alterar as regras para as permissões de compartilhamento padrão com o lançamento do Windows XP Service Pack 1. Com cada sistema operacional após o lançamento deste service pack (incluindo Windows Server 2003), as novas permissões padrão para todas as novas pastas compartilhadas são Todos tendo acesso somente leitura, como mostrado na Figura 3.

Esta parece ser uma boa configuração de segurança, até que você considere quantos recursos em sua rede podem realmente ter acesso “somente leitura” para todos. Não há muitos, devido ao fato de que os usuários precisam modificar e alterar o conteúdo da maioria dos recursos para serem produtivos.

Em quase todas as instâncias as permissões de compartilhamento precisarão ser alteradas do acesso de leitura. Isto configura o administrador para configurar permissões de compartilhamento detalhadas, o que pode causar os problemas que discutimos anteriormente com relação à solução de problemas de acesso a recursos com as antigas permissões de compartilhamento sendo modificadas. Com as permissões de compartilhamento sendo alteradas por padrão, descobri que muitos administradores não sentem mais a necessidade de configurar as permissões NTFS, pois dependem das permissões de compartilhamento para proteger o recurso. Isto é um erro grave e deixa a rede e os recursos em um estado muito vulnerável. As permissões de compartilhamento só são válidas quando o recurso é acessado através da rede, mas não quando ele é acessado localmente, usando os Serviços de Terminal, etc. Lembre-se também que as permissões de compartilhamento não são copiadas com o recurso, portanto todos os arquivos copiados também são vulneráveis, sem nenhuma permissão que os proteja.

Permissões de Compartilhamento Melhores Práticas

Como uma melhor prática, é mais eficiente configurar permissões de compartilhamento com Usuários Autenticados tendo acesso de Controle Total. Então, as permissões NTFS devem configurar cada grupo com permissões padrão. Isto proporciona uma excelente segurança para o acesso local e de rede ao recurso. Também fornece excelente proteção do recurso para quando ele é feito o backup e quando o nome do recurso é alterado ou realocado. Como disse anteriormente, as permissões NTFS protegerão o recurso mesmo que as permissões de compartilhamento estejam definidas para acesso de Controle Total.

Sumário

Permissões de compartilhamento não são intrinsecamente ruins, mas há muitas maneiras de usá-las incorretamente. Se a documentação e a equipe administrativa são muito experientes, as permissões de compartilhamento podem ser usadas em conjunto com as permissões NTFS para bloquear e proteger ainda mais os recursos da rede. Entretanto, se houver pouca documentação e alta rotatividade na equipe de TI, é uma boa prática não usar permissões de compartilhamento e deixar a segurança dos recursos de rede para as permissões NTFS. Embora a Microsoft tenha alterado as permissões de compartilhamento a serem lidas para o grupo Everyone, isso não indica uma solução do mundo real. É apenas a melhor tentativa da Microsoft de aumentar a segurança dos recursos de rede, o que infelizmente não é uma boa tentativa.

Deixe uma resposta

O seu endereço de email não será publicado.