none
Dobrá praxe pro nastavování "Security" a sdílení na Windows Server 2022 RRS feed

 > 

  • Dotaz

  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat
    Dobrý den, prosím Vás, nemáte někdo nějaký odkaz, článek, video, blog o dobré praxi pro nastavování oprávnění a sdílení na sdílených složkách Windows Server 2022? Je to důležitá věc, ale nikde k tomu nemůžu najít relevantní materiál např. přímo od Microsoftu. Děkuji!
    pondělí 20. února 2023 9:40
    |

Všechny reakce

  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Ahoj Tomasi,

    co presne potrebujes vedet? Prava zasadne na skupiny. Na share ta nejvyssi potrebna prava, na NTFS dotahnes srouby. Prebijeni dedenych prav / deny pouzivej omezene, at se v tom vyznas.

    Zajimaji te i quoty?

    MP

    pondělí 20. února 2023 13:50
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Děkuji za odpověď!

    Zajímá mě následující:

    1. Mám disk na serveru, kde jsou v security (přímo když kliknu pravým tlačítkem myši na ten disk a dám Vlastnosti) tyto záznamy:

    - Everyone

    -CREATOR OWNER

    -SYSTEM

    -Administrators (lokální skupina)

    -Users (lokální skupina)

    Co můžu vyhodit? Přímo ten disk samotný sdílet nehodlám, ale chci odstranit to co nepotřebuji, ať se mi to zbytečně nedědí a všechno co může být bezpečnostní riziko.

    2. Složka, kterou chci sdílet:

    a) karta Security, mám tam:

    Administrators (lokální skupina)

    SYSTEM

    CREATOR OWNER

    Users (lokální skupina)

    Když chci aby do složky měl přístup pouze konkrétní uživatel nebo konkrétní skupina uživatelů - co můžu vyhodit z výše uvedeného? A pak samozřejmě přidám tu skupinu či uživatele.

    b) karta Sharing - Advanced sharing - Permissions, co zde nastavit, aby:

    -složku viděl (v sítových umístěních) jen konkrétní uživatel nebo konkrétní skupina a byla sdílená jen pro tohoto konkrétního uživatele nebo skupinu. Co můžu vyhodit? Everyone by mělo jit určitě pryč, že?

    3. Složka, která má nastaveno sdílení pro určitou skupinu uživatelů (viz bod 2) ale podsložky mají být viditelné a sdílené vždy jen pro konkrétního člověka z této skupiny - jak to udělat?

    4. Mám sdílenou složku, do které nemá konkrétní uživatel či skupina přístup, ale chci jim nasdílet jeden soubor z této složky.

    Moc děkuji za odpovědi!

    úterý 21. února 2023 15:07
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Zakladni myslenka:
    Neexistuje "svaty gral", jak resit opravneni na sdileni.
    Kazda aplikace ma jina specifika. Neco jineho jsou homefolders pro uzivatele, neco jineho file share witness pro cluster, neco jineho je slozka pro instalace, ze ktere se neco instalaje pres GPO - musi tam videt i computer objekt, ne jen uzivatel, atp....

    Takove poznamky:

    - neni dobra praxe nastavovat / menit defaultni NTFS opravneni v rootu disku - "na pismenu". Zapomenes, ze si to udelal a za par tydnu/mesicu/let budes slozite ladit, proc ti neco standardniho nefunguje

    - neni dobra praxe sdilet cely disk - vzdy slozky

    - neni dobra praxe nastavovat opravneni na konkretni uzivatele = nikdy si nezapises presne, kde vsude si ho "naklikal". Opravneni vzdy na skupinu. A pokud uzivatele nahradi v jeho praci nekdo jiny, pak resis jen clenstvi ve skupinach

    - V advanced sharing nastavujes opravneni de facto na nejvrchnejsi urovni SMB protokolu.  Pokud ma nekdo s necim pracovat na zapis (klidne i jediny soubor), musi mit logicky v advanced sharing nastaveno opravneni change = SMB protokol musi zmenu(zapis) umoznit

    - a protoze plati premisa vyse, neni doborou praxi v advanced sharing to nejak slozite resit. Res to na urovni slozky. Prunik opravneni slozitosti v advanced sharing a na slozce se velmi blbe ladi.

    - proc vadi, ze sdilenou slozku nekdo vidi (advanced sharing everyone read), kdyz nema zadna NTFS opravneni na sdilene slozce =  dostane stejne access denied? Ze vidi sdileni po zadani \\server\ do pruzkumnika ..? no a co...

