Implementering Tilgang-Based Enumeration i Windows Server 2003 R2


Få ditt eksemplar av Windows Server Hacks!

Jeg jobbet en stund som en nettverksadministrator for en mellomstor bedrift tilbake i NT 4 dager, og en av de tingene jeg husker er hvor nysgjerrig brukerne er. For eksempel hadde vi flere filservere på nettverket vårt, og hver av dem hadde en rekke forskjellige aksjer. Fra tid til annen når jeg har bestått av en brukers skrivebord jeg skulle se dem prøver å klikke på en fil i noen deler og få tilgang. Hvorfor skjedde dette? Fordi de prøvde å åpne dokumenter de ikke har NTFS tillatelser på å lese eller modifisere. Likevel er de ofte dobbelt-klikket på dem. Hvorfor? Fordi de var nysgjerrige.

Jeg mener, hvem ville ikke være nysgjerrig hvis du fant en andel på nettverket som heter HR (for personalavdelingen) og i denne aksjen du fant en mappe som heter Oppsigelser og innenfor denne mappen du har funnet et dokument som heter NextMonthsLayoffs.doc. Yikes! Vil jeg være en av dem som vil bli permittert? Klikk-klikk ... rotter.

Dette scenariet fremhever en av svakhetene ved fildeling på Windows-plattformer, nemlig at som standard alle brukere som får tilgang til en nettverksressurs kan, som et minimum, se hvilke filer og mapper det er i aksjen, selv hvis de ikke har noen rettigheter til å bruke dem. For eksempel si at du dele mappen C: \\ Budsjetter som budsjetter med alle som har lest aksje tillatelse og brukergruppen har Tillat: Les & Utfør ACE på mappen. Sier også at det innenfor denne andelen er en fil som heter ThisYear.xls og en mappe med navnet Forrige. Nå prøve dette: legg brukeren Bob Smith til ACL for disse to filsystem objekter, og tilordne Nekt: Full kontroll ACE til dem begge. Nå logger deg på en Windows XP-skrivebordet som brukeren Bob Smith og åpne Mine nettverkssteder og bla til du finner budsjettene aksje. Dobbeltklikk på aksjen og hva ser du? En fil med navnet ThisYear.xls og en mappe med navnet Forrige. Prøv å dobbeltklikke på hver av dem til å lese regneark eller bla i mappen, og du får tilgang. Vel, hvis du, som Bob Smith, blir nektet adgang til disse elementene, hvorfor er du selv lov til å se dem i budsjettene aksjen?

Det er hele begrunnelsen bak Tilgang-Based Enumeration (ABE), en ny teknologi inkludert i Windows Server 2003 R2. (ABE ble faktisk først inkludert i Service Pack 1 for Windows Server 2003, men denne oppdateringspakken danner grunnlaget for R2-versjonen av plattformen.) Hva ABE gjør er akkurat hva Windows admins har alltid vært ønske Windows filservere ville gjøre-hide filer og mapper fra brukere som ikke har tilgang til dem. Med andre ord, med ABE aktivert og konfigurert for budsjettene aksje, kan Bob prøve å surfe budsjettene mappen ved hjelp av Mine nettverkssteder, men når han ser inni BUDSJETTER han ikke ser noe der-hans NTFS tillatelser på filer og mapper til stede don 't tillate ham å få tilgang til disse elementene, så de er ikke engang synlig for ham. Merk at denne oppførselen er den samme uansett om du eksplisitt tildele en Nekt ACE til Bob mens gi Tillat å brukergruppen, eller om du fjerner ACE for brukere og innvilge Tillat ACE bare til grupper av brukere som trenger det (grupper som inkluderer ikke Bob som medlem) og har ingen ACE i det hele tatt for Bob.

Resultatet? Hvis ABE hadde vært tilgjengelig for meg å bruke tilbake i gamle NT 4 dager, bare toppledere og HR-personell ville ha visst om eksistensen av Oppsigelser mappen i HR aksje, og ingen andre enn disse personell ville ha visst om eksistensen av en NextMonthsLayoffs.doc dokument kalt. Med andre ord, med ABE det ville ikke ha vært rykter om forestående permitteringer flyr om-med mindre de ble startet av HR-personell eller av en leder selvfølgelig!

