Uprawnienia NTFS i udostępniania są często używane w środowiskach Microsoft Windows. Podczas gdy uprawnienia do udostępniania i NTFS służą temu samemu celowi – zapobieganiu nieautoryzowanemu dostępowi – istnieją ważne różnice, które należy zrozumieć przed określeniem, jak najlepiej wykonać zadanie takie jak udostępnianie folderu. Oto kluczowe różnice pomiędzy uprawnieniami udziału i NTFS, wraz z zaleceniami kiedy i jak używać każdego z nich.
Czym są uprawnienia NTFS?
NTFS (New Technology File System) jest standardowym systemem plików dla Microsoft Windows NT i późniejszych systemów operacyjnych; uprawnienia NTFS są używane do zarządzania dostępem do danych przechowywanych w systemach plików NTFS. Głównymi zaletami uprawnień do udziałów NTFS jest to, że dotyczą one zarówno użytkowników lokalnych, jak i sieciowych oraz że są oparte na uprawnieniach przyznanych indywidualnemu użytkownikowi przy logowaniu do systemu Windows, niezależnie od tego, skąd użytkownik się łączy.
Istnieją zarówno podstawowe, jak i zaawansowane uprawnienia NTFS. Możesz ustawić każde z tych uprawnień na „Zezwalaj” lub „Odmawiaj”, aby kontrolować dostęp do obiektów NTFS. Oto podstawowe typy uprawnień dostępu:
- Pełna kontrola – Użytkownicy mogą dodawać, modyfikować, przenosić i usuwać pliki i katalogi, jak również ich powiązane właściwości. Ponadto użytkownicy mogą zmieniać ustawienia uprawnień dla wszystkich plików i podkatalogów.
- Modyfikuj – użytkownicy mogą przeglądać i modyfikować pliki oraz właściwości plików, w tym dodawać pliki do katalogu lub usuwać pliki z katalogu albo właściwości plików do pliku lub z pliku.
- Czytaj & Wykonaj – użytkownicy mogą uruchamiać pliki wykonywalne, w tym skrypty.
- Odczyt – użytkownicy mogą przeglądać pliki, właściwości plików i katalogów.
- Zapis – użytkownicy mogą zapisywać do pliku i dodawać pliki do katalogów.
Czym są uprawnienia do udostępniania?
Uprawnienia do udostępniania zarządzają dostępem do folderów udostępnianych w sieci; nie mają zastosowania do użytkowników logujących się lokalnie. Uprawnienia do udostępniania dotyczą wszystkich plików i folderów w folderze udostępnionym; nie można granularnie kontrolować dostępu do podfolderów lub obiektów w folderze udostępnionym. Można określić liczbę użytkowników, którzy mają prawo dostępu do folderu udostępnionego. Uprawnienia udziału mogą być używane z systemami plików NTFS, FAT i FAT32.
Istnieją trzy typy uprawnień udziału: Pełna kontrola, Zmiana i Odczyt. Możesz ustawić każde z nich na „Odmów” lub „Zezwalaj”, aby kontrolować dostęp do udostępnionych folderów lub dysków:
- Odczyt – użytkownicy mogą wyświetlać nazwy plików i podfolderów, odczytywać dane w plikach i uruchamiać programy. Domyślnie uprawnienia „Odczyt” są przypisane do grupy „Wszyscy”.
- Zmiana – użytkownicy mogą wykonywać wszystkie czynności dozwolone przez uprawnienie „Odczyt”, a także dodawać pliki i podfoldery, zmieniać dane w plikach oraz usuwać podfoldery i pliki. To uprawnienie nie jest domyślnie przypisane.
- Pełna kontrola – użytkownicy mogą robić wszystko, na co pozwalają uprawnienia „Odczyt” i „Zmiana”, a także mogą zmieniać uprawnienia tylko dla plików i folderów NTFS. Domyślnie grupa „Administratorzy” ma uprawnienia „Pełna kontrola”.
NTFS vs Uprawnienia współdzielone
Tutaj są kluczowe różnice między NTFS i uprawnieniami współdzielonymi, które musisz znać:
- Uprawnienia współdzielone są łatwe do zastosowania i zarządzania, ale uprawnienia NTFS umożliwiają bardziej szczegółową kontrolę współdzielonego folderu i jego zawartości.
- Gdy uprawnienia udostępniania i NTFS są używane jednocześnie, zawsze wygrywa najbardziej restrykcyjne uprawnienie. Na przykład, gdy uprawnienie folderu współdzielonego jest ustawione na „Każdy może czytać”, a uprawnienie NTFS jest ustawione na „Każdy może modyfikować”, uprawnienie współdzielenia ma zastosowanie, ponieważ jest najbardziej restrykcyjne; użytkownik nie może zmieniać plików na dysku współdzielonym.
- Uprawnienia współdzielenia mogą być używane przy współdzieleniu folderów w systemach plików FAT i FAT32; uprawnienia NTFS nie mogą.
- Uprawnienia NTFS dotyczą użytkowników zalogowanych lokalnie na serwerze; uprawnienia współdzielenia nie.
- W przeciwieństwie do uprawnień NTFS, uprawnienia współdzielenia pozwalają ograniczyć liczbę równoczesnych połączeń do współdzielonego folderu.
