Úvod
Koncept sítě počítačů není nový ani revoluční. Na serverech, obvykle umístěných v uzamčených místnostech, jsou uloženy firemní zdroje (složky, soubory, dokumenty, tabulky atd.). Tyto servery jsou uzamčeny za zavřenými dveřmi, takže zaměstnanci mají ke zdrojům přístup pouze prostřednictvím sítě. Jednou z úrovní zabezpečení ochrany prostředků je tedy fyzické zabezpečení, které je zajištěno tím, že zaměstnanci nemají přímý přístup k hardwaru, na němž jsou prostředky umístěny.
Aby zaměstnanci mohli přistupovat ke zdrojům uloženým na serverech, musí být server nakonfigurován tak, aby zaměstnancům umožňoval přístup ke zdrojům přes síť. V prostředí Windows se to provádí prostřednictvím sdílených složek. Když je složka sdílená, stane se dostupnou po síti, takže všichni uživatelé v síti mohou vidět název sdílené složky, jak je znázorněno na obrázku 1.
Obrázek 1: Seznam sdílených složek dostupných na serveru po síti
Pro ochranu prostředků, které jsou dostupné prostřednictvím sdílených složek, musí správci nakonfigurovat „oprávnění“ pro složky a soubory, které jsou dostupné po síti. Pro sdílené složky lze nakonfigurovat dva typy oprávnění: sdílení a NTFS. Zaměříme se na sdílená oprávnění, probereme některá úskalí, která se při jejich používání objevují, a také některé doporučené metody úspěšné konfigurace oprávnění pro sdílené složky.
Příběh dvou oprávnění
Abych se ujistil, že je můj popis oprávnění dostupných ve sdílené složce jasný, chtěl jsem na začátku popsat dvě různá oprávnění, která lze nakonfigurovat v každé sdílené složce. Tato dvě oprávnění jsou: sdílení a NTFS.
Oprávnění NTFS jsou atributem složky nebo souboru, pro který jsou nakonfigurována. Oprávnění NTFS zahrnují standardní i speciální úrovně nastavení. Standardní nastavení jsou kombinací speciálních oprávnění, díky čemuž je konfigurace efektivnější a snadněji se zavádí. Tato oprávnění zahrnují následující položky, jak je znázorněno na obrázku 2:
- Plné řízení
- Modifikovat
- Číst &Spustit
- Seznam obsahu složky
- Číst
- Zápis
Obrázek 2: Standardní oprávnění NTFS pro složku
Pro složky existuje 14 speciálních oprávnění, která zahrnují podrobnou kontrolu nad vytvářením, úpravami, čtením a mazáním podsložek a souborů obsažených ve složce, kde jsou oprávnění zavedena.
Oprávnění systému NTFS jsou spojena s objektem, takže při přejmenování, přesunu nebo archivaci objektu jsou oprávnění vždy spojena s objektem.
Oprávnění ke sdílení jsou spojena pouze se sdílenou složkou. Pokud například pod sdílenou složkou existuje 5 podsložek, mohou být oprávnění ke sdílení nakonfigurována pouze pro počáteční sdílenou složku. Oprávnění NTFS lze nastavit pro každý soubor a složku ve struktuře datového úložiště, i když složka není sdílená.
Sdílená oprávnění se konfigurují na kartě Sdílení sdílené složky. Na této kartě je k dispozici tlačítko Oprávnění, které po výběru vystaví oprávnění ke sdílení, jak je znázorněno na obrázku 3.
Obrázek 3: Oprávnění ke sdílení ve sdílené složce
Jak vidíte, standardní seznam možností oprávnění ke sdílení není tak robustní jako oprávnění NTFS. Sdílená oprávnění poskytují pouze možnosti Plné řízení, Změna a Čtení. Pro oprávnění ke sdílení nejsou k dispozici žádná speciální oprávnění, takže standardní oprávnění jsou tak podrobná, jak jen lze pro tuto sadu řízení přístupu použít.
Sdílená oprávnění nejsou součástí složky nebo souboru, takže při změně názvu sdílené složky, přesunu složky nebo zálohování složky nejsou sdílená oprávnění zahrnuta. Díky tomu je kontrola oprávnění ke sdílení v případě změny složky křehká.
Historická oprávnění ke sdílení
Microsoft v minulosti konfiguroval všechny nové sdílené složky s velmi otevřenými oprávněními ke sdílení. Výchozí oprávnění ke sdílené složce pro systémy Windows NT, Windows 2000 (Server a Professional) a Windows XP (před Service Packem 1) jsou taková, že skupina Everyone má přístup Full Control.
To se může zdát s přístupem Plné řízení nezabezpečené, ale když se oprávnění NTFS zkombinují s oprávněními sdílené složky, řídí přístup k prostředku nejbezpečnější z obou oprávnění.
