Monday, August 20th, 2018

Использование ABE в Windows Server 2003 R2

Published on Февраль 18, 2009 by   ·   Комментариев нет

В этой статье рассказывается о том, как использовать Access-Based Enumeration для того, чтобы скрывать общие файлы и папки из сети от пользователей, у которых нет к ним доступа. Это поможет защитить ваши сетевые ресурсы и гарантирует секретность ценной информации, хранящейся на ваших серверах.

Некоторое время я работал сетевым администратором в компании среднего размера во времена операционной системы NT 4, и меня всегда поражала та вещь, насколько любопытны пользователи. Например, в нашей сети было несколько файловых серверов и на каждом из них было несколько общих папок. Время от времени я проходил мимо рабочих мест пользователей, и видел, как пользователь пытается кликнуть на файле в одной из общих папок, получая в ответ сообщение Access Is Denied (доступ запрещен). Почему это происходит? Потому, что они пытались открыть документы, на доступ к которым у них не хватало NTFS привилегий. Еще они очень часты пытались дважды щелкнуть на файле. Почему? Потому что они очень любопытные.

Кто не будет любопытен, если найдет общую папку в сети под названием HR (сокращение от Human Resources department – департамент человеческих ресурсов), а в этой папке вы найдете папку под названием Layoffs (сокращение), а внутри этой папке вы найдете документ под названием NextMonthsLayoffs.doc (увольнения на следующий месяц)! Буду ли я среди тех, кого собираются уволить? Щелк…щелк.

Такой сценарий отражает одну из слабостей общих папок на платформе Windows, которая заключается в том, что по умолчанию, все пользователи у которых есть доступ к сетевым общим папкам, могут, как минимум, видеть, какие файлы и какие папки в них содержатся, даже если у них и нет к ним доступа. Скажем, вы открываете общий доступ к папке C:\Budgets под псевдонимом BUDGETS и назначаете права на чтение для всех (Read share permission), а также для группы Users назначаете права на чтение и исполнение (Read & Execute). Скажем также, что внутри этой общей папки находится файл под названием ThisYear.xls (текущий год) и папка под названием Previous (предыдущие).Теперь попробуйте сделать следующее: добавьте пользователя Bob Smith в список ACL для доступа к этим двум объектам файловой системы, а также примените Deny: Full Control ACE (запретить полный контроль) для обеих этих объектов. Теперь войдите в Windows XP под учетной записью пользователя Bob Smith, откройте папку My Network Places (мое сетевое окружение) и перейдите до тех пор, пока вы не найдете общую папку BUDGETS. Дважды щелкните левой кнопкой мыши на этой общей папке и посмотрите, что произойдет? Вы увидите файл под названием ThisYear.xls и папку под названием Previous. Попробуйте дважды щелкнуть на каждом из этих объектов, чтобы просмотреть файл, или чтобы попасть внутрь папки, и вы получите сообщение Access Is Denied (доступ запрещен). Хорошо, если вы Bob Smith, и у вас нет доступа к этим объектам, так почему тогда вы вообще их видите в общей папке BUDGETS?

Для этого и появилась Access-Based Enumeration (ABE), новая технология, включенная в состав операционной системы Windows Server 2003 R2 (в действительности ABE сперва появилась с пакетом обновления Service Pack 1 для Windows Server 2003, но этот пакет обновлений формирует основу версии R2 этой платформы). ABE делает то, что всегда хотели администраторы Windows от файловых серверов Windows file servers—скрывать файлы и папки от тех пользователей, у которых нет к ним доступа. Другими словами, с помощью включенной ABE и настроенной для папки BUDGETS, Bob может попытаться войти в общую папку BUDGETS с помощью My Network Places (мое сетевое окружение), но, когда он посмотрит внутрь папки BUDGETS, он ничего в ней не увидит—его текущие NTFS разрешения на файл и папку не позволяют их увидеть. Обратите внимание, что поведение будет таким же, даже если вы примените исключение Deny ACE для Bob, и разрешите всей группе Users, доступ к папке.

Результат? Если технология ABE существовала в те далекие дни NT 4, то только главный управленческий персонал (senior management) и отдел кадров (HR personnel) знали о существовании папки Layoffs (сокращение) внутри общей папки HR, и никто кроме этих людей не знал бы о существовании документа под названием NextMonthsLayoffs.doc. Другими словами, благодаря технологии ABE удалось бы избежать появления слухов о сокращении, если только они не возникли из уст сотрудников отдела кадров (HR personnel) или менеджера!