Installere og aktivere ABE

Når jeg sier at ABE ble inkludert i Windows Server 2003 R2 (eller SP1), jeg må også forklare at for å bruke ABE du fortsatt trenger å laste ned og installere noe på filserveren. Dette noe er en komponent som gir et brukergrensesnitt (både grafisk og kommandolinje) som lar deg aktivere og konfigurere ABE på serveren din. Du kan laste ned denne komponenten her fra Microsoft Download Center, men sørg for at du laste ned riktig versjon avhengig av din prosessorplattform (x86, AMD64 eller IA64). Når du har lastet ned den riktige Windows Installer-pakke, installere det på alle R2 /SP1 filservere du vil aktivere ABE funksjonalitet på.

Installere ABE brukergrensesnitt komponenten er en grei prosess (figur 1):


Figur 1: Installere ABE brukergrensesnitt

Den eneste betydelige beslutningen du trenger å gjøre under installasjonen er om du ønsker å automatisk aktivere ABE tilbakevirkende kraft på alle eksisterende delte mapper på serveren din, eller om du foretrekker å konfigurere dette manuelt senere på en per-mappe basis (figur 2):


Figur 2: Bestemme om å tilbakevirkende kraft konfigurere ABE på eksisterende aksjer eller ikke anbefale

Legg merke til at du velger det første alternativet i figur 2 betyr ikke at fremtidige aksjer du oppretter vil automatisk ha ABE aktivert på dem-du har fortsatt å manuelt konfigurere ABE på fremtidige aksjer du velge å opprette på serveren din.

Når ABE brukergrensesnittet er installert på serveren din, åpne egenskapene arket for en delt mappe vil vise en ny fane for å aktivere ABE på at aksjen (figur 3). Merk at denne fanen vises ikke på egenskapene ark med mapper som enda ikke er blitt delt.


Figur 3: ABE tappen på eiendommer ark for en delt mappe

Velg den første avkrysnings i figur 3 for å aktivere ABE på den delte mappen. (Velg det andre chechbox å gjøre det samme til alle eksisterende aksjer på serveren). Det er i utgangspunktet så enkelt som det. For å sjekke at ABE fungerer, sammenligne Figur 4 nedenfor, som viser hva Bob ville se når han bladde budsjettene aksje fra sin XP maskin før ABE er aktivert på denne andelen, med Figur 5 viser samme syn på Bob datamaskin etter ABE er aktivert på aksjen.


Figur 4: Før ABE er aktivert på budsjetter, kan Bob se alt i det-selv om han har Nekt ACE på alle elementer til stede


Figur 5: Etter ABE er aktivert på budsjetter, kan Bob ikke se filer og mapper han har ingen ACE for (eller har Nekt ACE for)

Begrensninger av ABE

Det er noen begrensninger i ABE:
< LI> Du trenger Windows Server 2003 R2 eller SP1 for å kunne bruke den.

  • Brukere som er administratorer vil være i stand til å se alle filer og mapper i en aksje selv med ABE aktivert, og selv når de har Nekt ACE på disse elementene.
  • ABE gjelder ikke for brukere som kan logge på interaktivt til serveren, uavhengig av om de er administratorer eller ikke. Dette betyr ABE er egentlig ikke egnet for Terminal Services miljøer.
  • Du kan ikke konfigurere ABE slik at en nyopprettet aksje blir automatisk ABE-aktivert.
  • Til slutt legger ABE noen prosentpoeng behandling overhead til filserveren, og dette må tas hensyn til i heavy-load situasjoner.

    Den gode nyheten er imidlertid at ABE er bygget inn i de nye Windows Vista og Longhorn Server plattformer og er aktivert som standard, og trenger absolutt ingen konfigurasjon på disse plattformene. Så en mappe delt på en Vista-maskin vil bare vise innholdet til brukere som har tillatelse til å få tilgang til elementer i den.

    Siste ord om emnet

    ABE er en god ting, spesielt hvis din bedrift lagrer sensitiv forretningsinformasjon på filservere på nettverket. Husk at en ondsinnet (eller bare nysgjerrig) brukeren kan noen ganger finne ut mye om virksomheten din bare ved å vise navnene på dokumenter som er lagret i delte mapper på filservere. Hva ville en ansatt gjøre hvis de snuste rundt og funnet et dokument som heter OurCEOwillretiretomorrow.doc? Sannsynligvis selge sine aksjer rask og fortelle sine venner også, og snart din bedrift vil ha SEC eller noen andre tilsynsorgan puster deg i nakken for innsidehandel!