NTFS-machtigingen versus delen: Alles wat u moet weten
Een van de meest cruciale beveiligingsconcepten is het beheer van machtigingen: ervoor zorgen dat de juiste machtigingen worden ingesteld bij gebruikers – en dat betekent meestal dat u het verschil moet weten tussen share- en NTFS-machtigingen.
Share- en NTFS-machtigingen functioneren volledig los van elkaar, maar dienen uiteindelijk hetzelfde doel: voorkomen dat onbevoegden toegang krijgen.
Geef het gratis EBook Pen Testing Active Directory Environments
Hoewel, wanneer NTFS- en share-permissies op elkaar inwerken of wanneer een gedeelde map zich in een aparte gedeelde map met verschillende share-permissies bevindt, is het mogelijk dat gebruikers geen toegang tot hun gegevens hebben of dat ze hogere toegangsniveaus krijgen dan de beveiligingsbeheerders van plan zijn.
Hier volgen de belangrijkste verschillen tussen share- en NTFS-permissies, zodat u weet wat u moet doen.
Wat is NTFS?
Een bestandssysteem is een manier om een schijf te organiseren, waarbij wordt aangegeven hoe gegevens op de schijf worden opgeslagen en welke soorten informatie aan bestanden kunnen worden gekoppeld, zoals machtigingen en bestandsnamen.
NTFS (NT File System) staat voor New Technology File System (NTFS). NTFS is het nieuwste bestandssysteem dat het Windows NT-besturingssysteem gebruikt voor het opslaan en ophalen van bestanden. Vóór NTFS was het bestandssysteem File Allocation Table (FAT) het primaire bestandssysteem in de oudere besturingssystemen van Microsoft, en was het ontworpen voor kleine schijven en eenvoudige mappenstructuren.
NTFS bestandssysteem ondersteunt grotere bestanden en harde schijven en is veiliger dan FAT. Microsoft introduceerde NTFS voor het eerst in 1993 met de release van Windows NT 3.1. Het is het bestandssysteem dat wordt gebruikt in Microsofts besturingssystemen Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000 en Windows NT.
NTFS-machtigingen
NTFS-machtigingen worden gebruikt om de toegang te beheren tot de bestanden en mappen die zijn opgeslagen in NTFS-bestandssystemen.
Om te zien wat voor soort permissies u krijgt als u een bestand of map deelt:
- Rechtsklik op het bestand of de map
- Ga naar “Eigenschappen”
- Klik op het tabblad “Beveiliging”
Daarna navigeert u door dit venster:
Naast Volledige controle, Wijzigen en Lezen, die voor groepen of individueel kunnen worden ingesteld, biedt NTFS nog een paar toestemmingsopties:
- Volledige controle: Hiermee kunnen gebruikers bestanden en submappen lezen, schrijven, wijzigen en verwijderen. Bovendien kunnen gebruikers de machtigingsinstellingen voor alle bestanden en submappen wijzigen.
- Wijzigen: Staat gebruikers toe bestanden en submappen te lezen en te schrijven; staat ook het verwijderen van de map toe.
- Lezen & Uitvoeren: Staat gebruikers toe uitvoerbare bestanden, inclusief scripts, te bekijken en uit te voeren.
- Lijst mapinhoud: Staat het bekijken en opsommen van bestanden en submappen toe, evenals het uitvoeren van bestanden; alleen geërfd door mappen.
- Lezen: Staat gebruikers toe de map- en submapinhoud te bekijken.
- Schrijven: Staat gebruikers toe om bestanden en submappen toe te voegen, maakt het mogelijk om naar een bestand te schrijven.
Als u ooit betrokken bent geweest bij het beheer van machtigingen binnen uw organisatie, dan zult u uiteindelijk ‘kapotte’ machtigingen tegenkomen. Wees gerust, ze zijn te repareren.
Deelmachtigingen
Wanneer je een map deelt en de machtigingen voor die map wilt instellen – dat is een share. In wezen bepalen de deelrechten welk type toegang anderen hebben tot de gedeelde map in het netwerk.
Om te zien wat voor soort machtigingen je krijgt als je een map deelt:
- Right click on the folder
- Go to “Properties”
- Click on the “Sharing” tab
- Click on “Advanced Sharing…”
- Click on “Permissions”
And you’ll navigate to this window:
There are three types of share permissions: Full Control, Change, and Read.
- Full Control: Enables users to “read,” “change,” as well as edit permissions and take ownership of files.
- Change: Change means that user can read/execute/write/delete folders/files within share.
- Read: Read staat gebruikers toe de inhoud van de map te bekijken.
Een Caveat op Share Permissies
Soms, wanneer je meerdere shares op een server hebt die onder elkaar genest zijn, kunnen permissies ingewikkeld en rommelig worden.
Bijv. als je een “Read” map in een submap share permissie hebt, maar dan maakt iemand een “Modify” share permissie erboven op een hogere root, dan kan je mensen hebben die hogere toegangsniveaus krijgen dan je bedoelt.
Er is een manier om dit te omzeilen, waar ik hieronder op in ga.
Hoe gebruik je Share en NTFS rechten samen
Een van de meest gestelde vragen bij het configureren van beveiliging is: “Wat gebeurt er als share en NTFS rechten op elkaar inwerken?”
Wanneer je share en NTFS rechten samen gebruikt, wint de meest beperkende rechten.
Kijk eens naar de volgende voorbeelden:
Als de share-permissies “Lezen” zijn en de NTFS-permissies “Volledige controle”, krijgt een gebruiker die het bestand op de share benadert de permissie “Lezen”.
Als de deelmachtigingen “Volledige controle” zijn, zijn de NTFS-machtigingen “Lezen”, en krijgt een gebruiker die toegang heeft tot het bestand op de share, toch de machtiging “Lezen”.
Beheer van NTFS-machtigingen en Share-machtigingen
Als u het werken met twee afzonderlijke sets machtigingen te ingewikkeld of te tijdrovend vindt om te beheren, kunt u overschakelen op het gebruik van alleen NTFS-machtigingen.
Als u kijkt naar de voorbeelden hierboven, met slechts drie soorten machtigingen ingesteld, bieden de machtigingen voor gedeelde mappen een beperkte beveiliging voor uw mappen. Daarom krijgt u de meeste flexibiliteit door NTFS-machtigingen te gebruiken om de toegang tot gedeelde mappen te regelen.