- Що таке NTFS?
- Що таке дозволи NTFS?
- Як встановити дозволи NTFS (покрокова інструкція)
- Що таке дозволи на спільний доступ?
- Як встановити дозволи на спільний доступ (покрокова інструкція)
- Основні відмінності між NTFS і дозволами на спільний доступ
- Як взаємодіють NTFS і дозволи на спільний доступ
- Найкращі практики для керування дозволами
- Завжди призначати дозволи групам, а не окремим користувачам, якщо це не є абсолютно необхідним
- Реалізувати принцип найменших привілеїв (PoLP)
- Призначати дозволи групам, а не обліковим записам користувачів
- Використання тільки NTFS дозволів для локальних користувачів
- Розміщення об’єктів з однаковими вимогами до безпеки в одній папці
- Розумне керування групами Everyone та Administrators
- Уникати конфліктів вкладених дозволів
- Використовувати інструменти для управління дозволами та аудиту
- Задокументувати та описати свою стратегію та процеси управління дозволами
- Усунення проблем з дозволами
- Вирішення конфліктів між вкладеними дозволами на спільний доступ
- Ефективне використання успадкування дозволів
- NTFS vs. дозволи на спільний доступ: Вибір правильної стратегії
- Автоматизація керування дозволами
- Контроль доступу на основі ролей (RBAC) та інструменти автоматизації
- Висновок
Основа безпеки Windows проста – якщо потрібно отримати доступ до мережевого ресурсу, такого як файл або папка, мають бути відповідні дозволи. Але реалізація є складнішою, оскільки операційна система Windows має два типи дозволів: NTFS-дозволи, які діють на рівні файлової системи, і дозволи на спільний доступ (share permissions), які керують мережевим доступом до загальних ресурсів.
У цій статті розглядаються дозволи на NTFS і дозволи на спільний доступ, включаючи те, що може робити кожен з цих типів дозволів, чим вони відрізняються і як можна використовувати NTFS і дозволи на спільний доступ разом, щоб забезпечити дотримання принципу найменших привілеїв на всіх машинах Windows.
Що таке NTFS?
NTFS (New Technology File System) – це стандартна файлова система для Microsoft Windows NT і пізніших операційних систем, яка замінила старішу файлову систему під назвою File Allocation Table (FAT). Втім, FAT (особливо FAT32) все ще використовується, особливо на знімних носіях інформації.
NTFS підтримує ефективне зберігання і пошук даних за допомогою головної таблиці файлів (MFT), яка відстежує всі файли й каталоги на диску. Така структура дозволяє NTFS ефективно керувати великими обсягами даних, зберігаючи при цьому швидкий доступ до них. Крім того, її підтримка розмірів файлів відповідає вимогам сучасних програм та мультимедійних сховищ. З погляду безпеки, вона підтримує шифрування як на рівні файлів, так і на рівні папок, а також дозволяє адміністраторам встановлювати детальні дозволи для файлів і папок.
Що таке дозволи NTFS?
Дозволи NTFS використовуються для керування доступом до даних, що зберігаються у файлових системах NTFS. Основними перевагами дозволів на спільний доступ до NTFS є те, що вони впливають як на локальних, так і на мережевих користувачів, а також те, що вони базуються на дозволах, наданих користувачеві під час входу в систему Windows, незалежно від того, звідки він підключається.
Існують як базові, так і розширені дозволи NTFS. Є можливість встановити для кожного з них значення Allow (Дозволити) або Deny (Заборонити), щоб контролювати доступ до об’єктів NTFS. Нижче наведено основні типи дозволів на доступ:
- Full Control: користувачі можуть додавати, змінювати, переміщувати й видаляти файли та каталоги, а також пов’язані з ними властивості. Крім того, користувачі можуть змінювати налаштування дозволів для всіх файлів і підкаталогів.
- Modify: користувачі можуть переглядати й змінювати файли та властивості файлів, зокрема додавати файли до каталогу або видаляти файли з нього, а також змінювати властивості файлу або каталогу.
- Read & Execute: користувачі можуть запускати виконувані файли, зокрема скрипти.
- Read: користувачі можуть переглядати файли, властивості файлів і каталоги.
- Write: користувачі можуть писати до файлів і додавати файли до каталогів.
Як встановити дозволи NTFS (покрокова інструкція)
1. Клацнути правою кнопкою миші на папку зі спільним доступом.
2. Відкрити вкладку Security і натиснути Edit, як показано нижче:
- Натиснути Add. Потім обрати потрібну групу (у прикладі нижче – HR Personnel) і за допомогою прапорців Allow і Deny призначити потрібні дозволи, як показано нижче.
- Натиснути Apply, щоб застосувати дозволи.