- Uprawnienia współdzielenia są konfigurowane we właściwościach „Udostępnianie zaawansowane” w ustawieniach „Uprawnienia”. Uprawnienia NTFS są konfigurowane na karcie Zabezpieczenia we właściwościach pliku lub folderu.
Jak zmienić uprawnienia NTFS
Aby zmienić uprawnienia NTFS:
- Otwórz kartę „Zabezpieczenia”.
- W oknie dialogowym „Właściwości” folderu, kliknij „Edytuj”.
- Kliknij nazwę obiektu, dla którego chcesz zmienić uprawnienia.
- Wybierz „Zezwalaj” lub „Odmawiaj” dla każdego z ustawień.
- Kliknij „Zastosuj”, aby zastosować uprawnienia.
Alternatywnie można zmienić uprawnienia NTFS za pomocą PowerShell.
Jak zmienić uprawnienia do udostępniania
Aby zmienić uprawnienia do udostępniania:
- Kliknij prawym przyciskiem myszy udostępniony folder.
- Kliknij „Właściwości”.
- Otwórz kartę „Udostępnianie”.
- Kliknij „Udostępnianie zaawansowane”.
- Kliknij „Uprawnienia”.
- Wybierz użytkownika lub grupę z listy.
- Wybierz „Zezwalaj” lub „Odmawiaj” dla każdego z ustawień.
Najlepsze praktyki w zakresie uprawnień
- Przypisuj uprawnienia do grup, a nie do kont użytkowników – Przypisywanie uprawnień do grup upraszcza zarządzanie współdzielonymi zasobami. Jeśli rola użytkownika się zmieni, wystarczy dodać go do odpowiednich nowych grup i usunąć z grup, które nie są już istotne.
- Egzekwuj zasadę najmniejszych uprawnień – Przyznaj użytkownikom uprawnienia, których potrzebują i nic więcej. Na przykład, jeśli użytkownik potrzebuje przeczytać informacje w folderze, ale nigdy nie ma uzasadnionego powodu, aby usuwać, tworzyć lub zmieniać pliki, upewnij się, że ma tylko uprawnienie „Odczyt”.
- Używaj tylko uprawnień NTFS dla użytkowników lokalnych – Uprawnienia do współdzielenia dotyczą tylko użytkowników, którzy mają dostęp do współdzielonych zasobów przez sieć; nie dotyczą one użytkowników, którzy logują się lokalnie.
- Umieszczaj obiekty o tych samych wymaganiach zabezpieczeń w tym samym folderze – Na przykład, jeśli użytkownicy wymagają uprawnienia „Odczyt” do kilku folderów używanych przez jeden dział, przechowuj te foldery w tym samym folderze nadrzędnym i udostępniaj ten folder nadrzędny, zamiast udostępniać każdy folder osobno.
- Nie ustawiaj uprawnień dla grupy „Każdy” na „Odmów” – Grupa „Każdy” obejmuje każdego, kto ma dostęp do folderów współdzielonych, w tym konto „Gość”, z wyjątkiem grupy „Anonimowe logowanie”.
- Unikaj jawnego odmawiania uprawnień do zasobu współdzielonego – Zwykle należy jawnie odmawiać uprawnień tylko wtedy, gdy chcesz nadpisać określone uprawnienia, które są już przypisane.
- Przyznaj grupie „Administratorzy” uprawnienia „Pełna kontrola” do nadrzędnego folderu współdzielonego – Ta strategia umożliwia administratorom zarządzanie uprawnieniami, eksportowanie list dostępu i śledzenie zmian wszystkich uprawnień, plików i folderów.
- Śledź uważnie członkostwo w grupie „Administratorzy” – Użytkownicy w tej grupie mają uprawnienia „Pełny dostęp” do wszystkich współdzielonych plików i folderów. Dlatego należy dokładnie kontrolować zmiany w jej członkostwie, używając albo zasad audytu i dziennika zdarzeń bezpieczeństwa, albo rozwiązań programowych firm trzecich, które mogą powiadamiać o wszelkich zmianach w tej potężnej grupie w czasie rzeczywistym, jak również ułatwiać regularne poświadczenia dla wszystkich uprawnień użytkowników.
Po więcej informacji, przeczytaj o najlepszych praktykach zarządzania uprawnieniami NTFS.
Używanie tylko jednego zestawu uprawnień
Jeśli uważasz, że praca z dwoma oddzielnymi zestawami uprawnień jest zbyt skomplikowana, możesz użyć tylko uprawnień udziału NTFS. Po prostu zmień uprawnienia udziału dla folderu na „Pełna kontrola”, a potem możesz dokonywać dowolnych zmian w uprawnieniach NTFS bez obawy, że uprawnienia udziału kolidują z nimi.
Podsumowanie
Zrozumienie różnic między uprawnieniami udziału i NTFS pozwala ci używać ich razem do zabezpieczenia dostępu do lokalnych i współdzielonych zasobów. Postępowanie zgodnie z wytycznymi i najlepszymi praktykami wyszczególnionymi tutaj jeszcze bardziej wzmocni bezpieczeństwo Twojego środowiska IT.