Permisiunile NTFS și de partajare sunt amândouă utilizate frecvent în mediile Microsoft Windows. În timp ce permisiunile share și NTFS au același scop – prevenirea accesului neautorizat – există diferențe importante pe care trebuie să le înțelegeți înainte de a determina cea mai bună modalitate de a efectua o sarcină precum partajarea unui dosar. Iată principalele diferențe dintre permisiunile share și NTFS, împreună cu câteva recomandări pentru când și cum să le folosiți pe fiecare dintre ele.
Ce sunt permisiunile NTFS?
NTFS (New Technology File System) este sistemul de fișiere standard pentru sistemele de operare Microsoft Windows NT și mai târziu; permisiunile NTFS sunt folosite pentru a gestiona accesul la datele stocate în sistemele de fișiere NTFS. Principalele avantaje ale permisiunilor de partajare NTFS sunt că acestea afectează atât utilizatorii locali, cât și pe cei din rețea și că se bazează pe permisiunile acordate unui utilizator individual la conectarea la Windows, indiferent de locul de unde se conectează utilizatorul.
Există atât permisiuni NTFS de bază, cât și permisiuni NTFS avansate. Puteți seta fiecare dintre aceste permisiuni la „Allow” sau „Deny” pentru a controla accesul la obiectele NTFS. Iată care sunt tipurile de bază ale permisiunilor de acces:
- Control total – Utilizatorii pot adăuga, modifica, muta și șterge fișiere și directoare, precum și proprietățile asociate acestora. În plus, utilizatorii pot modifica setările de permisiuni pentru toate fișierele și subdirectoarele.
- Modificare – Utilizatorii pot vizualiza și modifica fișierele și proprietățile fișierelor, inclusiv adăugarea de fișiere într-un director sau ștergerea fișierelor dintr-un director, sau proprietățile fișierelor dintr-un fișier.
- Citire & Executare – Utilizatorii pot rula fișiere executabile, inclusiv scripturi.
- Citire – Utilizatorii pot vizualiza fișiere, proprietăți de fișiere și directoare.
- Scriere – Utilizatorii pot scrie într-un fișier și pot adăuga fișiere în directoare.
Ce sunt permisiunile de partajare?
Permisiunile de partajare gestionează accesul la folderele partajate într-o rețea; ele nu se aplică utilizatorilor care se conectează local. Permisiunile de partajare se aplică tuturor fișierelor și folderelor din partajare; nu puteți controla în mod granular accesul la subfolderele sau obiectele de pe o partajare. Puteți specifica numărul de utilizatori cărora li se permite accesul la dosarul partajat. Permisiunile de partajare pot fi utilizate cu sistemele de fișiere NTFS, FAT și FAT32.
Există trei tipuri de permisiuni de partajare: Control total, Modificare și Citire. Puteți seta fiecare dintre ele la „Deny” sau „Allow” pentru a controla accesul la folderele sau unitățile partajate:
- Read – Utilizatorii pot vizualiza numele fișierelor și subfolderelor, pot citi datele din fișiere și pot rula programe. În mod implicit, grupului „Toată lumea” i se atribuie permisiuni de „Citire”.
- Modificare – Utilizatorii pot face tot ceea ce este permis de permisiunea „Citire”, precum și să adauge fișiere și subfoldere, să modifice datele din fișiere și să șteargă subfoldere și fișiere. Această permisiune nu este atribuită în mod implicit.
- Full Control – Utilizatorii pot face tot ceea ce este permis de permisiunile „Read” și „Change” și pot, de asemenea, modifica permisiunile numai pentru fișierele și folderele NTFS. În mod implicit, grupului „Administratori” i se acordă permisiuni de „Control total”.
Permisiuni NTFS vs. permisiuni de partajare
Iată care sunt principalele diferențe dintre permisiunile NTFS și permisiunile de partajare pe care trebuie să le cunoașteți:
- Permisiunile de partajare sunt ușor de aplicat și de gestionat, dar permisiunile NTFS permit un control mai granular al unui dosar partajat și al conținutului său.
- Când permisiunile de partajare și NTFS sunt utilizate simultan, cea mai restrictivă permisiune câștigă întotdeauna. De exemplu, atunci când permisiunea de partajare a dosarului partajat este setată la „Everyone Read Allow” (Toată lumea permite citirea) și permisiunea NTFS este setată la „Everyone Modify Allow” (Toată lumea permite modificarea), se aplică permisiunea de partajare deoarece este cea mai restrictivă; utilizatorul nu are permisiunea de a modifica fișierele de pe unitatea partajată.
- Permisiunile de partajare pot fi utilizate la partajarea dosarelor în sistemele de fișiere FAT și FAT32; permisiunile NTFS nu pot fi utilizate.