Що таке дозволи на спільний доступ?
Дозволи на спільний доступ керують доступом до папок, до яких надається спільний доступ через мережу. Наприклад, до спільної папки, розташованої на центральному файловому сервері. Дозволи на спільний доступ не застосовуються до користувачів, які входять до системи локально. Дозволи на спільний доступ застосовуються до всіх файлів і папок у спільному доступі. Не можна детально контролювати доступ до вкладених папок або об’єктів у спільному доступі. Є можливість вказати кількість користувачів, яким дозволено доступ до спільної папки. Дозволи на спільні папки можна використовувати з файловими системами NTFS, FAT і FAT32.
Існує три типи дозволів на спільний доступ до папки:
- Read: користувачі можуть переглядати імена файлів і підпапок, читати дані у файлах і запускати програми. За замовчуванням групі Everyone призначено права Read.
- Change: користувачі можуть робити все, що дозволено правом Read, а також додавати файли та підпапки, змінювати дані у файлах, видаляти підпапки та файли. За замовчуванням цей дозвіл не призначено.
- Full Control: користувачі можуть робити все, що дозволено правами Read та Change, а також можуть змінювати права тільки для файлів і папок NTFS. За замовчуванням групі Administrators надано Full Control права.
Як встановити дозволи на спільний доступ (покрокова інструкція)
1. Клацнути правою кнопкою миші папку зі спільним доступом.
2. Вибрати Properties.
3. Відкрити вкладку Sharing і натиснути кнопку Share, щоб надати спільний доступ до папки:
- Вибрати групу, до якої потрібно надати спільний доступ до папки, і призначити дозволи на спільний доступ, як показано тут:
- Натисніть кнопку Share внизу праворуч.
- Після надання спільного доступу до папки можна налаштувати додаткові параметри. Спочатку слід натиснути Advanced Sharing:
Потім натиснути кнопку Permissions. У спливаючому вікні вибрати користувача або групу і призначити потрібні дозволи, як показано нижче. Потім натиснути OK, щоб завершити призначення.
Основні відмінності між NTFS і дозволами на спільний доступ
Розуміння відмінностей між дозволами на спільний доступ і дозволами на NTFS є важливим для правильного керування доступом до файлів і папок у середовищі Windows. Ось деякі ключові відмінності між ними:
| Функція | Дозволи на спільний доступ | Дозволи NTFS |
|---|---|---|
| Простота керування | Простота використання та керування | Більш детальний контроль над папками та вмістом |
| Сумісність з файловими системами | Працює з файловими системами NTFS і FAT або FAT32 | Доступно лише для файлових систем NTFS |
| Обмеження на підключення | Можна обмежити одночасні з’єднання | Не можна обмежувати з’єднання |
| Розташування конфігурації | Advanced Sharing > Файл/папка Permissions | Properties > вкладка Security |
| Сфера застосування контролю доступу | Регулює лише віддалений доступ до мережі | Захищає як локальний, так і віддалений доступ |
| Вплив на локальний доступ | Не впливає на локальний доступ | Контролює локальний і віддалений доступ |
| Покриття безпеки | Обмежено мережевими середовищами | Захищає як локальний, так і віддалений доступ |
| Додаткове використання | Для повного захисту потрібні дозволи на NTFS | Функціонує незалежно, але підвищує загальний рівень безпеки |
Як взаємодіють NTFS і дозволи на спільний доступ
Коли використовуються і NTFS, і дозволи на спільний доступ, що відбувається, коли вони накладаються? Наприклад, якщо папка має Full Control права на доступ до файлу, але має лише права Read NTFS, який буде кінцевий результат?
При одночасному використанні NTFS і дозволів на спільний доступ до папки завжди перемагає найбільш обмежувальний дозвіл. Наприклад, якщо для групи Everyone для спільного доступу до папки встановлено права Read, а для NTFS – Modify, буде застосовано права на спільний доступ, оскільки вони є більш обмежувальними; користувачеві не дозволяється змінювати файли на спільному диску.
Зазвичай рекомендується встановлювати дозволи на спільний доступ на вищому рівні, використовуючи при цьому дозволи NTFS для застосування певних засобів контролю доступу. Наприклад, розглянемо спільну папку у середовищі спільної роботи, де команді потрібно часто отримувати доступ до файлів. Якщо встановити для групи користувачів Full Control права доступу до спільної папки, вони зможуть легко створювати, змінювати та видаляти файли, не стикаючись з проблемами доступу, коли підключаються до неї через мережу. Однак, щоб захистити конфіденційні дані в цій спільній папці, можна застосувати більш обмежувальні дозволи NTFS, які обмежують доступ до певних файлів або підпапок. Такий підхід гарантує, що хоча користувачі можуть вільно взаємодіяти з більшістю вмісту в спільній папці, конфіденційна інформація все одно буде захищена суворішим контролем NTFS.
