NTFS- ja jako-oikeuksia käytetään usein Microsoft Windows -ympäristöissä. Vaikka share- ja NTFS-oikeuksilla on molemmilla sama tarkoitus – luvattoman käytön estäminen – on tärkeitä eroja, jotka on syytä ymmärtää, ennen kuin päätät, miten kansioiden jakamisen kaltainen tehtävä voidaan parhaiten suorittaa. Seuraavassa esitellään jako- ja NTFS-oikeuksien tärkeimmät erot sekä suosituksia siitä, milloin ja miten kumpaakin kannattaa käyttää.
Mitkä ovat NTFS-oikeudet?
NTFS (New Technology File System) on Microsoft Windows NT:n ja sitä uudempien käyttöjärjestelmien vakiotiedostojärjestelmä; NTFS-oikeuksilla hallitaan NTFS-tiedostojärjestelmiin tallennettujen tietojen käyttöä. NTFS-jako-oikeuksien tärkeimmät edut ovat, että ne vaikuttavat sekä paikallisiin käyttäjiin että verkkokäyttäjiin ja että ne perustuvat yksittäiselle käyttäjälle Windows-kirjautumisen yhteydessä annettuihin oikeuksiin riippumatta siitä, mistä käyttäjä muodostaa yhteyden.
NTFS:ssä on sekä perus- että laajennettuja oikeuksia. Voit asettaa kunkin käyttöoikeuden arvoksi ”Salli” tai ”Kiellä” hallitaksesi pääsyä NTFS-objekteihin. Seuraavassa ovat käyttöoikeuksien perustyypit:
- Täysi hallinta – Käyttäjät voivat lisätä, muokata, siirtää ja poistaa tiedostoja ja hakemistoja sekä niihin liittyviä ominaisuuksia. Lisäksi käyttäjät voivat muuttaa kaikkien tiedostojen ja alihakemistojen käyttöoikeusasetuksia.
- Muokkaa – Käyttäjät voivat tarkastella ja muuttaa tiedostoja ja tiedostojen ominaisuuksia, mukaan lukien lisätä tiedostoja hakemistoon tai poistaa tiedostoja hakemistosta tai tiedoston ominaisuuksia tiedostoon tai tiedostosta.
- Lue & Suorita – Käyttäjät voivat suorittaa suoritettavia tiedostoja, mukaan lukien skriptejä.
- Read – Käyttäjät voivat tarkastella tiedostoja, tiedostojen ominaisuuksia ja hakemistoja.
- Write – Käyttäjät voivat kirjoittaa tiedostoon ja lisätä tiedostoja hakemistoihin.
Mitä ovat jako-oikeudet?
Jakooikeuksilla hallitaan pääsyä verkon kautta jaettuihin kansioihin; ne eivät koske paikallisesti kirjautuvia käyttäjiä. Jako-oikeudet koskevat kaikkia jakoon sisältyviä tiedostoja ja kansioita; jakoon sisältyvien alikansioiden tai objektien käyttöä ei voi hallita yksityiskohtaisesti. Voit määrittää niiden käyttäjien määrän, joilla on oikeus käyttää jaettua kansiota. Jaa-oikeuksia voidaan käyttää NTFS-, FAT- ja FAT32-tiedostojärjestelmien kanssa.
Jaa-oikeuksia on kolmenlaisia: Täysi hallinta, Muuta ja Lue. Voit asettaa kunkin niistä arvoksi ”Kiellä” tai ”Salli” hallitaksesi pääsyä jaettuihin kansioihin tai asemiin:
- Lue – Käyttäjät voivat tarkastella tiedostojen ja alikansioiden nimiä, lukea tiedostojen tietoja ja suorittaa ohjelmia. Oletusarvoisesti ”Kaikki”-ryhmälle annetaan ”Lue”-oikeudet.
- Muuta – Käyttäjät voivat tehdä kaiken, minkä ”Lue”-oikeus sallii, sekä lisätä tiedostoja ja alikansioita, muuttaa tiedostojen tietoja ja poistaa alikansioita ja tiedostoja. Tätä oikeutta ei ole annettu oletusarvoisesti.
- Täysi hallinta – Käyttäjät voivat tehdä kaiken, minkä ”Lue”- ja ”Muuta”-oikeudet sallivat, ja lisäksi he voivat muuttaa vain NTFS-tiedostojen ja -kansioiden käyttöoikeuksia. Oletusarvoisesti ”Järjestelmänvalvojat”-ryhmälle annetaan ”Täysi hallinta”-oikeudet.
NTFS vs. jako-oikeudet
Tässä ovat NTFS- ja jako-oikeuksien keskeiset erot, jotka sinun on hyvä tietää:
- Jako-oikeuksia on helppo soveltaa ja hallita, mutta NTFS-oikeudet mahdollistavat jaetun kansion ja sen sisällön tarkemman valvonnan.
- Kun jako- ja NTFS-oikeuksia käytetään samanaikaisesti, rajoittavin oikeus voittaa aina. Esimerkiksi kun jaetun kansion käyttöoikeudeksi on asetettu ”Kaikki lukeminen sallittu” ja NTFS-oikeudeksi ”Kaikki muokkaaminen sallittu”, jako-oikeus pätee, koska se on rajoittavin; käyttäjä ei saa muuttaa jaetun aseman tiedostoja.
- Jako-oikeuksia voidaan käyttää jaettaessa kansioita FAT- ja FAT32-tiedostojärjestelmissä; NTFS-oikeuksia ei voida käyttää.
- NTFS-oikeudet koskevat käyttäjiä, jotka ovat kirjautuneena palvelimeen paikallisesti; jako-oikeudet eivät.
- Toisin kuin NTFS-oikeudet, jako-oikeuksilla voidaan rajoittaa jaetun kansion samanaikaisten yhteyksien määrää.
