Introduktion
Konceptet med ett nätverk av datorer är inte nytt eller revolutionerande. Servrar, som vanligtvis förvaras i låsta rum, lagrar företagets resurser (mappar, filer, dokument, kalkylblad osv.). Dessa servrar är låsta bakom stängda dörrar så att den enda tillgång som de anställda har till resurserna sker via nätverket. En säkerhetsnivå för att skydda resursen är alltså den fysiska säkerhet som tillhandahålls genom att de anställda inte får direkt tillgång till den hårdvara som resursen finns på.
För att de anställda ska få tillgång till de resurser som lagras på servrarna måste servern konfigureras så att de anställda kan få tillgång till resurserna via nätverket. I en Windows-miljö sker detta genom delade mappar. När en mapp delas blir den tillgänglig över nätverket så att alla användare i nätverket kan se namnet på den delade mappen, vilket visas i figur 1.
Figur 1: Lista över delade mappar som är tillgängliga på en server över nätverket
För att skydda resurserna som görs tillgängliga via delade mappar måste administratörer konfigurera ”behörigheter” för de mappar och filer som görs tillgängliga över nätverket. Det finns två typer av behörigheter som kan konfigureras för delade mappar: share och NTFS. Vi kommer att fokusera på delningsbehörigheterna och diskutera några fallgropar som kan uppstå när du använder dem, samt några rekommenderade metoder för att framgångsrikt konfigurera behörigheter för delade mappar.
En berättelse om två behörigheter
För att vara säker på att jag är tydlig i min beskrivning av de behörigheter som finns tillgängliga på en delad mapp ville jag börja med att beskriva de två olika behörigheter som kan konfigureras på varje delad mapp. De två behörigheterna är: share och NTFS.
NTFS-behörigheter är ett attribut för den mapp eller fil som de konfigureras för. NTFS-behörigheterna omfattar både standard- och specialnivåer av inställningar. Standardinställningarna är kombinationer av de speciella behörigheterna, vilket gör konfigurationen effektivare och lättare att upprätta. Dessa behörigheter omfattar följande, som visas i figur 2:
- Full Control
- Modify
- Read & Execute
- List Folder Contents
- Read
- Write
Figur 2: NTFS-standardbehörigheter för en mapp
Det finns 14 specialbehörigheter för mappar, som omfattar detaljerad kontroll över skapande, ändring, läsning och radering av undermappar och filer som finns i den mapp där behörigheterna fastställs.
NTFS-behörigheter är associerade med objektet, så behörigheterna är alltid kopplade till objektet vid en omdöpning, flytt eller arkivering av objektet.
Delningsbehörigheter är endast kopplade till den mapp som delas. Om det till exempel finns fem undermappar under mappen som delas kan endast den första delade mappen ha delningsbehörigheter konfigurerade för den. NTFS-behörigheter kan fastställas för varje fil och mapp i datalagringsstrukturen, även om en mapp inte delas.
Delningsbehörigheter konfigureras på fliken Delning för den delade mappen. På den här fliken finns en knapp Behörigheter, som exponerar delningsbehörigheterna när den väljs, vilket visas i figur 3.
Figur 3: Delningsbehörigheter på en delad mapp
Som du kan se är delningsbehörigheternas standardlista med alternativ inte lika robust som NTFS-behörigheterna. Delningsbehörigheterna ger endast full kontroll, ändring och läsning. Det finns inga specialbehörigheter tillgängliga för delningsbehörigheter, så standardbehörigheterna är så granulära som möjligt för den här typen av åtkomstkontroll.
Delningsbehörigheterna är inte en del av mappen eller filen, så när delningsnamnet ändras, mappen flyttas eller mappen säkerhetskopieras, är delningsbehörigheterna inte med. Detta gör att kontrollen av delningsbehörigheterna är bräcklig om mappen ändras.
Historiska delningsbehörigheter
Microsoft har historiskt sett konfigurerat alla nya delade mappar med mycket öppna delningsbehörigheter. Standardbehörigheterna för Windows NT, Windows 2000 (Server och Professional) och Windows XP (före Service Pack 1) är att gruppen Alla har tillgång till fullständig kontroll.
Detta kan tyckas osäkert med full kontrollåtkomst, men när NTFS-behörigheterna kombineras med delningsbehörigheterna är det den säkraste av de två behörigheterna som styr åtkomsten till resursen.