Найкращі практики для керування дозволами
Нижче наведено кілька найкращих практик для ефективного та безпечного керування дозволами:
Завжди призначати дозволи групам, а не окремим користувачам, якщо це не є абсолютно необхідним
Призначення дозволів окремим обліковим записам користувачів може призвести до створення складної та некерованої структури дозволів. Наприклад, коли користувача видалено, всі записи про дозволи для цього користувача залишаться у списку контролю доступу (ACL) у вигляді порожніх ідентифікаторів, що захаращує систему та ускладнює керування дозволами.
Реалізувати принцип найменших привілеїв (PoLP)
Надавати користувачам лише ті дозволи, які їм потрібні, і не більше. Наприклад, якщо користувачеві потрібно прочитати інформацію в папці, але він не має законних підстав видаляти, створювати або змінювати файли, варто переконатися, що він має лише право на читання.
Призначати дозволи групам, а не обліковим записам користувачів
Призначення дозволів групам спрощує керування спільними ресурсами. Якщо роль користувача змінюється, потрібно просто додати його до відповідних нових груп і видалити з груп, які більше не є актуальними.
Використання тільки NTFS дозволів для локальних користувачів
Дозволи на спільний доступ застосовуються лише до користувачів, які отримують доступ до спільних ресурсів через мережу. Вони не застосовуються до користувачів, які входять до системи локально.
Розміщення об’єктів з однаковими вимогами до безпеки в одній папці
Наприклад, якщо користувачам одного відділу потрібен дозвіл Read для кількох папок, потрібно зберігати ці папки в одній батьківській папці й надавати спільний доступ до цієї батьківської папки замість того, щоб надавати доступ до кожної папки окремо.
Розумне керування групами Everyone та Administrators
Обмежити групу Everyone загальнодоступними або неконфіденційними ресурсами та не надавати їй доступ до критично важливих систем або даних. Звести до мінімуму кількість членів групи Administrators і використання окремих облікових записів для виконання адміністративних завдань, а не надавати права адміністратора повсякденним обліковим записам.
Уникати конфліктів вкладених дозволів
Встановлювати дозволи на якомога вищому рівні в структурі папок і обмежувати використання глибоко вкладених груп або структури папок, щоб запобігти ненавмисному успадкуванню. Уникати порушення успадкування дозволів, економно використовуючи явні заборони.
Використовувати інструменти для управління дозволами та аудиту
Використовувати інструменти аудиту для створення звітів про те, хто має доступ до чого і коли були змінені дозволи, а також налаштовувати сповіщення про неочікувані зміни дозволів і спроби доступу.
Задокументувати та описати свою стратегію та процеси управління дозволами
Керування правами доступу до NTFS і спільних ресурсів від випадку до випадку може створити непотрібну складність і прогалини в безпеці. Найкраще заздалегідь визначити філософію і стратегію дозволів і поєднати їх з перевіреним процесом надання, моніторингу та видалення дозволів на регулярній основі.
Усунення проблем з дозволами
Діагностика та виправлення порушених дозволів
Порушені дозволи виникають, коли користувачі не можуть отримати доступ до ресурсів, на використання яких вони мають дозвіл, або отримують доступ до небажаних областей через неправильні конфігурації. Виявлення та усунення цих проблем:
- Використання інструментів або функцій операційної системи для перевірки чинних дозволів користувача або групи на певному ресурсі.
- Перевірка та видалення будь-яких невідомих або невирішених SID (ідентифікаторів безпеки) у записах дозволів, які можуть вказувати на «осиротілі» облікові записи.
- Переконатися, що ресурсом володіє правильний користувач або група, оскільки право власності може перевизначати інші дозволи. Адміністратору доведеться взяти на себе право власності на файл або папку і скинути дозволи.
- Для критично важливих груп слід розглянути можливість явного призначення необхідних дозволів замість того, щоб покладатися лише на успадкування.
Вирішення конфліктів між вкладеними дозволами на спільний доступ
Перекриття або успадковані дозволи від вкладених ресурсів спричиняють несподівані проблеми доступу або конфлікти. Щоб розв’язати ці проблеми потрібно:
- Переглянути чинні дозволи, об’єднавши дозволи на спільний доступ і NTFS, пам’ятаючи, що найбільш обмежувальний дозвіл має пріоритет.
- Варто уникати використання вкладених ресурсів, якщо це можливо, оскільки вони можуть створювати заплутані сценарії дозволів.
- Відстеження ієрархії дозволів, відображаючи успадковані дозволи між рівнями, щоб зрозуміти потік і виявити конфлікти.
