Skrytí složek nepřístupných pro uživatele pomocí přístupu založeného na výčtu (ABE) v systému Windows Server

Technologie Přístup-založené Výčet (ABE - Přenos založený na přístupu) umožňuje skrýt soubory a složky před uživateli na sdílených síťových prostředcích (koulích), ke kterým nemají přístupová práva pro čtení na úrovni NTFS. Je tedy možné poskytnout dodatečnou důvěrnost dat uložených v síťovém adresáři (skrytím struktury a názvů adresářů a souborů), aby se zlepšila použitelnost pro uživatele, kterému během práce se síťovým adresářem nebudou zobrazeny další informace (zejména proto, že má všechny stejně chybí) a, co je nejdůležitější, budeme chránit správce systému před neustálými dotazy uživatelů. “proč mě do této složky nepustil!!Pokusme se podrobněji porozumět této technologii a funkcím její konfigurace a použití v různých verzích systému Windows.

Obsah:

  • Funkce přístupu ke sdíleným síťovým složkám Windows
  • Omezení výčtu na základě přístupu
  • Používání ABE v systému Windows Server 2008/2008 R2
  • Konfigurace výčtu založeného na přístupu v systému Windows Server 2012 R2 / 2016
  • Konfigurace výčtu založeného na přístupu v systému Windows Server 2003
  • Správa ABE z příkazového řádku
  • Správa výčtu založeného na přístupu pomocí PowerShell
  • Výpočty založené na přístupu ve Windows 10 / 8.1 / 7

Funkce přístupu ke sdíleným síťovým složkám Windows

Jednou z nevýhod síťových složek systému Windows je skutečnost, že ve výchozím nastavení všichni uživatelé mohli při prohlížení obsahu sdílené složky alespoň vidět její strukturu a seznam souborů a adresářů v ní obsažených, včetně těch, které jsou přístupné na úrovni NTFS. chybí (při pokusu o otevření takového souboru nebo složky uživatel obdrží chybu přístupu „Přístup odepřen / Přístup Odepřeno"). Proč tedy skrýt před uživatelem ty adresáře a soubory, ke kterým ještě nemá přístup? Technologie by měla v tomto úkolu pomoci. Přístup Na základě Výčet (ABE). Povolením ABE ve sdílené síťové složce můžete zajistit, aby různí uživatelé viděli odlišný seznam adresářů a souborů ve stejné síťové sdílené položce na základě přístupových práv jednotlivých uživatelů k těmto složkám (ACL).

Jak dochází k interakci mezi klientem a serverem při přístupu ke sdílené složce:

  • Klient kontaktuje server se žádostí o přístup k adresáři, který je předmětem zájmu ve sdílené síťové složce;
  • Služba Lanman server na serveru zkontroluje, zda má uživatel přístupová práva k tomuto adresáři na úrovni oprávnění systému souborů NTFS;
  • Pokud je povolen přístup (zobrazit obsah / čtení / zápis), uživatel uvidí seznam obsahu adresáře;
  • Poté může uživatel otevřít konkrétní soubor nebo podsložku stejným způsobem (můžete vidět, kdo konkrétní soubor otevřel v síťové složce jako je tato). Pokud není přístup ke složce, uživatel obdrží oznámení.

Z tohoto diagramu je zřejmé, že server nejprve ukáže uživateli celý obsah složky a zkontroluje přístupová práva ke konkrétnímu objektu až po pokusu o přístup k jeho obsahu..

Vyčíslení založené na funkčnosti (ABE) vám umožňuje implementovat řízení přístupu k objektům systému souborů dříve o tom, jak je uživateli odeslán seznam obsahu složky. Do konečného seznamu proto spadají pouze ty objekty, na které má uživatel alespoň práva Přečtěte si na úrovni NTFS a všechny nepřístupné zdroje se jednoduše nezobrazí (skryté).

I.e. Uživatel jednoho oddělení (například skladu) ve stejném síťovém adresáři (\\ filesrv1 \ docs) uvidí jeden seznam složek a souborů. Jak vidíte, uživatel zobrazí pouze dvě složky: Veřejné a Sklad.

