NTFS-engedélyek vs. Megosztás:
Az egyik legkritikusabb biztonsági fogalom a jogosultságok kezelése: a megfelelő jogosultságok beállításának biztosítása a felhasználóknál – és ez általában a megosztás és az NTFS-jogosultságok közötti különbség ismeretét jelenti.
A megosztási és NTFS-engedélyek egymástól teljesen függetlenül működnek, de végső soron ugyanazt a célt szolgálják: a jogosulatlan hozzáférés megakadályozását.
Kérje az ingyenes Pen Testing Active Directory-környezetek EBookot
Ha azonban az NTFS és a megosztási engedélyek kölcsönhatásba lépnek egymással, vagy ha egy megosztott mappa egy külön megosztott mappában található, eltérő megosztási engedélyekkel, előfordulhat, hogy a felhasználók nem tudnak hozzáférni az adataikhoz, vagy magasabb szintű hozzáférést kaphatnak, mint amit a biztonsági adminok szándékoznak.
Itt vannak a legfontosabb különbségek a megosztási és az NTFS engedélyek között, hogy tudja, mit kell tennie.
Mi az NTFS?
A fájlrendszer a meghajtó szervezésének egy módja, amely jelzi, hogyan tárolódnak az adatok a meghajtón, és milyen típusú információk csatolhatók a fájlokhoz, például engedélyek és fájlnevek.
NTFS (NT File System) a New Technology File System (NTFS) rövidítése. Az NTFS a legújabb fájlrendszer, amelyet a Windows NT operációs rendszer használ a fájlok tárolására és visszakeresésére. Az NTFS előtt a FAT (File Allocation Table) fájlrendszer volt az elsődleges fájlrendszer a Microsoft régebbi operációs rendszereiben, amelyet kis lemezekhez és egyszerű mappastruktúrákhoz terveztek.
Az NTFS fájlrendszer támogatja a nagyobb méretű fájlokat és merevlemezeket, és biztonságosabb, mint a FAT. A Microsoft az NTFS-t először 1993-ban, a Windows NT 3.1 kiadásával vezette be. Ez a Microsoft Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000 és Windows NT operációs rendszerekben használt fájlrendszer.
NTFS engedélyek
Az NTFS engedélyek az NTFS fájlrendszerekben tárolt fájlok és mappák hozzáférésének kezelésére szolgálnak.
Hogy megnézze, milyen engedélyeket terjeszt ki egy fájl vagy mappa megosztásakor:
- Jobb egérgombbal kattintson a fájlra/mappára
- Menjen a “Tulajdonságok”
- Kattintson a “Biztonság” fülre
Azután ebben az ablakban navigál:
A csoportokra vagy egyénileg beállítható Teljes ellenőrzés, Módosítás és Olvasás mellett az NTFS néhány további engedélyezési lehetőséget is kínál:
- Teljes ellenőrzés: Lehetővé teszi a felhasználók számára a fájlok és almappák olvasását, írását, módosítását és törlését. Ezenkívül a felhasználók megváltoztathatják az összes fájl és alkönyvtár jogosultsági beállításait.
- Módosítás: Lehetővé teszi a felhasználók számára a fájlok és almappák olvasását és írását; továbbá lehetővé teszi a mappa törlését.
- Olvasás & végrehajtás: Lehetővé teszi a felhasználók számára a futtatható fájlok megtekintését és futtatását, beleértve a szkripteket is.
- Mappa tartalmának listázása: Engedélyezi a fájlok és almappák megtekintését és listázását, valamint a fájlok végrehajtását; csak mappák által örökölt.
- Read: Lehetővé teszi a felhasználók számára a mappák és almappák tartalmának megtekintését.
- Írás: Lehetővé teszi a felhasználók számára, hogy fájlokat és almappákat adjanak hozzá, lehetővé teszi a fájlba való írást.
Ha valaha is részt vett a szervezeten belüli jogosultságkezelésben, előbb-utóbb találkozni fog “törött” jogosultságokkal. Nyugodt lehetsz, ezek javíthatók.
Megosztási engedélyek
Ha megosztasz egy mappát, és be akarod állítani a mappa engedélyeit – ez egy megosztás. Lényegében a megosztási engedélyek határozzák meg, hogy mások milyen típusú hozzáféréssel rendelkeznek a megosztott mappához a hálózaton keresztül.
Hogy lássa, milyen engedélyeket terjeszt ki egy mappa megosztásakor:
- Right click on the folder
- Go to “Properties”
- Click on the “Sharing” tab
- Click on “Advanced Sharing…”
- Click on “Permissions”
And you’ll navigate to this window:
There are three types of share permissions: Full Control, Change, and Read.
- Full Control: Enables users to “read,” “change,” as well as edit permissions and take ownership of files.
- Change: Change means that user can read/execute/write/delete folders/files within share.
- Read: Az Olvasás lehetővé teszi a felhasználók számára a mappa tartalmának megtekintését.
A megosztási engedélyekkel kapcsolatos figyelmeztetés
Néha, amikor egy kiszolgálón több megosztás van, amelyek egymás alá vannak fészkelve, az engedélyek bonyolulttá és kuszává válhatnak.
Ha például egy almappában van egy “Olvasás” mappa megosztási engedély, de valaki létrehoz egy “Módosítás” megosztási engedélyt felette egy magasabb gyökérnél, akkor előfordulhat, hogy az emberek magasabb szintű hozzáférést kapnak, mint amit szándékában áll.
Ez megkerülhető, amire alább kitérek.
Hogyan használjuk együtt a megosztási és NTFS-engedélyeket
A biztonság beállításakor gyakran felmerülő kérdések egyike, hogy “mi történik, ha a megosztási és NTFS-engedélyek kölcsönhatásba lépnek egymással?”
A megosztási és NTFS-engedélyek együttes használatakor a legszigorúbb engedély nyer.
Nézzük meg a következő példákat:
Ha a megosztás engedélyei “Olvasás”, az NTFS engedélyei pedig “Teljes ellenőrzés”, akkor amikor egy felhasználó hozzáfér a megosztáson lévő fájlhoz, akkor “Olvasás” engedélyt kap.
Ha a megosztási engedélyek “Teljes ellenőrzés”, az NTFS engedélyek “Olvasás”, amikor egy felhasználó hozzáfér a megosztáson lévő fájlhoz, akkor is “Olvasás” engedélyt kap.
NTFS-engedélyek és megosztási engedélyek kezelése
Ha túl bonyolultnak vagy időigényesnek találja a két külön engedélykészlet kezelését, akkor áttérhet arra, hogy csak NTFS-engedélyeket használjon.
A fenti példákat nézve, a megosztott mappák engedélyei mindössze háromféle engedély beállításával korlátozott biztonságot nyújtanak a mappák számára. Ezért a legnagyobb rugalmasságot az NTFS-engedélyek használatával érheti el a megosztott mappákhoz való hozzáférés szabályozásához.