Introducere
Conceptul de rețea de calculatoare nu este nou sau revoluționar. Serverele, ținute de obicei în camere închise, stochează resursele companiei (dosare, fișiere, documente, foi de calcul etc.). Aceste servere sunt blocate în spatele unor uși închise, astfel încât singurul acces pe care angajații îl au la resurse este prin intermediul rețelei. Așadar, un nivel de securitate pentru protejarea resurselor este securitatea fizică, care este asigurată prin faptul că angajații nu au acces direct la hardware-ul pe care se află resursele.
Pentru ca angajații să aibă acces la resursele stocate pe servere, serverul trebuie să fie configurat pentru a le permite angajaților să acceseze resursele prin rețea. Pentru un mediu Windows, acest lucru se face prin intermediul folderelor partajate. Atunci când un dosar este partajat, acesta devine disponibil în rețea, astfel încât toți utilizatorii din rețea pot vedea numele dosarului partajat, așa cum se arată în figura 1.
Figura 1: Lista dosarelor partajate disponibile pe un server în rețea
Pentru a proteja resursele care sunt puse la dispoziție prin intermediul dosarelor partajate, administratorii trebuie să configureze „permisiuni” pentru dosarele și fișierele care sunt puse la dispoziție în rețea. Există două tipuri de permisiuni care pot fi configurate pentru folderele partajate: share și NTFS. Ne vom concentra asupra permisiunilor de partajare, discutând despre unele capcane care sunt expuse atunci când le folosiți, precum și câteva metode recomandate pentru a configura cu succes permisiunile pentru dosarele partajate.
A Tale of Two Permissions
Pentru a mă asigura că sunt clar în ceea ce privește descrierea mea a permisiunilor disponibile pe un dosar partajat, am vrut să încep prin a descrie cele două permisiuni diferite care pot fi configurate pe fiecare dosar partajat. Cele două permisiuni sunt: share și NTFS.
Autorizațiile NTFS sunt un atribut al dosarului sau al fișierului pentru care sunt configurate. Permisiunile NTFS includ atât niveluri de setări standard, cât și speciale. Setările standard sunt combinații ale permisiunilor speciale, ceea ce face ca configurarea să fie mai eficientă și mai ușor de stabilit. Aceste permisiuni includ următoarele, după cum se arată în figura 2:
- Control total
- Modificare
- Citere &Executare
- Lista conținuturilor folderelor
- Citere
- Scriere
Figura 2: Permisiuni standard NTFS pentru un dosar
Există 14 permisiuni speciale pentru dosare, care includ un control detaliat asupra creării, modificării, citirii și ștergerii subdosarelor și fișierelor conținute în dosarul în care sunt stabilite permisiunile.
Permisiunile TNFS sunt asociate cu obiectul, astfel încât permisiunile sunt întotdeauna conectate cu obiectul în timpul unei redenumiri, mutări sau arhivări a obiectului.
Autorizațiile de partajare sunt asociate numai cu dosarul care este partajat. De exemplu, dacă există 5 subfoldere sub dosarul care este partajat, numai dosarul partajat inițial poate avea configurate permisiuni de partajare pentru acesta. Permisiunile NTFS pot fi stabilite pentru fiecare fișier și dosar din cadrul structurii de stocare a datelor, chiar dacă un dosar nu este partajat.
Autorizațiile de partajare sunt configurate în fila Sharing (Partajare) a dosarului partajat. În această filă, veți avea un buton Permissions (Permisiuni), care expune permisiunile de partajare atunci când este selectat, așa cum se arată în figura 3.
Figura 3: Permisiuni de partajare pe un dosar partajat
După cum puteți vedea, lista standard de opțiuni pentru permisiunile de partajare nu este la fel de robustă ca cea pentru permisiunile NTFS. Permisiunile de partajare oferă doar Control total, Modificare și Citire. Nu există permisiuni speciale disponibile pentru permisiunile de partajare, astfel încât permisiunile standard sunt cât se poate de granulare pentru acest set de control al accesului.
Autorizațiile de partajare nu fac parte din dosar sau fișier, astfel încât atunci când numele de partajare este schimbat, dosarul este mutat sau se face o copie de rezervă a dosarului, autorizațiile de partajare nu sunt incluse. Acest lucru determină un control fragil al permisiunilor de partajare în cazul în care dosarul este modificat.
Historic Share Permissions
Microsoft a configurat în mod istoric toate dosarele partajate noi cu permisiuni de partajare foarte deschise. Permisiunile de partajare implicite pentru Windows NT, Windows 2000 (Server și Professional) și Windows XP (înainte de Service Pack 1) sunt ca grupul Everyone să aibă acces Full Control.
