配置 NTFS 权限
-
创建一个文件服务器权限策略,明确定义您的权限管理过程。
-
随处使用Active Directory 组。不要将 NTFS 权限分配给个人,即使必须创建数百个组。管理 200 个组比管理 2,000 个一次性权限要容易得多。
-
为资产配置 NTFS 权限,为这些权限分配角色,并将人员分配给角色。例如,假设在fileserver1上有一个名为HR的共享。
-
可执行下列操作:
-
对于此共享,在 AD 中创建以下具有所示权限的域本地组:
-
fileserver1_HR_read(只读)
-
fileserver1_HR_modify(读取和修改)
-
fileserver1_HR_fullcontrol(完全控制)
-
使用这些组将 NTFS 权限设置为适当的用户权限。
-
在 AD 中为 HR 人员创建一个名为HR的全局组。将此全局组添加到域本地组fileserver1_HR_read中,然后将用户账户添加到全局组HR中。现在所做的是将资产绑定到权限,并将权限绑定到角色。随着扩展网络并为角色添加不同的资产和访问区域,将能够轻松查看角色可以访问哪些资产。
人员(用户账户)-> 角色(AD 全局组)-> 权限(AD 域本地组)-> 资产(文件服务器上的文件或文件夹)
-
避免给用户完全控制权限。完全控制使用户能够更改 NTFS 权限,普通用户不需要这样做。大多数用户只需要修改权限即可。
-
分配仍然允许用户执行其工作的最严格的权限。例如,如果用户只需要读取文件夹中的信息,而不需要更改、删除或创建文件,则仅分配读取权限。
-
从除指定用于文件交换的全局文件夹之外的每个资源中删除所有人权限。
-
创建一个全局拒绝组,以便当员工离开公司时,可以通过使他们成为该组的成员来快速删除他们所有的文件服务器访问权限。
-
尽可能避免破坏权限继承。会有一些文件夹可能需要这样做,但通常避免使用它。如果某些东西会破坏继承,那么它要么需要提升一个级别,要么需要重新评估谁对父文件夹拥有什么权限。例如,如果需要授予某人对所有Finance文件夹而不是FinanceBudget的读/写权限,那么以后会遇到麻烦。
-
让用户使用域用户账户而不是本地账户登录。这种方法集中了共享权限的管理。
-
所有权限更改都应在发生时进行审核,并且权限层次结构应至少每年审核一次。
配置文件共享
-
创建一个顶级文件夹,作为所有用户创建数据的根存储文件夹(例如,C:Data)。在其中创建子文件夹,以根据工作角色和安全要求隔离和组织数据。
-
确保只有 IT 可以创建根级文件夹。甚至不要让经理或行政人员在最高 1 或 2 层创建文件夹。如果不锁定根级层次结构,整洁的文件夹结构将很快被破坏。部门可以按照自己的意愿组织他们的文件夹,但不允许垃圾文件夹。
-
组织资源,使具有相同安全要求的对象位于同一文件夹中。例如,如果用户需要多个应用程序文件夹的读取权限,请将这些文件夹存储在同一个父文件夹中。然后将读取权限授予父文件夹,而不是单独共享每个单独的应用程序文件夹。
-
确保启用了基于访问的枚举。基于访问权限的枚举仅显示用户有权访问的文件和文件夹。如果用户对某个文件夹没有读取(或等效)权限,Windows 会隐藏该文件夹对用户的视图。
-
相当宽松地设置 Windows 文件共享权限 — 为所有人、经过身份验证的用户或域用户提供完全控制或更改权限 — 并依靠 NTFS 进行真正的权限管理。
-
避免在文件结构中使用嵌套共享,因为如果通过不同的共享访问相同的网络资源,可能会产生冲突的行为。这可能会带来麻烦,尤其是当共享权限不同时。嵌套共享是位于单独共享文件夹中的共享文件夹。当然,还有默认的隐藏共享(C$、D$ 等),它们使所有共享都嵌套在它们下面,并且它们是默认值。但是,如果您的用户使用嵌套的两个单独的非隐藏共享,则可能存在冲突的共享权限。
-
知道何时复制以及何时移动。标准复制和移动操作会提供默认结果,可以保持配置的 NTFS 权限——或破坏它们。复制操作将创建目标容器的权限,移动操作将维护父容器的权限。为了保持这一点,请记住CC/MM —复制创建,移动维护。
-
信息安全手册之网络安全角色指南 -
信息安全手册之网络安全事件指南 -
信息安全手册之外包指南 -
信息安全手册之安全文档指南 -
信息安全手册之网络安全原则 -
信息安全手册之物理安全指南 -
信息安全手册之人员安全指南 -
信息安全手册之通信系统指南 -
信息安全手册之企业移动性指南 -
信息安全手册之系统加固指南 -
信息安全手册之系统管理指南 -
信息安全手册之系统监视指南 -
信息安全手册之软件开发指南 -
信息安全手册之数据库系统指南 -
信息安全手册之电子邮件指南
原文始发于微信公众号(祺印说信安):NTFS 权限管理安全实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论