Uživatelé jiného oddělení, například IT (kteří jsou součástí jiné skupiny zabezpečení Windows), zobrazují jiný seznam podadresářů. Kromě veřejných a skladových adresářů je v síťové složce viditelných dalších 6 adresářů pro uživatelská data.

Hlavní nevýhoda použití ABE na souborových serverech - další zatížení serveru. To lze cítit zejména na vysoce zatížených souborových serverech. Čím větší počet objektů v prohlíženém adresáři a čím více uživatelů v něm otevírají soubory, tím větší je zpoždění. Podle společnosti Microsoft, pokud je v zobrazeném adresáři 15 000 objektů (souborů a adresářů), rychlost otevírání složky se zpomalí o 1-3 sekundy. Z tohoto důvodu se při navrhování struktury sdílených složek doporučuje věnovat velkou pozornost vytvoření jasné a hierarchické struktury podsložek, v takovém případě bude zpomalení rychlosti otevírání adresářů neviditelné..

Poznámka:. Mělo by být zřejmé, že Access Based Enumeration neskrývá před uživatelem seznam sdílených síťových zdrojů (koule) na souborovém serveru, ale jedná pouze ve vztahu k jejich obsahu. Pokud chcete skrýt síťovou složku před uživatelem, přidejte symbol na konec názvu sdílené složky $.

Můžete ovládat ABE z příkazového řádku (obslužný program abecmd.exe), z GUI, PowerShell nebo pomocí speciálního API.

Omezení výčtu na základě přístupu

Výčet založený na přístupu v systému Windows nefunguje v případech:

  1. Pokud se jako souborový server používá systém Windows XP nebo Windows Server 2003 bez aktualizace Service Pack;
  2. Při lokálním prohlížení adresářů (přímo ze serveru). Například uživatel připojující se k serveru RDS uvidí všechny místní složky, pokud se tento server používá také jako souborový server);
  3. Pro členy skupiny administrátorů lokálního souborového serveru (vždy vidí úplný seznam souborů).

Používání ABE v systému Windows Server 2008/2008 R2

V systému Windows Server 2008 / R2 použijte tuto funkci Přístup Na základě Výčet není třeba instalovat žádné další komponenty, jako Správa funkcí ABE je již integrována do Windows GUI. Chcete-li povolit výčet na základě přístupu pro konkrétní složku v systému Windows Server 2008/2008 R2, otevřete konzolu správy mmc Správa sdílení a úložiště (Start -> Programy -> Nástroje pro správu -> Správa sdílení a úložiště). Přejděte do okna vlastností požadovaných koulí. Poté přejděte do okna pokročilých nastavení (tlačítko Pokročilé) a povolte možnost Povolit výčet na základě přístupu.

Konfigurace výčtu založeného na přístupu v systému Windows Server 2012 R2 / 2016

Nastavení ABE v systému Windows Server 2012 R2 / 2016 je také snadné. Chcete-li povolit Přístup Na základě Výčet musíte nejprve přirozeně nainstalovat role souborový server (Souborové a úložné služby), a poté v konzole Správce serveru přejděte do vlastností veřejné složky.

A v sekci Nastavení povolit možnost Povolit výčet na základě přístupu.

Konfigurace výčtu založeného na přístupu v systému Windows Server 2003

V systému Windows Server 2003 (ukončeno) byla od té doby podporována technologie ABE Service Pack1. Chcete-li povolit Enumeration-based Enumeration v systému Windows Server 2003 SP1 (a vyšší), musíte si stáhnout a nainstalovat balíček _http: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. Během procesu instalace musíte určit, zda se má automaticky povolit ABE pro všechny sdílené složky na serveru, nebo zda bude konfigurace provedena samostatně. Pokud je vybrána druhá položka, pak po instalaci balíčku se ve vlastnostech sdílených složek objeví nová karta Výčet založený na přístupu.

Chcete-li aktivovat ABE pro konkrétní složku, povolte možnost ve svých vlastnostech Povolit výčet založený na přístupu v této sdílené složce.