Förr i tiden kan det orsaka mer problem än vad det är värt när delningsbehörigheter ändras från att Alla har Full kontroll. När ett företag till exempel vanligtvis inte använder delningsbehörigheter kan det ta en längre cykel att åtgärda åtkomst till resurser när de används. När delningsbehörigheter konfigureras felaktigt för en delad mapp är delningsbehörigheterna inte den första konfigurationen som ska kontrolleras. I de flesta fall har jag upptäckt att det kan ta flera timmar innan delningsbehörigheterna undersöks. Under felsökningsprocedurerna kan användare läggas till i ”admin”-grupperna, ges förhöjda användarrättigheter och läggas till direkt i resursens ACL. När delningsbehörigheterna slutligen undersöks och åtgärdas kan det vara svårt att komma ihåg alla andra konfigurationer som har gjorts för att försöka åtgärda användarnas tillgång till resursen. Naturligtvis lämnar detta resursen och nätverket som helhet i ett osäkert tillstånd, allt på grund av att delningsbehörigheter konfigurerats felaktigt.
Nya delningsbehörigheter
Med tanke på all förvirring som de gamla delningsbehörigheterna kunde orsaka beslutade Microsoft att ändra reglerna för standarddelningsbehörigheter i samband med att Windows XP Service Pack 1 släpptes. I alla operativsystem efter detta servicepack (inklusive Windows Server 2003) är de nya standardbehörigheterna för alla nya delade mappar Alla har endast läsbehörighet, vilket visas i figur 3.
Detta verkar vara en bra säkerhetsinställning, tills du tänker på hur många resurser i nätverket som faktiskt kan ha ”skrivskyddad” åtkomst för alla. Det är inte många, på grund av att användarna måste modifiera och ändra innehållet i de flesta resurser för att vara produktiva.
I nästan alla fall måste delningsbehörigheterna ändras från läsbehörighet. Detta gör att administratören måste konfigurera detaljerade delningsbehörigheter, vilket kan orsaka de problem som vi diskuterade tidigare när det gäller felsökning av resursåtkomst med de gamla delningsbehörigheterna som ändras. I och med att delningsbehörigheterna ändras som standard har jag upptäckt att många administratörer inte känner att de behöver konfigurera NTFS-behörigheter längre, eftersom de förlitar sig på att delningsbehörigheterna skyddar resursen. Detta är ett grovt fel och lämnar nätverket och resurserna i ett mycket sårbart tillstånd. Delningsbehörigheter är endast giltiga när resursen nås via nätverket, men inte när den nås lokalt, med hjälp av terminaltjänster osv. Kom också ihåg att delningsbehörigheter inte säkerhetskopieras tillsammans med resursen, så alla säkerhetskopierade filer är också sårbara, utan att några behörigheter skyddar dem.
Bästa praxis för delningsbehörigheter
Som bästa praxis är det mest effektivt att konfigurera delningsbehörigheter så att autentiserade användare har tillgång till full kontroll. Därefter bör NTFS-behörigheterna konfigurera varje grupp med standardbehörigheter. Detta ger utmärkt säkerhet för lokal och nätverksåtkomst till resursen. Det ger också ett utmärkt skydd för resursen när den säkerhetskopieras och när resursnamnet ändras eller flyttas. Som jag sa tidigare kommer NTFS-behörigheterna att skydda resursen även om delningsbehörigheterna är inställda på full kontrollåtkomst.
Sammanfattning
Delningsbehörigheter är inte i sig dåliga, men det finns många sätt att använda dem felaktigt. Om dokumentationen och den administrativa personalen är mycket kunniga kan delningsbehörigheter användas tillsammans med NTFS-behörigheter för att ytterligare låsa och säkra nätverksresurser. Om dokumentationen är bristfällig och om IT-personalens omsättning är hög är det dock bäst att inte använda delningsbehörigheter och att låta NTFS-behörigheterna sköta säkerheten för nätverksresurserna. Även om Microsoft har ändrat delningsbehörigheterna till att vara Läsning för gruppen Alla, är detta inte en lösning i verkligheten. Det är bara Microsofts bästa försök att öka säkerheten för nätverksresurser, vilket tyvärr inte är ett särskilt bra försök.