Acest lucru ar putea părea nesigur cu acces Full Control, dar atunci când permisiunile NTFS sunt combinate cu permisiunile de partajare, cea mai sigură dintre cele două permisiuni controlează accesul la resursă.
În trecut, atunci când permisiunile de partajare sunt modificate de la Everyone având Full Control, aceasta poate cauza mai multe probleme decât merită. De exemplu, atunci când o companie nu utilizează de obicei permisiunile de partajare, poate dura un ciclu mai lung pentru a repara accesul la resurse atunci când acestea sunt utilizate. Atunci când permisiunile de partajare sunt configurate incorect pe un folder partajat, permisiunile de partajare nu reprezintă configurația inițială care trebuie verificată. În cele mai multe cazuri, am constatat că poate dura ore înainte ca permisiunile de partajare să fie investigate. În timpul procedurilor de depanare, utilizatorii pot fi adăugați la grupurile „admin”, li se pot acorda drepturi de utilizator ridicate și pot fi adăugați direct la ACL a resursei. Atunci când permisiunile de partajare sunt în cele din urmă investigate și reparate, poate fi greu să vă amintiți toate celelalte configurații care au fost efectuate în încercarea de a repara accesul utilizatorilor la resursă. Bineînțeles, acest lucru lasă resursa și rețeaua în general într-o stare nesigură, totul din cauza faptului că permisiunile de partajare au fost configurate incorect.
Noile permisiuni de partajare
Cu toată confuzia pe care vechile permisiuni de partajare o puteau cauza, Microsoft a decis să schimbe regulile pentru permisiunile de partajare implicite odată cu lansarea Windows XP Service Pack 1. Cu fiecare sistem de operare după această versiune a pachetului de servicii (inclusiv Windows Server 2003), noile permisiuni implicite pentru toate noile foldere partajate sunt Everyone (Toată lumea) care are acces numai în citire, așa cum se arată în figura 3.
Aceasta pare a fi o setare de securitate bună, până când vă gândiți câte resurse din rețeaua dumneavoastră pot avea de fapt acces „doar pentru citire” pentru toată lumea. Nu sunt multe, din cauza faptului că utilizatorii trebuie să modifice și să schimbe conținutul majorității resurselor pentru a fi productivi.
În aproape toate cazurile, permisiunile de partajare vor trebui să fie modificate de la acces în citire. Acest lucru îl pune pe administrator să configureze permisiuni de partajare detaliate, ceea ce poate cauza problemele pe care le-am discutat anterior în ceea ce privește depanarea accesului la resurse cu vechile permisiuni de partajare modificate. Având în vedere că permisiunile de partajare sunt modificate în mod implicit, am constatat că mulți administratori nu mai simt nevoia de a configura permisiunile NTFS, deoarece se bazează pe permisiunile de partajare pentru a proteja resursa. Aceasta este o eroare gravă și lasă rețeaua și resursele într-o stare foarte vulnerabilă. Permisiunile de partajare sunt valabile numai atunci când resursa este accesată în rețea, dar nu și atunci când este accesată local, folosind Terminal Services etc. De asemenea, nu uitați că permisiunile de partajare nu fac obiectul unei copii de rezervă odată cu resursa, astfel încât toate fișierele copiate în copie de rezervă sunt, de asemenea, vulnerabile, fără nicio permisiune care să le protejeze.
Share Permissions Best Practice
Ca o bună practică, cel mai eficient este să configurați permisiunile de partajare cu utilizatorii autentificați care au acces Full Control. Apoi, permisiunile NTFS ar trebui să configureze fiecare grup cu permisiuni standard. Acest lucru asigură o securitate excelentă pentru accesul local și în rețea la resursă. De asemenea, asigură o protecție excelentă a resursei în cazul în care se face o copie de rezervă și atunci când numele resursei este schimbat sau relocalizat. După cum am spus mai devreme, permisiunile NTFS vor proteja resursa chiar și în cazul în care permisiunile de partajare sunt setate la acces Full Control.
Rezumat
Autorizațiile de partajare nu sunt rele în mod inerent, dar există multe moduri de a le utiliza incorect. Dacă documentația și personalul administrativ sunt foarte pricepuți, permisiunile de partajare pot fi utilizate împreună cu permisiunile NTFS pentru a bloca și securiza și mai mult resursele rețelei. Cu toate acestea, dacă există puțină documentație și o fluctuație mare a personalului IT, cea mai bună practică este să nu se utilizeze permisiunile de partajare și să se lase securitatea resurselor de rețea în seama permisiunilor NTFS. Chiar dacă Microsoft a modificat permisiunile de partajare pentru a fi Read (Citire) pentru grupul Everyone (Toată lumea), acest lucru nu indică o soluție în lumea reală. Este doar cea mai bună încercare a Microsoft de a crește securitatea resurselor de rețea, care, din păcate, nu este o încercare foarte bună.