- Jako-oikeudet määritetään ”Advanced Sharing” -ominaisuuksien ”Permissions” -asetuksissa. NTFS-oikeudet määritetään Turvallisuus-välilehdellä tiedoston tai kansion ominaisuuksissa.
NTFS-oikeuksien muuttaminen
NTFS-oikeuksien muuttaminen:
- Avaa ”Turvallisuus”-välilehti.
- Kansion ”Ominaisuudet”-valintaikkunassa napsauta ”Muokkaa”.
- Klikkaa sen kohteen nimeä, jonka käyttöoikeuksia haluat muuttaa.
- Valitse jokaiselle asetukselle joko ”Salli” tai ”Kiellä”.
- Klikkaa ”Käytä” ottaaksesi käyttöoikeudet käyttöön.
Vaihtoehtoisesti voit muuttaa NTFS-käyttöoikeuksia PowerShellin avulla.
Jako-oikeuksien muuttaminen
Jako-oikeuksien muuttaminen:
- Klikkaa jaettua kansiota hiiren kakkospainikkeella.
- Klikkaa ”Ominaisuudet”.
- Avaa ”Jakaminen”-välilehti.
- Klikkaa ”Tarkennettu jakaminen”.
- Klikkaa ”Käyttöoikeudet”.
- Valitse käyttäjä tai ryhmä luettelosta.
- Valitse kunkin asetuksen kohdalla joko ”Salli” tai ”Kiellä”.
Lupien parhaat käytännöt
- Määritä käyttöoikeudet ryhmille, ei käyttäjätileille – Käyttöoikeuksien määrittäminen ryhmille yksinkertaistaa jaettujen resurssien hallintaa. Jos käyttäjän rooli muuttuu, lisäät hänet yksinkertaisesti sopiviin uusiin ryhmiin ja poistat hänet ryhmistä, jotka eivät ole enää merkityksellisiä.
- Noudata vähimmän etuoikeuden periaatetta – Myönnä käyttäjille heidän tarvitsemansa oikeudet, ei enempää. Jos käyttäjän on esimerkiksi luettava kansiossa olevia tietoja, mutta hänellä ei ole koskaan perusteltua syytä poistaa, luoda tai muuttaa tiedostoja, varmista, että hänellä on vain lukuoikeus.
- Käytä vain NTFS-oikeuksia paikallisille käyttäjille – Jaa-oikeudet koskevat vain käyttäjiä, jotka käyttävät jaettuja resursseja verkon välityksellä; ne eivät koske käyttäjiä, jotka kirjautuvat paikallisesti.
- Laita kohteet, joilla on samat tietoturvavaatimukset, samaan kansioon – Jos käyttäjät esimerkiksi tarvitsevat ”Lue”-oikeudet useisiin kansioihin, joita yksi osasto käyttää, säilytä nämä kansiot samassa emokansiossa ja jaa tämä emokansio sen sijaan, että jaat jokaisen kansion erikseen.
- Älä aseta ”Kaikki”-ryhmän käyttöoikeudeksi ”Kiellä” – ”Kaikki”-ryhmään kuuluvat kaikki, joilla on pääsy jaettuihin kansioihin, mukaan lukien ”Vieras”-tili, lukuun ottamatta ”Anonyymi sisäänkirjautuminen”-ryhmää.
- Vältä jaetun resurssin käyttöoikeuksien nimenomaista epäämistä – Normaalisti käyttöoikeudet kannattaa epäämään nimenomaisesti vain silloin, kun halutaan kumota tietyt, jo määritetyt käyttöoikeudet.
- Myönnä ”Järjestelmänvalvojat”-ryhmälle ”Täysi hallinta”-oikeudet vanhemman jaetun kansion käyttöön – Tämän strategian avulla järjestelmänvalvojat voivat hallita käyttöoikeuksia, viedä käyttöoikeusluetteloita ja seurata kaikkien käyttöoikeuksien, tiedostojen ja kansioiden muutoksia.
- Tarkkaile tarkasti ”Järjestelmänvalvojat”-ryhmän jäsenyyttä – Tämän ryhmän käyttäjillä on ”Täysi käyttöoikeus”-oikeudet kaikkiin jaettuihin tiedostoihin ja kansioihin. Siksi sinun tulisi tarkastaa huolellisesti sen jäsenyyden muutokset joko tarkastuskäytännön ja tietoturvatapahtumalokin avulla tai käyttämällä kolmannen osapuolen ohjelmistoratkaisuja, jotka voivat ilmoittaa reaaliaikaisesti kaikista tähän tehokkaaseen ryhmään tehtävistä muutoksista sekä helpottaa kaikkien käyttäjäoikeuksien säännöllistä todentamista.
Lue lisätietoja NTFS-oikeuksien hallinnan parhaista käytännöistä.
Yksien käyttöoikeuksien käyttäminen
Jos sinusta tuntuu, että kahden erillisen käyttöoikeusjoukon kanssa työskentely on liian monimutkaista, voit käyttää pelkkiä NTFS-jako-oikeuksia. Muuta vain kansion jako-oikeudet arvoon ”Täysi hallinta”, ja sen jälkeen voit tehdä haluamasi muutokset NTFS-oikeuksiin ilman, että sinun tarvitsee huolehtia siitä, että tiedostojen jako-oikeudet häiritsevät niitä.
Yhteenveto
Jaa- ja NTFS-oikeuksien erojen ymmärtäminen antaa sinulle mahdollisuuden käyttää niitä yhdessä turvataksesi pääsyn paikallisiin ja jaettuihin resursseihin. Tässä kuvattujen ohjeiden ja parhaiden käytäntöjen noudattaminen vahvistaa IT-ympäristösi turvallisuutta entisestään.