Když se v minulosti změnila oprávnění sdílené složky z oprávnění Everyone s plným řízením, mohlo to způsobit více problémů, než se vyplatilo. Pokud například společnost obvykle nepoužívá oprávnění ke sdílení, může oprava přístupu ke zdrojům při jejich použití trvat delší cyklus. Pokud jsou oprávnění ke sdílení ve sdílené složce nakonfigurována nesprávně, nejsou oprávnění ke sdílení počáteční konfigurací, kterou je třeba zkontrolovat. Ve většině případů jsem zjistil, že může trvat i několik hodin, než se oprávnění ke sdílení prošetří. Během postupů řešení problémů lze uživatele přidat do skupin „admin“, přidělit jim zvýšená uživatelská práva a přidat je přímo do seznamu ACL daného prostředku. Když jsou oprávnění ke sdílení konečně prozkoumána a opravena, může být obtížné si vzpomenout na všechny ostatní konfigurace, které byly provedeny ve snaze opravit přístup uživatelů k prostředku. To samozřejmě zanechává prostředek a celou síť v nezabezpečeném stavu, a to vše kvůli nesprávně nakonfigurovaným oprávněním ke sdílení.
Nová oprávnění ke sdílení
S ohledem na všechny zmatky, které mohla stará oprávnění ke sdílení způsobit, se společnost Microsoft rozhodla s vydáním servisního balíčku 1 pro systém Windows XP změnit pravidla pro výchozí oprávnění ke sdílení. V každém operačním systému po vydání tohoto servisního balíčku (včetně systému Windows Server 2003) je novým výchozím oprávněním pro všechny nové sdílené složky Everyone s přístupem pouze pro čtení, jak ukazuje obrázek 3.
To se zdá jako dobré nastavení zabezpečení, dokud si neuvědomíte, kolik prostředků v síti může mít ve skutečnosti přístup „pouze pro čtení“ pro všechny. Není jich mnoho, vzhledem k tomu, že uživatelé potřebují upravovat a měnit obsah většiny prostředků, aby byli produktivní.
Téměř ve všech případech bude nutné změnit oprávnění sdílené složky z přístupu pro čtení. Tím se správce nastaví na konfiguraci podrobných oprávnění ke sdílení, což může způsobit problémy, o kterých jsme hovořili dříve v souvislosti s řešením problémů s přístupem ke zdrojům při změně starých oprávnění ke sdílení. Díky výchozí změně oprávnění ke sdílení jsem zjistil, že mnoho správců již nemá pocit, že by potřebovali konfigurovat oprávnění NTFS, protože se spoléhají na to, že oprávnění ke sdílení chrání prostředek. To je hrubá chyba, která zanechává síť a prostředky ve velmi zranitelném stavu. Sdílená oprávnění jsou platná pouze tehdy, když je k prostředku přistupováno přes síť, ale ne tehdy, když je k němu přistupováno lokálně, pomocí Terminálové služby apod. Nezapomeňte také, že oprávnění ke sdílení nejsou zálohována spolu se zdrojem, takže všechny zálohované soubory jsou rovněž zranitelné, aniž by je chránila jakákoli oprávnění.
Oprávnění ke sdílení – osvědčený postup
Jako osvědčený postup je nejefektivnější nakonfigurovat oprávnění ke sdílení tak, aby ověření uživatelé měli přístup s plným řízením. Oprávnění NTFS by pak měly mít jednotlivé skupiny nakonfigurovány se standardními oprávněními. To poskytuje vynikající zabezpečení místního a síťového přístupu k prostředku. Poskytuje také vynikající ochranu prostředku při jeho zálohování a při změně nebo přemístění názvu prostředku. Jak jsem již uvedl, oprávnění NTFS ochrání prostředek, i když jsou oprávnění sdílené složky nastavena na přístup s plným řízením.
Shrnutí
Oprávnění ke sdílení nejsou ve své podstatě špatná, ale existuje mnoho způsobů, jak je nesprávně použít. Pokud jsou dokumentace a pracovníci správy velmi důvtipní, lze oprávnění ke sdílení použít ve spojení s oprávněními NTFS k dalšímu uzamčení a zabezpečení síťových prostředků. Pokud je však dokumentace malá a fluktuace pracovníků IT vysoká, je osvědčeným postupem oprávnění ke sdílení nepoužívat a ponechat zabezpečení síťových prostředků na oprávněních NTFS. I když společnost Microsoft změnila oprávnění ke sdílení na oprávnění ke čtení pro skupinu Everyone, neznamená to reálné řešení. Je to jen nejlepší pokus společnosti Microsoft o zvýšení zabezpečení síťových prostředků, který bohužel není příliš dobrý.