Také si všimněte, že Windows 2003 podporuje použití DFS založeného na přístupu založeném na přístupu, ale můžete jej nakonfigurovat pouze z příkazového řádku pomocí obslužného programu cacls..

Správa ABE z příkazového řádku

Nastavení výčtu na základě přístupu lze ovládat z příkazového řádku pomocí obslužného programu Abecmd.exe. Tento nástroj je součástí balíčku Enumeration Enumeration pro Windows Server 2003 SP1 (výše uvedený odkaz).

Nástroj Abecmd.exe umožňuje aktivovat ABE okamžitě pro všechny adresáře nebo osobně. Následující příkaz umožní okamžitý výčet na základě přístupu pro všechny koule:

abecmd / enable / all

Nebo pro konkrétní složku (například koule s názvem Docs):

abecmd / enable docs

Správa výčtu založeného na přístupu pomocí PowerShell

K řízení nastavení Access Based Enumeration pro určité složky můžete použít modul PowerBShell SMBShare (ve výchozím nastavení nainstalován ve Windows 10 / 8.1 a Windows Server 2016/2012 R2). Seznam vlastností konkrétní síťové složky:

Get-SmbShare Instalace | fl *

Poznamenejte si hodnotu atributu FolderEnumerationMode. V našem případě je to jeho hodnota - Neomezený. To znamená, že ABE je pro tuto složku zakázáno..

Můžete zkontrolovat stav ABE u všech síťových složek serveru:

Get-SmbShare | Vyberte název objektu, FolderEnumerationMode

Chcete-li povolit ABE pro složku, proveďte následující kroky:

Get-SmbShare Instalace | Set-SmbShare -FolderEnumerationMode AccessBased

Můžete povolit výpočet založený na přístupu pro všechny publikované síťové složky (včetně administrativní koule ADMIN $, C $, E $, IPC $), proveďte následující kroky:

Get-SmbShare Instalace | Set-SmbShare -FolderEnumerationMode AccessBased

Chcete-li zakázat ABE, postupujte takto:

Get-SmbShare Instalace | Set-SmbShare -FolderEnumerationMode Unrestricted

Výpočty založené na přístupu ve Windows 10 / 8.1 / 7

Mnoho uživatelů, zejména v domácích sítích, by také chtělo používat funkci výčtu založeného na přístupu. Problém je v tom, že v klientském operačním systému Microsoft chybí grafické a příkazové rozhraní pro správu výčtu.

V systémech Windows 10 (Server 2016) a Windows 8.1 (Server 2012R2) můžete použít PowerShell k řízení výčtu založeného na přístupu (viz část výše). Ve starších verzích systému Windows je třeba nainstalovat nejnovější verzi PowerShell (> = 5.0) nebo použít nástroj abecmd.exe z balíčku pro Windows Server 2003, funguje to i na klientských operačních systémech. Protože balíček Windows Server 2003 Access Enumeration není nainstalován v systému Windows 10 / 8.1 / 7, musíte jej nejprve nainstalovat do systému Windows Server 2003 a poté jej zkopírovat z adresáře C: \ windows \ system32 do stejného adresáře na klientovi. Poté můžete povolit ABE podle skriptu s výše popsaným příkazovým řádkem.

Poznámka:. V podnikovém prostředí ABE skvěle spolupracuje se složkami DFS, skrývá „zbytečné“ složky před uživatelem a poskytuje pohodlnější strukturu stromu veřejných složek. ABE můžete povolit v oboru názvů DFS pomocí konzoly pro správu DFS nebo pomocí nástroje dfsutil.exe:
vlastnost dfsutil abde enable \\

Kromě toho můžete povolit ABE v počítačích s doménou AD pomocí zásad skupiny. GPP se k tomu používá v sekci: Konfigurace počítače -> Preference -> Nastavení systému Windows -> Síťové sdílené položky).

Jak vidíte, ve vlastnostech síťové složky existuje možnost Přístup-Na základě Výčet, Pokud změníte hodnotu na Enable, režim ABE bude povolen pro všechny veřejné složky vytvořené pomocí tohoto GPO.