Migliori pratiche per la gestione dei permessi NTFS

Configurazione dei permessi NTFS

• Crea una politica di permessi del server dei file che definisca chiaramente il tuo processo di gestione dei permessi.
• Utilizza i gruppi di Active Directory ovunque. Non assegnare permessi NTFS agli individui, anche se devi creare centinaia di gruppi. È molto più semplice gestire 200 gruppi piuttosto che 2.000 permessi unici.
• Configura i permessi NTFS per le risorse, assegna ruoli a tali permessi e assegna persone ai ruoli. Ad esempio, supponi di avere una condivisione denominata HR su fileserver1. Esegui le seguenti operazioni:

1. Per questa condivisione, crea i seguenti gruppi locali di dominio nel tuo AD con i permessi indicati:
   • fileserver1_HR_read (Sola lettura)
   • fileserver1_HR_modify (Leggere e modificare)
   • fileserver1_HR_fullcontrol (Controllo completo)
2. Utilizza questi gruppi per impostare i permessi NTFS ai diritti utente appropriati.
3. Crea un gruppo globale in AD chiamato HR per il tuo personale HR. Aggiungi questo gruppo globale al gruppo locale di dominio fileserver1_HR_read, e poi aggiungi gli account utente al gruppo globale HR. Quello che hai fatto ora è collegare un'asset a un permesso e i permessi a un ruolo. Man mano che espandi la tua rete e aggiungi diversi asset e aree di accesso al ruolo, sarai in grado di vedere facilmente quali asset un ruolo può accedere.

Persone (account utente) -> Ruolo (gruppo globale di Active Directory) -> Permessi (gruppo locale di dominio di Active Directory) -> Risorsa (file o cartella su un server di file)

• Evitate di concedere agli utenti il permesso di Controllo completo. Il Controllo completo permette agli utenti di modificare i permessi NTFS, cosa che gli utenti medi non dovrebbero avere la necessità di fare. I diritti di Modifica dovrebbero essere tutto ciò che è necessario per la maggior parte degli utenti.
• Assegnare i permessi più restrittivi che consentano ancora agli utenti di svolgere il loro lavoro. Ad esempio, se gli utenti devono solo leggere le informazioni in una cartella e non modificare, eliminare o creare file, assegnare esclusivamente il permesso di Lettura.
• Rimuovi il permesso Everyone da ogni risorsa eccetto la cartella globale designata per gli scambi di file.
• Crea un gruppo Global Deny affinché, quando i dipendenti lasciano l'azienda, tu possa rimuovere rapidamente tutti i loro accessi al file server rendendoli membri di quel gruppo.
• Cerca di non interrompere l'ereditarietà dei permessi il più possibile. Ci saranno alcune cartelle dove ciò potrebbe essere necessario, ma generalmente è meglio evitarlo. Se qualcosa dovesse interrompere l'ereditarietà, allora o deve essere spostato su un livello superiore o devi rivalutare chi ha quali permessi sulla cartella principale. Ad esempio, se devi dare a qualcuno i permessi di Lettura/Scrittura per tutta la cartella \Finance ma non per \Finance\Budget, avrai problemi in seguito.
• Fate accedere gli utenti utilizzando account utente di dominio piuttosto che account locali. Questo approccio centralizza l'amministrazione dei permessi di condivisione.
• Tutte le modifiche ai permessi dovrebbero essere auditate man mano che avvengono, e la gerarchia dei permessi dovrebbe essere auditata almeno una volta all'anno.