- Autorizațiile NTFS se aplică utilizatorilor care sunt conectați la server la nivel local; permisiunile de partajare nu se aplică.
- În mod diferit de permisiunile NTFS, permisiunile de partajare vă permit să restricționați numărul de conexiuni simultane la un dosar partajat.
- Permisiunile de partajare sunt configurate în proprietățile „Advanced Sharing” (Partajare avansată) din setările „Permissions” (Permisiuni). Permisiunile NTFS sunt configurate în fila „Security” (Securitate) din proprietățile fișierului sau dosarului.
Cum se modifică permisiunile NTFS
Pentru a modifica permisiunile NTFS:
- Deschideți fila „Security” (Securitate).
- În caseta de dialog „Properties” (Proprietăți) a dosarului, faceți clic pe „Edit” (Editare).
- Click pe numele obiectului pentru care doriți să modificați permisiunile.
- Selectați fie „Allow”, fie „Deny” pentru fiecare dintre setări.
- Click pe „Apply” pentru a aplica permisiunile.
Alternativ, puteți modifica permisiunile NTFS folosind PowerShell.
Cum să modificați permisiunile de partajare
Pentru a modifica permisiunile de partajare:
- Click dreapta pe folderul partajat.
- Click pe „Properties”.
- Deschideți fila „Sharing”.
- Click pe „Advanced Sharing”.
- Click pe „Permissions”.
- Selectați un utilizator sau un grup din listă.
- Selectați „Allow” sau „Deny” pentru fiecare dintre setări.
Permissions Best Practices
- Atribuiți permisiuni grupurilor, nu conturilor de utilizator – Atribuirea de permisiuni grupurilor simplifică gestionarea resurselor partajate. Dacă rolul unui utilizator se schimbă, pur și simplu îl adăugați la noile grupuri corespunzătoare și îl eliminați din grupurile care nu mai sunt relevante.
- Aplicați principiul celui mai mic privilegiu – Acordați utilizatorilor permisiunile de care au nevoie și nimic mai mult. De exemplu, dacă un utilizator trebuie să citească informațiile dintr-un dosar, dar nu are niciodată un motiv legitim pentru a șterge, crea sau modifica fișiere, asigurați-vă că are doar permisiunea „Read”.
- Utilizați doar permisiuni NTFS pentru utilizatorii locali – Permisiunile de partajare se aplică doar utilizatorilor care accesează resursele partajate în rețea; nu se aplică utilizatorilor care se conectează local.
- Puneți obiectele cu aceleași cerințe de securitate în același dosar – De exemplu, dacă utilizatorii au nevoie de permisiunea „Citire” pentru mai multe dosare care sunt utilizate de un departament, stocați aceste dosare în același dosar părinte și partajați acel dosar părinte, mai degrabă decât să partajați fiecare dosar în parte.
- Nu setați permisiunile pentru grupul „Everyone” la „Deny” – Grupul „Everyone” include orice persoană care are acces la folderele partajate, inclusiv contul „Guest”, cu excepția grupului „Anonymous Logon”.
- Evitați să refuzați în mod explicit permisiunile pentru o resursă partajată – În mod normal, ar trebui să refuzați în mod explicit permisiunile numai atunci când doriți să anulați permisiunile specifice care sunt deja atribuite.
- Acordați grupului „Administrators” permisiunea „Full Control” la dosarul partajat părinte – Această strategie permite administratorilor să gestioneze permisiunile, să exporte listele de acces și să urmărească modificările aduse tuturor permisiunilor, fișierelor și dosarelor.
- Urmăriți îndeaproape componența grupului „Administrators” – Utilizatorii din acest grup au permisiuni „Full Access” la toate fișierele și dosarele partajate. Prin urmare, ar trebui să auditați cu atenție modificările aduse apartenenței sale, utilizând fie politica de audit și jurnalul evenimentelor de securitate, fie soluții software de la terți care vă pot notifica în timp real despre orice modificare a acestui grup puternic, precum și să faciliteze atestarea periodică pentru toate permisiunile utilizatorilor.
Pentru mai multe informații, citiți despre cele mai bune practici de gestionare a permisiunilor NTFS.
Utilizarea unui singur set de permisiuni
Dacă considerați că lucrul cu două seturi separate de permisiuni este prea complicat, puteți utiliza doar permisiunile de partajare NTFS. Pur și simplu schimbați permisiunile de partajare pentru dosar la „Control total” și apoi puteți face orice modificări doriți la permisiunile NTFS fără să vă faceți griji că permisiunile de partajare a fișierelor interferează cu acestea.
Rezumat
Înțelegerea diferențelor dintre permisiunile Share și NTFS vă permite să le folosiți împreună pentru a securiza accesul la resursele locale și partajate. Urmând liniile directoare și cele mai bune practici detaliate aici, veți consolida și mai mult securitatea mediului dumneavoastră IT.