Come applicare la conformità alle autorizzazioni NTFS?

0

Devo imporre le autorizzazioni NTFS in base ai ruoli aziendali. Ad ogni ruolo (gruppo in ADS) può essere concessa l'autorizzazione a leggere o scrivere una directory del file server. Non mi interessa autorizzazioni di condivisione. Mi interessano le autorizzazioni memorizzate nel NTFS. Devo assicurarmi che le autorizzazioni NTFS siano conformi al criterio. Una voce nella politica potrebbe essere ad esempio:

  • Gli utenti del gruppo di supporto hanno accesso in lettura al "modello aziendale" cartella e scrittura accesso alla cartella 'supporto'.
  • Gli utenti del gruppo di controllo hanno accesso in lettura a tutti tranne che alla "gestione" cartelle e accesso in scrittura alla cartella 'controlling'.

Il controllo di conformità dovrebbe essere fatto automaticamente. Se il controllo di conformità rileva violazioni della politica, le autorizzazioni devono essere corrette automaticamente. Come si può fare?

Per quanto posso vedere, Windows non fornisce tale funzionalità. Ho trovato alcuni prodotti, che possono segnalare permessi NTFS. Ma non riesco a trovare una soluzione per una riconciliazione automatica. Qual è il modo preferito per eseguire una riconciliazione in un dominio Windows?

    
posta ceving 21.02.2013 - 10:22
fonte

1 risposta

1

Se l'accesso è sempre tramite condivisioni, consiglierei l'utilizzo delle autorizzazioni di condivisione. Dovrebbero essere impostati per consentire la lettura / scrittura ma non il pieno (in modo che gli utenti non possano modificare le autorizzazioni del filesystem all'interno della condivisione) Se gli utenti hanno accesso alla console o TS che potrebbero non essere adatti. Ma nella maggior parte dei casi lo è.

Il problema con le autorizzazioni file / cartella è che possono o meno essere trasferite quando i file vengono spostati da un albero di cartelle a un altro. È fondamentalmente una lotteria delle autorizzazioni in questo senso e una che dipende dal fatto che i file siano stati spostati sulla console del server o tramite condivisioni. Questa situazione porta a violazioni involontarie della sicurezza.

Dimentica il soapboxing di Microsoft sul fatto che le autorizzazioni dei file siano superiori, è ciò che funziona in modo affidabile.

Se è necessario utilizzare le autorizzazioni per i file, suggerirei di creare un processo pianificato utilizzando SetACL che reimposta le autorizzazioni predefinite per tale albero, ad esempio ogni ora.

SetACL: link

    
risposta data 07.03.2013 - 22:53
fonte

Leggi altre domande sui tag