none
Обход перекрестной проверки RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги!

    Сделал доступы на файловом сервере WS008 SP2, но если даже не даешь доступа на корневую шару. то по прямому UNC пользователь может пробраться в свою папку.

    Можно как то это отключить для конкретных пользователей входящих в мои группы доступа ? Слышал что право Bypass traverse checking  очень чувствительно и с ней надо быть осторожнее. Как то можно закрутить ее на мой файловый сервер , что бы пользователи не могли попасть даже по прямому пути UNC в шару.  Это нужно только для определенных пользователей.

    На уровне разрешений я колдовал уже- но к сожалению не получается-слетают другие права, а плодить группы не хочется.

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    30 сентября 2015 г. 13:32

Ответы

  • Как то можно закрутить ее на мой файловый сервер , что бы пользователи не могли попасть даже по прямому пути UNC в шару.  Это нужно только для определенных пользователей.

    а смысл? просто уберите права у пользователя на конечную папку.
    а то получится - права выдали, а доступ закрыли.
    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 14:31
    Модератор
  • Bypass traverse checking  отключена по дефолту изза 100500 возможных проверок и как следствие замедление доступа и лишняя нагрузка на сервак, так что включайте если уж очень-очень параноите.

    Ну или запретите пользюку на уровне прав на шары, тогда ваще никак не пролезет.

    а что у вас за стректура папок то такая, что где в глубенях унего права есть,  а по пути нету?

    Интереснее, почему это разрешения на папку даны, а доступ таки надо запретить.

    А Bypass traverse checking лучше не трогать вообще, потому что оно относится ко всему пространству имён Object Manager - и нет надёжных оснований полагать, что доступ не будет внезапно запрещён из-за отсутствия разрешений для какого-то неведомого внутреннего объекта Windows, не относящегося даже к файловой системе.


    Слава России!

    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 15:18
  • все равно не понимаю смысла во всей этой лабуде...

    нет прав - свободен(закрыть на уровне доступа к шаре, а не нтфс)

    не хочешь чтоб пользователи шлялись по дереву каталогов - расшарить конечную папку да и дело с концом. ну или мапить юзерские папки.

    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 16:07

Все ответы

  • Bypass traverse checking  отключена по дефолту изза 100500 возможных проверок и как следствие замедление доступа и лишняя нагрузка на сервак, так что включайте если уж очень-очень параноите.

    Ну или запретите пользюку на уровне прав на шары, тогда ваще никак не пролезет.

    а что у вас за стректура папок то такая, что где в глубенях унего права есть,  а по пути нету?

    30 сентября 2015 г. 14:24
  • Как то можно закрутить ее на мой файловый сервер , что бы пользователи не могли попасть даже по прямому пути UNC в шару.  Это нужно только для определенных пользователей.

    а смысл? просто уберите права у пользователя на конечную папку.
    а то получится - права выдали, а доступ закрыли.
    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 14:31
    Модератор
  • Bypass traverse checking  отключена по дефолту изза 100500 возможных проверок и как следствие замедление доступа и лишняя нагрузка на сервак, так что включайте если уж очень-очень параноите.

    Ну или запретите пользюку на уровне прав на шары, тогда ваще никак не пролезет.

    а что у вас за стректура папок то такая, что где в глубенях унего права есть,  а по пути нету?

    Интереснее, почему это разрешения на папку даны, а доступ таки надо запретить.

    А Bypass traverse checking лучше не трогать вообще, потому что оно относится ко всему пространству имён Object Manager - и нет надёжных оснований полагать, что доступ не будет внезапно запрещён из-за отсутствия разрешений для какого-то неведомого внутреннего объекта Windows, не относящегося даже к файловой системе.


    Слава России!

    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 15:18
  • Да все понятно.

    У меня почти так и сделано, то есть на уровне шары (NTFS)-только конкретной группе, если юзер не входит в эту группу , то он и не сможет вообще по шарам ходить, но в свою папку по конечному пути может попасть-даже если я на уровне шары этого юзера не добавил. Вроде как и не видит других шар и хорошо, но вот хотелось поиграться с закручиванием гаек, на предмет только если я от корня дам доступ. Думаю вы правы господа- не стоит париться зря.

    Доступ для тех, кто может ходить по дереву папок начиная с корня->папка первого уровня и в ней же второй уровень . Cделал так что бы на первом уровне юзверя не могли бы в корень ничего положить и записать, а только на второй уровень. Далее на втором уровне юзверя могли бы делать почти все, кроме (удаления самой папки второго уровня, сменить владельца и поставить себе права).Пришлось оперировать двумя группами (одна действует только на уровне папки, а другая только на уровне подпапок и файлов).Вообще думаю еще накрутить DFS для упорядочивания+ позже реплику сделаю на второй сервер+ через GPO что бы пользователь подучал сразу себе доступ к своей шаре и по DFS линку.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 30 сентября 2015 г. 15:24
    30 сентября 2015 г. 15:20
  • Просто немного логика не ясна: Если мы пытаемся дать права на папки с верху дерева, то по сути можно этого и не делать- а просто на прямую группе дать доступ к своей папке отдела ? Если конечно мы не рассматриваем доступ пользователей к каталогам шар, хотя от этого я так понял уходят- что бы не усложнять работу пользователей бродить по папкам+ABE

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    30 сентября 2015 г. 15:30
  • все равно не понимаю смысла во всей этой лабуде...

    нет прав - свободен(закрыть на уровне доступа к шаре, а не нтфс)

    не хочешь чтоб пользователи шлялись по дереву каталогов - расшарить конечную папку да и дело с концом. ну или мапить юзерские папки.

    • Помечено в качестве ответа rеstless 30 сентября 2015 г. 19:11
    30 сентября 2015 г. 16:07
  • А Bypass traverse checking лучше не трогать вообще, потому что оно относится ко всему пространству имён Object Manager - и нет надёжных оснований полагать, что доступ не будет внезапно запрещён из-за отсутствия разрешений для какого-то неведомого внутреннего объекта Windows, не относящегося даже к файловой системе.

    Слава России!

    ну на тестовых машинках включал, вроде ничо не падало :))

    ну а вообще да... могут всплыть

    30 сентября 2015 г. 16:08
  • Microsoft предупреждает:

    Removing the Everyone group from the list of security principals who have this user right by default. Windows operating systems, and also many programs, are designed with the expectation that anyone who can legitimately access the computer will have the Bypass traverse checking user right. Therefore, removing the Everyone group from the list of security principals who have this user right by default could lead to operating system instability or to program failure. It is better that you leave this setting at its default.


    Слава России!

    30 сентября 2015 г. 17:12
  • Все коллеги тема закрыта, спасибо за содействие.А группу евериван я сознательно на уровне шары удаляю-не нужна она там, зачем мне давать доступ всяким анонимам и всякой бяки.Пускай там будут autenticated users и всего две галки- фул контрола не надо. Именно аутентифицированные, то есть пользователь перед тем как идти на шару должен быть аутентифицирован хоть каким то механизмом-хоть NTLM, хоть Kerberos.

    Всем спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    30 сентября 2015 г. 19:09