Установка и подключение ABE

Когда я сказал, ABE был включен в состав Windows Server 2003 R2 (или пакета обновлений SP1), мне также необходимо пояснить, что для того, чтобы использовать ABE, вам необходимо загрузить и установить что-нибудь на ваш файловый сервер (file server). Это что-то – компонент, который предоставляет пользовательский интерфейс (как графический, так и из командной строки), который позволяет вам подключить и настроить ABE на вашем сервере. Вы можете загрузить этот компонент отсюда с помощью Microsoft Download Center, но убедитесь, что вы загрузили правильную версию в зависимости от платформы вашего процессора (x86, AMD64 или IA64). После того, как вы загрузили необходимый пакет установки (Windows Installer package), установите его на всех файловых серверах R2/SP1, на которых вы хотите включить функциональность ABE.

Установка компонента для пользовательского интерфейса ABE – это очень простая задача (рисунок 1):

Win 2003 abe

Рисунок 1: Установка пользовательского интерфейса ABE

В процессе установки вам необходимо будет принять одно очень важное решение – хотите ли вы автоматически подключить ABE на всех существующих общих папок на ваших файловых серверах, или же вы предпочитаете сделать это позже вручную самостоятельно (Рисунок 2):

Спрятать папку в Windows server 2003

Рисунок 2: Хотите вы автоматически настроить ABE для существующих общих папок или нет

Обратите внимание, что выбор первого варианта настройки на рисунке 2 не означает, что для всех последующих созданных вами общих папок будет автоматически подключен механизм ABE. Для новых папок вы должны будете настроить и подключить ABE вручную.

После того, как пользовательский интерфейс ABE установлен на вашем сервере, откройте страницу свойств для общей папки, и вы увидите новую закладку для подключения ABE для этой общей папки (Рисунок 3). Обратите внимание, что эта закладка не появится на странице свойств для папок, которые еще не открыты для общего доступа.

Общие документу Windows server 2003

Рисунок 3: Закладка ABE на странице свойств для общей папки

Поставьте галочку в первое поле на Рисунке 3 для подключения ABE для общей папки (поставьте галочку во втором поле для того, чтобы сделать это для всех общих папок на вашем сервере). Сделать это очень просто. Для того, чтобы проверить, что ABE работает, сравните Рисунок 4 ниже, на котором изображено, что увидит Bob, когда зайдет внутрь общей папки BUDGETS со своей машины XP до того, как для этой папки подключена технология ABE, с рисунком 5, на котором изображено, что увидит Bob, после подключения ABE для этой общей папки (share).

Общие документу Windows server 2003

Рисунок 4: До того, как подключена ABE для общей папки BUDGETS, Bob может увидеть все документы, находящиеся в ней, даже если у него нет к ним доступа

Не работает abe в Windows server

Рисунок 5: После включения ABE для общей папки BUDGETS, Bob не может видеть файлы и папки, к которым у него нет доступа ACE (или доступ к которым у него запрещен)

Ограничения ABE

Есть несколько ограничений для ABE:

  • У вас должна быть установлена операционная система Windows Server 2003 R2 или пакет обновления SP1 для того, чтобы вы могли воспользоваться ей.
  • Пользователи, которые являются администраторам смогут увидеть все файлы и папки в общей папке (share), даже если включена ABE и у них нет к доступа к этим объектам.
  • ABE нельзя применить для пользователей, которые могут интерактивно входить на сервер, не зависимо от того являются они администраторами или нет. Это значит, что ABE не подходит для сред, которые используют Terminal Services.
  • Вы не можете настроить ABE так, чтобы для вновь созданной общей папки автоматически включалась ABE.
  • И наконец, ABE создает дополнительную нагрузку на файловый сервер, и это необходимо принимать в расчет при подключении ABE на сильно загруженных серверах.

Хорошей новостью является то, что ABE встроена и подключена по умолчанию в новую операционную систему Windows Vista и Longhorn Server, поэтому нет необходимости в настройке ABE для этих платформ. Поэтому папка, к которой открыт доступу на машине с операционной системой Vista, покажет свое содержимое только для тех пользователей, у которых есть к нему доступ.

Последнее слово на эту тему

ABE – это великолепная технология, особенно если ваша компания хранит ценную бизнес информацию на файловых серверах (file servers) в вашей сети. Помните, что злоумышленник (или любопытный пользователь) может много узнать о вашей компании просто просматривая названия документов, которые хранятся в общих папках на ваших файловых серверах (file servers). Что будет делать сотрудник, если случайно наткнется на файл OurCEOwillretiretomorrow.doc? Вероятно быстро продаст свои общие папки, а также скажет друзьям, что скоро у вашей компании появится SEC или другое регулярное агентство!

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]