Uprawnienia NTFS a udział: Everything You Need to Know
Jedną z najbardziej krytycznych koncepcji bezpieczeństwa jest zarządzanie uprawnieniami: zapewnienie, że odpowiednie uprawnienia są ustawione z użytkownikami – a to zazwyczaj oznacza znajomość różnicy między uprawnieniami share i NTFS.
Uprawnienia Share i NTFS funkcjonują zupełnie niezależnie od siebie, ale ostatecznie służą temu samemu celowi: zapobieganiu nieautoryzowanemu dostępowi.
Zdobądź darmową książkę Pen Testing Active Directory Environments EBook
Jednakże, gdy uprawnienia NTFS i uprawnienia do udziałów współdziałają ze sobą lub gdy folder współdzielony znajduje się w oddzielnym folderze współdzielonym z różnymi uprawnieniami do udziałów, użytkownicy mogą nie być w stanie uzyskać dostępu do swoich danych lub mogą uzyskać wyższy poziom dostępu niż zamierzają administratorzy bezpieczeństwa.
Oto kluczowe różnice między uprawnieniami do udziałów i NTFS, dzięki czemu będziesz wiedział, co robić.
Co to jest NTFS?
System plików to sposób organizacji dysku, wskazujący w jaki sposób dane są przechowywane na dysku i jakie typy informacji mogą być dołączone do plików, takie jak uprawnienia i nazwy plików.
NTFS (NT File System) to skrót od New Technology File System (NTFS). NTFS to najnowszy system plików używany przez system operacyjny Windows NT do przechowywania i pobierania plików. Przed NTFS podstawowym systemem plików w starszych systemach operacyjnych firmy Microsoft był system plików z tablicą alokacji plików (FAT), przeznaczony dla małych dysków i prostych struktur folderów.
System plików NTFS obsługuje pliki o większych rozmiarach i dyski twarde oraz jest bezpieczniejszy niż FAT. Microsoft po raz pierwszy wprowadził NTFS w 1993 roku wraz z wydaniem Windows NT 3.1. Jest to system plików używany w systemach operacyjnych Microsoft Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000 i Windows NT.
Uprawnienia NTFS
Uprawnienia NTFS są używane do zarządzania dostępem do plików i folderów, które są przechowywane w systemach plików NTFS.
Aby zobaczyć jakiego rodzaju uprawnienia zostaną rozszerzone podczas współdzielenia pliku lub folderu:
- Kliknij prawym przyciskiem myszy na plik/folder
- Przejdź do „Właściwości”
- Kliknij na zakładkę „Bezpieczeństwo”
Wszystko to spowoduje, że będziesz poruszał się w tym oknie:
Oprócz uprawnień Pełna kontrola, Zmiana i Odczyt, które można ustawić dla grup lub indywidualnie, NTFS oferuje jeszcze kilka innych opcji uprawnień:
- Pełna kontrola: Pozwala użytkownikom na odczyt, zapis, zmianę i usuwanie plików i podfolderów. Dodatkowo, użytkownicy mogą zmieniać ustawienia uprawnień dla wszystkich plików i podkatalogów.
- Modyfikuj: Umożliwia użytkownikom odczyt i zapis plików i podfolderów; pozwala również na usunięcie folderu.
- Read & execute: Umożliwia użytkownikom przeglądanie i uruchamianie plików wykonywalnych, w tym skryptów.
- List folder contents: Zezwala na przeglądanie i listowanie plików i podfolderów oraz wykonywanie plików; dziedziczone tylko przez foldery.
- Odczyt: Umożliwia użytkownikom przeglądanie zawartości folderów i podfolderów.
- Write: Pozwala użytkownikom na dodawanie plików i podfolderów, pozwala na zapis do pliku.
Jeśli kiedykolwiek zajmowałeś się zarządzaniem uprawnieniami w swojej organizacji, w końcu natkniesz się na „zepsute” uprawnienia. Możesz być pewien, że da się je naprawić.
Udostępnianie uprawnień
Gdy udostępniasz folder i chcesz ustawić uprawnienia dla tego folderu – to jest udział. Zasadniczo, uprawnienia udziału określają rodzaj dostępu innych osób w sieci do udostępnionego folderu.
Aby zobaczyć, jakiego rodzaju uprawnienia będą rozszerzane podczas udostępniania folderu:
- Right click on the folder
- Go to „Properties”
- Click on the „Sharing” tab
- Click on „Advanced Sharing…”
- Click on „Permissions”
And you’ll navigate to this window:
There are three types of share permissions: Full Control, Change, and Read.
- Full Control: Enables users to „read,” „change,” as well as edit permissions and take ownership of files.
- Change: Change means that user can read/execute/write/delete folders/files within share.
- Read: Read pozwala użytkownikom na przeglądanie zawartości folderu.
Zastrzeżenie dotyczące uprawnień do udziałów
Czasami, gdy masz wiele udziałów na serwerze, które są zagnieżdżone jeden pod drugim, uprawnienia mogą stać się skomplikowane i niechlujne.
Na przykład, jeśli masz folder „Read” w uprawnieniu do udziału w podfolderze, ale potem ktoś tworzy uprawnienie do udziału „Modify” nad nim w wyższym korzeniu, możesz mieć ludzi uzyskujących wyższe poziomy dostępu niż zamierzasz.
Jest sposób na obejście tego problemu, do którego przejdę poniżej.
Jak używać uprawnień Share i NTFS razem
Jednym z częstych pytań, które pojawia się podczas konfigurowania zabezpieczeń jest „co się stanie, gdy uprawnienia share i NTFS będą ze sobą współdziałać?”
Gdy używasz uprawnień share i NTFS razem, najbardziej restrykcyjne uprawnienie wygrywa.
Rozważmy następujące przykłady:
Jeśli uprawnienia do udziału to „Odczyt”, uprawnienia NTFS to „Pełna kontrola”, kiedy użytkownik uzyska dostęp do pliku na udziale, otrzyma uprawnienia „Odczyt”.
Jeśli uprawnienia do udziałów to „Pełna kontrola”, uprawnienia NTFS to „Odczyt”, gdy użytkownik uzyskuje dostęp do pliku na udziale, nadal będzie miał uprawnienia „Odczyt”.
Zarządzanie uprawnieniami NTFS i uprawnieniami do udziałów
Jeśli uważasz, że praca z dwoma oddzielnymi zestawami uprawnień jest zbyt skomplikowana lub czasochłonna do zarządzania, możesz przełączyć się na używanie tylko uprawnień NTFS.
Patrząc na powyższe przykłady, z tylko trzema typami ustawień uprawnień, uprawnienia do folderów współdzielonych zapewniają ograniczone bezpieczeństwo folderów. Dlatego największą elastyczność uzyskasz, używając uprawnień NTFS do kontroli dostępu do folderów współdzielonych.