Поделиться разрешениями

Опубликовано: 12 Апреля, 2023


Введение


Концепция сети компьютеров не нова и не революционна. Серверы, обычно находящиеся в запертых помещениях, хранят ресурсы компании (папки, файлы, документы, электронные таблицы и т. д.). Эти серверы заперты за закрытыми дверями, поэтому сотрудники имеют доступ к ресурсам только через сеть. Таким образом, одним из уровней безопасности для защиты ресурса является физическая безопасность, которая обеспечивается за счет запрета сотрудникам прямого доступа к оборудованию, на котором расположен ресурс.


Чтобы сотрудники могли получить доступ к ресурсам, хранящимся на серверах, сервер должен быть настроен так, чтобы сотрудники могли получать доступ к ресурсам по сети. Для среды Windows это делается через общие папки. Когда папка является общей, она становится доступной по сети, поэтому все пользователи в сети могут видеть имя общей папки, как показано на рисунке 1.



Изображение 26013
Рисунок 1: Список общих папок, доступных на сервере по сети


Чтобы защитить ресурсы, доступные через общие папки, администраторы должны настроить «разрешения» для папок и файлов, доступных по сети. Существует два типа разрешений, которые можно настроить для общих папок: общий доступ и NTFS. Мы сосредоточимся на разрешениях общего доступа, обсудим некоторые подводные камни, возникающие при их использовании, а также некоторые рекомендуемые методы успешной настройки разрешений для общих папок.


История двух разрешений


Чтобы убедиться, что я ясно описываю свое описание разрешений, доступных для общей папки, я хотел начать с описания двух разных разрешений, которые можно настроить для каждой общей папки. Два разрешения: общий доступ и NTFS.


Разрешения NTFS — это атрибут папки или файла, для которого они настроены. Разрешения NTFS включают как стандартные, так и специальные уровни настроек. Стандартные настройки представляют собой комбинации специальных разрешений, делающих настройку более эффективной и простой в настройке. Эти разрешения включают следующее, как показано на рис. 2:



  • Полный контроль
  • Изменить
  • Читать и выполнять
  • Список содержимого папки
  • Читать
  • Напишите


Изображение 26014
Рисунок 2: Стандартные разрешения NTFS для папки


Существует 14 специальных разрешений для папок, которые включают подробный контроль над созданием, изменением, чтением и удалением подпапок и файлов, содержащихся в папке, для которой установлены разрешения.


Разрешения NTFS связаны с объектом, поэтому разрешения всегда связаны с объектом во время переименования, перемещения или архивирования объекта.


Разрешения на общий доступ связаны только с папкой, к которой предоставляется общий доступ. Например, если под общей папкой есть 5 вложенных папок, только для исходной общей папки могут быть настроены разрешения общего доступа. Разрешения NTFS могут быть установлены для каждого файла и папки в структуре хранилища данных, даже если папка не является общей.


Разрешения общего доступа настраиваются на вкладке «Общий доступ» общей папки. На этой вкладке у вас будет кнопка «Разрешения», при выборе которой отображаются разрешения общего доступа, как показано на рисунке 3.



Изображение 26015
Рисунок 3. Общие разрешения для общей папки


Как видите, стандартный список параметров разрешений общего доступа не так надежен, как разрешения NTFS. Разрешения общего доступа предоставляют только полный доступ, изменение и чтение. Для разрешений общего доступа не существует специальных разрешений, поэтому стандартные разрешения настолько детализированы, насколько вы можете использовать этот набор контроля доступа.


Разрешения общего доступа не являются частью папки или файла, поэтому при изменении имени общего ресурса, перемещении папки или резервном копировании папки разрешения общего доступа не включаются. Это делает ненадежным контроль над разрешениями общего доступа, если папка изменена.


Исторические разрешения на общий доступ


Microsoft исторически настраивала все новые общие папки с очень открытыми разрешениями общего доступа. Разрешения общего доступа по умолчанию для Windows NT, Windows 2000 (Server и Professional) и Windows XP (до пакета обновления 1) таковы, что группа «Все» имеет доступ «Полный доступ».