    - pokud mas uzivatele, ktery musi pracovat jen s jednou slozkou/souborem v nejake slozitejsi strukture , pak se budes muse naucit neco "traverse" opravneni, aby uzivatel mohl "proskocit" slozkou, ve ktere nema nic delat /videt

    - pokud mas strukturu s nekolika slozkami, ve ktere jen s jednou smi uzivatel pracovat a na ostatni nema zadna prava a chces mu je skryt, pak si nastuduj neco o Access Based Enumeration

    - a cely system opravneni muzes jeste "kombinovat" s opravnenim pro Creator ownera. A na to urcite narazis, pokud zacnes resit nejake homefolders pro uzivatele

    A uplna poznamka na zaver - vyvaruj se pouzivat doman admin na cokoliv jineho, nez je sprava domeny




    středa 22. února 2023 7:39
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    A mozna jeste jeden postreh - moc se mi "libila" veta - "co muzu vyhodit?"

    Pokud budes prilis laborovat s defaultnimi opravnenimi pro SYSTEM, TrustedInstaller atp, pak ziskas neocekavane vysledky.

    Treba serverovy antivir nebude moci scanovat data uzivatelu z konkretniho sdileni/disku...
    Treba ti nepujde neco nekam nainstalovat...
    Treba ti nebudou fungovat standardni navody - treba pro nejake advanced techniky typu diskove kvoty
    atp..

    A abych to napsal explicitne, pokud to pozorny ctenar nevypozoroval z predchozich poznamek, tak pozadavek c4 nema reseni :)


    středa 22. února 2023 7:54
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Dovolim si rypnuti, ktere je IMHO ale VELICE podstatne:

    jak mate organizacne (v dodatku k prac. smlouve) osetrene to, co pozadujes? Tzn.

    - je naprosto nezpochybnitelne dane, ze pokud se nejakym "technickym" pochybenim uzivatel dostane nekam, kam nema, nesmi pokracovat a mel by to nahlasit? A auditujete takove udalosti?

    - je naprosto jasne dane, zda mohou/maji/musi/nesmi mit spravci explicitne povoleny pristup kdatum, ktera jsou osobni povahy, nebo jinak citliva? Nebo si pristup mohou (museji) pridelit pouze v oduvodnenych pripadech a tuto skutecnost alespon zaprotokolovat?

    - smi nadrizeny pristupovat k datum svych podrizenych, ktera mohou byt osobni povahy 

    atd...

    MP

    středa 22. února 2023 9:17
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    A tak jsme se postupne dostali uplne jinam  - k auditovani admina, vedouciho atp :) samostatna vedni disciplina :)

    Takze se pojdme zase vratit k druhemu prispevku: Jaky problem/aplikaci sdileni resime?

    Muzes treba naznacit strukturu dat/slozek a ceho bys chtel docilit?

    středa 22. února 2023 11:15
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Děkuji všem za cenné rady! Budu tady reagovat na příspěvky Vás všech, tak se omlouvám, že to tak pomíchám dohromady.

    Default nastavení na disku tedy nechám tak jak je, ať si nenadělám do budoucna problémy.

    Co se týká viditelnosti složek - myslel jsem, že je právě dobrá praxe to, aby uživatel na file serveru viděl jen to, k čemu má přístup. Jednak aby ho to nemátlo a jednak aby se nedobýval někam, kam přístup mít nemá, ať už záměrně nebo nechtěně.

    A co se struktury týká - dovolím si to vzít po jednotlivých případech:

    1. home folder pro jednotlivé uživatele. každý má na serveru svou složku, kterou mu logon skriptem mapuji jako disk. V security tedy:

    • udělám disable inheritance
    • nechám zde lokální skupinu administrators s full control
    • nechám zde SYSTEM a CREATOR OWNER, oboje s full control
    • přidám zde konkrétního uživatele, ale jen s právy Modify, Read & Execute, List folder contents, Read, Write
    • na záložce sharing nepůjdu do advanced sharing, ale jen do share, kde bude mít ten daný uživatel Contribute.
    • Ale v advanced sharing mi tohle nastavení udělá Everyone s Full control, Change, Read, což je ale špatně,ne? Everyone musí jít pryč, je to tak?
    čtvrtek 23. února 2023 10:47
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Ad homefolders
    https://learn.microsoft.com/en-us/archive/blogs/migreene/ntfs-permissions-for-redirected-folders-or-home-directories

    Nastavis opravneni na root slozce - viz URL vyse. Pak UZ NIC prece nedelas.
    Zbytek zaridi GPO, ktere se snazi pripojit UNC cestu koncici %username% - pokud slozka neexistuje, zalozi se.
    A PRAVE V TETO chvili zacnou pracovat opravneni na CREATOR OWNER - bo slozku zalozil konkretni uzivatel - ten bude mit pristup - je creator

    Nastuduj si... navodu na homefolders najdes tuny, nema smysl je opisovat

    A nikdo tu nepsal o tom, ze je spatne, aby uzivatel videl neco, kam nema pristup - proto jsem te smeroval na ABE - Access Based Enumeration. "Spatne / pracne" je resit SDILENI tak, aby ho nevidel ten, kdo do nej nema pristup - jt opravneni v Advanced Sharing.

    Share muzi byt klidne change pro authenticated users. opravdova opravneni resis na urovni NTFS. A pak si na share zapnes ABE...

    čtvrtek 23. února 2023 11:17
    |