Oprávnění NTFS vs. sdílení:
Jedním z nejdůležitějších konceptů zabezpečení je správa oprávnění: zajištění správného nastavení oprávnění u uživatelů – a to obvykle znamená znát rozdíl mezi oprávněními sdílení a NTFS.
Oprávnění ke sdílení a NTFS fungují zcela odděleně, ale v konečném důsledku slouží ke stejnému účelu: zabránit neoprávněnému přístupu.
Získejte zdarma knihu Pen Testing Active Directory Environments EBook
Pokud se však oprávnění NTFS a sdílená oprávnění vzájemně ovlivňují nebo pokud je sdílená složka v samostatné sdílené složce s odlišnými oprávněními ke sdílení, uživatelé nemusí mít přístup ke svým datům nebo mohou získat vyšší úroveň přístupu, než správci zabezpečení zamýšlejí.
Tady jsou klíčové rozdíly mezi oprávněními ke sdílení a NTFS, abyste věděli, co dělat.
Co je NTFS?
Systém souborů je způsob organizace disku, který udává, jak jsou data na disku uložena a jaké typy informací mohou být k souborům připojeny, například oprávnění a názvy souborů.
NTFS (NT File System) je zkratka pro New Technology File System (NTFS). NTFS je nejnovější souborový systém, který operační systém Windows NT používá k ukládání a vyhledávání souborů. Před systémem NTFS byl ve starších operačních systémech společnosti Microsoft primárním souborovým systémem systém FAT (File allocation table), který byl určen pro malé disky a jednoduché struktury složek.
Systém souborů NTFS podporuje větší velikosti souborů a pevných disků a je bezpečnější než systém FAT. Společnost Microsoft poprvé představila systém NTFS v roce 1993 při vydání systému Windows NT 3.1. Jedná se o souborový systém používaný v operačních systémech Microsoft Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000 a Windows NT.
Oprávnění NTFS
Oprávnění NTFS slouží ke správě přístupu k souborům a složkám uloženým v souborových systémech NTFS.
Chcete-li zjistit, jaký druh oprávnění rozšíříte při sdílení souboru nebo složky:
- Klikněte pravým tlačítkem myši na soubor/složku
- Přejděte na „Vlastnosti“
- Klikněte na kartu „Zabezpečení“
Všechny pak budete navigovat tímto oknem:
Kromě možností Plné řízení, Změnit a Číst, které lze nastavit pro skupiny nebo jednotlivě, nabízí systém NTFS několik dalších možností oprávnění:
- Plné řízení: Umožňuje uživatelům číst, zapisovat, měnit a mazat soubory a podsložky. Kromě toho mohou uživatelé měnit nastavení oprávnění pro všechny soubory a podadresáře.
- Upravit: Umožňuje uživatelům číst a zapisovat soubory a podsložky; umožňuje také mazání složky.
- Čtení & provést: Umožňuje uživatelům zobrazovat a spouštět spustitelné soubory, včetně skriptů.
- Seznam obsahu složky: Umožňuje prohlížení a výpis souborů a podsložek i spouštění souborů; dědí se pouze po složkách.
- Číst: Umožňuje uživatelům prohlížet obsah složky a podsložek.
- Zápis: Umožňuje uživatelům přidávat soubory a podsložky, umožňuje zapisovat do souboru.
Pokud jste se někdy zabývali správou oprávnění ve vaší organizaci, nakonec jste se setkali s „porušenými“ oprávněními. Buďte si jisti, že se dají opravit.
Oprávnění ke sdílení
Když sdílíte složku a chcete pro ni nastavit oprávnění – jedná se o sdílení. Oprávnění ke sdílení v podstatě určují typ přístupu ostatních ke sdílené složce v síti.
Chcete-li zjistit, jaký typ oprávnění se při sdílení složky rozšíří:
- Right click on the folder
- Go to „Properties“
- Click on the „Sharing“ tab
- Click on „Advanced Sharing…“
- Click on „Permissions“
And you’ll navigate to this window:
There are three types of share permissions: Full Control, Change, and Read.
- Full Control: Enables users to „read,“ „change,“ as well as edit permissions and take ownership of files.
- Change: Change means that user can read/execute/write/delete folders/files within share.
- Read: Číst umožňuje uživatelům prohlížet obsah složky.
Upozornění k oprávněním ke sdílené složce
Občas, když máte na serveru více sdílených složek, které jsou vnořené pod sebou, mohou být oprávnění komplikovaná a nepřehledná.
Pokud máte například oprávnění ke sdílené složce „Číst“ v podsložce, ale pak někdo vytvoří oprávnění ke sdílené složce „Změnit“ nad ní ve vyšším kořenovém adresáři, může se stát, že lidé získají vyšší úrovně přístupu, než jste zamýšleli.
Existuje způsob, jak to obejít, ke kterému se dostanu níže.
Jak používat oprávnění sdílení a NTFS společně
Jednou z častých otázek, které se objevují při konfiguraci zabezpečení, je: „Co se stane, když se oprávnění sdílení a NTFS vzájemně ovlivňují?“
Pokud používáte oprávnění sdílení a NTFS společně, vítězí nejrestriktivnější oprávnění.
Podívejte se na následující příklady:
Pokud jsou oprávnění sdílené složky „Číst“, oprávnění NTFS „Plné řízení“, když uživatel přistupuje k souboru ve sdílené složce, získá oprávnění „Číst“.
Jsou-li oprávnění sdílené složky „Plné řízení“, oprávnění NTFS jsou „Čtení“, když uživatel přistupuje k souboru ve sdílené složce, bude mu stále přiděleno oprávnění „Čtení“.
Správa oprávnění NTFS a oprávnění sdílené složky
Pokud se vám zdá práce se dvěma samostatnými sadami oprávnění příliš složitá nebo časově náročná, můžete přejít na používání pouze oprávnění NTFS.
Podíváte-li se na výše uvedené příklady, s nastavením pouze tří typů oprávnění poskytují oprávnění sdílené složky omezené zabezpečení složek. Největší flexibilitu proto získáte použitím oprávnění NTFS pro řízení přístupu ke sdíleným složkám.