- Перевірка наявності дозволів Deny на будь-якому рівні, оскільки вони можуть перевизначати дозволи Allow, що знаходяться вище в ієрархії.
Ефективне використання успадкування дозволів
Можна спростити керування, дозволивши ресурсам успадковувати дозволи від батьківських об’єктів. Однак слід розуміти, як працює успадкування, оскільки дозволи, успадковані від батьківських папок, можуть перевизначати явні дозволи, призначені для дочірніх папок, що може призвести до надання ширшого доступу, ніж передбачалося. Ці найкращі практики можуть допомогти:
- Періодично переглядати успадковані налаштування, щоб переконатися, що вони відповідають політикам організації.
- Щоб оновити всі вкладені папки та файли під час зміни прав доступу до папок, скористайтеся параметром Replace all child object permissions entries with inheritable permission entries from this object.
- Потрібно бути обережними під час порушення спадковості, оскільки це може призвести до неочікуваних проблем із доступом. Вимикати успадкування лише у разі крайньої необхідності, потрібно розуміти наслідки.
NTFS vs. дозволи на спільний доступ: Вибір правильної стратегії
У більшості ситуацій найкращим вибором будуть дозволи NTFS, оскільки вони прив’язані до самої файлової системи. У випадках, коли користувачі отримують доступ до ресурсів безпосередньо на комп’ютері з Windows, на якому вони зареєстровані, NTFS є єдиним варіантом, оскільки дозволи на спільний доступ до файлів не обмежують локальний доступ. Дозволи NTFS також забезпечують більш детальний контроль над файлами та підпапками у спільній папці, і вони можуть підтримувати складніші структури дозволів, коли потрібно встановити різні дозволи для різних користувачів або груп на певні файли чи підпапки.
Існують випадки, коли дозволи доступу до спільного доступу Windows можуть бути кращими. Зокрема, для будь-якого диска, розбитого на розділи у форматі FAT32, дозволи у форматі NTFS не є прийнятним варіантом. Крім того, дозволи на спільний доступ дають змогу обмежити кількість віддалених користувачів, які можуть одночасно отримати доступ до спільної папки. Дозволи на спільний доступ також можуть бути корисними в невеликому офісі, де доступ до ресурсів здійснюється лише через мережу і немає окремого адміністратора, який би керував цим середовищем.
Однак найкращі результати будуть отримані, якщо поєднати NTFS і дозвіл на спільний доступ, пам’ятаючи, що найбільш обмежувальний дозвіл завжди матиме пріоритет. Зберігати дозволи на спільний доступ широкими, а дозволи на NTFS використовувати для детального контролю доступу. Хорошим практичним правилом є встановлення дозволу на спільний доступ до загального ресурсу на Full Control для адміністраторів і на Change для користувачів домену, а також використання прав доступу NTFS для більш детального контролю.
Автоматизація керування дозволами
Керування дозволами вручну може бути нудним і трудомістким завданням, до того ж воно схильне до людських помилок, які можуть поставити під загрозу безпеку. Автоматизація може підвищити безпеку та зменшити адміністративне навантаження.
Контроль доступу на основі ролей (RBAC) та інструменти автоматизації
За допомогою RBAC права доступу надаються ролям, а не окремим користувачам, а потім кожному користувачеві призначається відповідна роль або ролі відповідно до його посадових обов’язків. Коли потреби ролі змінюються, наприклад, при впровадженні нової програми або бази даних, ролі надаються відповідні нові дозволи, і всі користувачі з цією роллю автоматично успадковують ці дозволи. Коли обов’язки конкретного користувача змінюються, його дозволи можна оновити, просто змінивши призначення ролі.
Одним із нативних інструментів для керування доступом і дозволами користувачів є Active Directory (AD). AD надає шаблони користувачів, які спрощують створення облікових записів, дозволяють призначати дозволи на основі груп і легко інтегруються з численними сторонніми програмами. На ринку також є кілька чудових інструментів сторонніх розробників. Наприклад, Netwrix Usercube пропонує управління життєвим циклом ідентифікаторів, сертифікацію доступу та аудиторські звіти, щоб гарантувати, що користувачі мають належний доступ до ресурсів відповідно до своїх ролей.
Висновок
Розуміння нюансів дозволів на спільний доступ у порівнянні з дозволами на NTFS має важливе значення для дотримання принципу найменших привілеїв у середовищі Windows. Використання переваг успадкування дозволів, керування доступом на основі ролей і застосування сучасних засобів автоматизації може значно спростити керування доступом для адміністратора. Застосовуючи найкращі практики, описані в цьому посібнику, та інвестуючи в правильні інструменти, можна забезпечити ефективне керування дозволами та посилити кібербезпеку.