Configurazione delle condivisioni di file

• Crea una cartella di primo livello che fungerà da cartella di archiviazione radice per tutti i dati creati dagli utenti (ad esempio, C:\Data). Crea delle sottocartelle al suo interno per segregare e organizzare i dati in base ai ruoli lavorativi e ai requisiti di sicurezza.
• Assicurati che solo l'IT possa creare cartelle a livello radice. Non permettere nemmeno ai manager o agli esecutivi di creare cartelle nei primi 1 o 2 livelli. Se non blocchi la gerarchia a livello radice, la tua ordinata struttura di cartelle sarà rapidamente distrutta. I dipartimenti possono organizzare le loro cartelle come vogliono, ma non permettere cartelle inutili.
• Organizza le tue risorse in modo che gli oggetti con gli stessi requisiti di sicurezza siano situati nella stessa cartella. Ad esempio, se gli utenti richiedono il permesso di Lettura per diverse cartelle di applicazioni, conserva tali cartelle nella stessa cartella principale. Quindi, concedi i permessi di Lettura alla cartella principale, piuttosto che condividere separatamente ogni singola cartella di applicazione.
• Assicurati che l'enumerazione basata sugli accessi sia abilitata. L'enumerazione basata sugli accessi mostra solo i file e le cartelle a cui un utente ha il permesso di accedere. Se un utente non possiede i permessi di Lettura (o equivalenti) per una cartella, Windows nasconde la cartella dalla vista dell'utente.
• Imposta i permessi di condivisione dei file Windows in modo piuttosto permissivo — concedi a Tutti, agli Utenti Autenticati o agli Utenti del Dominio i permessi di Controllo Totale o Modifica — e affidati a NTFS per la vera gestione dei permessi.
• Evitate di avere condivisioni nidificate nelle vostre strutture di file perché possono creare comportamenti in conflitto per le stesse risorse di rete se vengono accessi attraverso condivisioni diverse. Questo può essere fonte di problemi, specialmente quando i permessi di condivisione sono diversi. Una condivisione nidificata è una cartella condivisa che si trova all'interno di un'altra cartella condivisa. Ci sono, naturalmente, le condivisioni nascoste predefinite (C$, D$, ecc.), che rendono tutte le condivisioni al di sotto di esse nidificate, e sono un'impostazione predefinita. Tuttavia, se i vostri utenti utilizzano due condivisioni non nascoste e nidificate separate, possono verificarsi permessi di condivisione in conflitto.
• Sapere quando copiare e quando spostare. Le operazioni standard di copia e spostamento forniscono risultati predefiniti che possono mantenere le tue configurazioni dei permessi NTFS — o romperli. Le operazioni di copia creeranno i permessi del contenitore di destinazione, e le operazioni di spostamento manterranno quelli del contenitore padre. Per tenere a mente questa distinzione, ricorda semplicemente CC/MM — Le Copie Creano, gli Spostamenti Mantengono.

Top 5 strumenti per i permessi NTFS

• Strumento di Reporting dei Permessi Effettivi da Netwrix
• NTFS Permissions Reporter da Cjwdev
• Enum Accesso (utilità Microsoft)
• Permissions Reporter di Key Metric Software
• Permissions Analyzer di SolarWinds

Esportazione dei permessi NTFS tramite Powershell

• Esportazione dei permessi delle cartelle tramite PowerShell
• Esportazione dei permessi utente tramite PowerShell
  

Cosa sono i permessi NTFS

NTFS (New Technology File System) è il file system standard per Windows NT e tutti i successivi sistemi operativi Windows. Con NTFS, si utilizzano cartelle condivise per fornire agli utenti della rete l'accesso alle risorse dei file e quindi gestire i permessi per unità e cartelle. I permessi NTFS sono disponibili per tutte le unità formattate con questo file system. Ogni utente può scegliere di condividere intere unità o singole cartelle con la rete.

I principali vantaggi dei permessi NTFS sono che influenzano sia gli utenti locali che quelli di rete e si basano sui permessi concessi a ciascun utente individuale all'accesso di Windows, indipendentemente dal luogo di connessione. Gli amministratori possono utilizzare lo strumento NTFS per controllare l'accesso a file e cartelle, contenitori e oggetti sulla rete come parte della sicurezza del sistema.