Это может показаться небезопасным при полном доступе, но когда разрешения NTFS объединяются с разрешениями общего доступа, наиболее безопасное из двух разрешений управляет доступом к ресурсу.


В прошлом, когда права доступа к общему ресурсу изменялись с «Все, имеющие полный доступ», это могло вызвать больше проблем, чем того стоило. Например, если компания обычно не использует разрешения на общий доступ, может потребоваться более длительный цикл для исправления доступа к ресурсам, когда они используются. Если разрешения общего доступа настроены неправильно для общей папки, разрешения общего доступа не являются исходной конфигурацией, которую необходимо проверить. В большинстве случаев я обнаружил, что проверка разрешений общего доступа может занять несколько часов. Во время процедур устранения неполадок пользователи могут быть добавлены в группы «администраторов», наделены повышенными правами пользователя и добавлены непосредственно в ACL ресурса. Когда права доступа к общему ресурсу окончательно исследованы и исправлены, может быть трудно вспомнить все другие конфигурации, которые были сделаны в попытке исправить доступ пользователей к ресурсу. Конечно, это оставляет ресурс и всю сеть в небезопасном состоянии из-за неправильной настройки разрешений на общий доступ.


Новые разрешения на общий доступ


Со всей путаницей, которую могли вызвать старые разрешения на общий доступ, Microsoft решила изменить правила для разрешений на общий доступ по умолчанию с выпуском пакета обновления 1 для Windows XP. разрешения по умолчанию для всех новых общих папок — «Все, имеющие доступ только для чтения», как показано на рис. 3.


Это кажется хорошей настройкой безопасности, пока вы не подумаете, сколько ресурсов в вашей сети на самом деле может иметь доступ «только для чтения» для всех. Их не так много из-за того, что пользователям необходимо модифицировать и изменять содержимое большинства ресурсов, чтобы работать продуктивно.


Почти в каждом случае необходимо будет изменить права доступа к общему ресурсу с «Чтение». Это настраивает администратора на настройку подробных разрешений общего доступа, что может вызвать проблемы, которые мы обсуждали ранее в отношении устранения неполадок доступа к ресурсам с изменением старых разрешений общего доступа. Я обнаружил, что с изменением разрешений общего доступа по умолчанию многие администраторы не считают, что им больше нужно настраивать разрешения NTFS, поскольку они полагаются на разрешения общего доступа для защиты ресурса. Это грубая ошибка, которая оставляет сеть и ресурсы в очень уязвимом состоянии. Разрешения на общий доступ действительны только при доступе к ресурсу по сети, но не при локальном доступе, с использованием служб терминалов и т. д. Также помните, что разрешения на общий доступ не резервируются вместе с ресурсом, поэтому все резервные копии файлов также уязвимы. без каких-либо разрешений, защищающих их.


Рекомендации по совместному использованию разрешений


Рекомендуется настраивать разрешения общего доступа для пользователей, прошедших проверку подлинности и имеющих полный доступ. Затем разрешения NTFS должны настроить каждую группу со стандартными разрешениями. Это обеспечивает превосходную безопасность локального и сетевого доступа к ресурсу. Он также обеспечивает превосходную защиту ресурса при резервном копировании, а также при изменении или перемещении имени ресурса. Как я уже говорил ранее, разрешения NTFS будут защищать ресурс, даже если для общих разрешений установлено значение «Полный доступ».


Резюме


Разрешения на общий доступ по своей сути не являются чем-то плохим, но существует множество способов их неправильного использования. Если документация и административный персонал очень сообразительны, разрешения на общий доступ можно использовать в сочетании с разрешениями NTFS для дополнительной блокировки и защиты сетевых ресурсов. Однако, если имеется мало документации и высокая текучесть кадров среди ИТ-персонала, рекомендуется не использовать общие разрешения и оставить безопасность сетевых ресурсов разрешениям NTFS. Несмотря на то, что Microsoft изменила права доступа к общему ресурсу на «Чтение для группы «Все», это не указывает на реальное решение. Это просто лучшая попытка Microsoft повысить безопасность сетевых ресурсов, что, к сожалению, не очень хорошая попытка.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023