it-swarm-vi.tech

Làm thế nào để khắc phục lỗ hổng thiết kế NTFS Move / Copy?

Như bất kỳ ai đã xử lý các quyền của máy chủ tệp đều biết, NTFS có một tính năng/lỗ hổng thiết kế thú vị được gọi là sự cố Di chuyển/Sao chép.

Như đã giải thích trong bài viết MS KB này , các quyền cho thư mục hoặc tệp không tự động kế thừa từ cha mẹ nếu thư mục được di chuyển và nguồn và đích nằm trên cùng một ổ đĩa NTFS. Các quyền được kế thừa nếu thư mục được sao chép hoặc nếu nguồn và đích nằm trên các ổ đĩa khác nhau.

Đây là một ví dụ nhanh:

Bạn có hai thư mục được chia sẻ trên cùng một ổ NTFS được gọi là "Kỹ thuật viên" và "Người quản lý". Nhóm Kỹ thuật viên có quyền truy cập RW vào thư mục Kỹ thuật viên và nhóm Người quản lý có quyền truy cập RW vào thư mục "Người quản lý". Nếu ai đó có quyền truy cập vào cả hai và họ di chuyển thư mục con từ thư mục "Người quản lý" sang thư mục "Kỹ thuật viên", thư mục được di chuyển vẫn chỉ có thể truy cập được đối với người dùng trong nhóm "Người quản lý". Nhóm "Kỹ thuật viên" không thể truy cập thư mục con mặc dù nó nằm trong thư mục "Kỹ thuật viên" và phải được kế thừa quyền từ đầu.

Như bạn có thể tưởng tượng, điều này gây ra các cuộc gọi hỗ trợ, vé và các chu trình lãng phí trong việc giải quyết các vấn đề của người dùng cuối này, chưa kể đến các tổ chức quyền mà bạn có thể kết thúc nếu người dùng thường di chuyển các thư mục giữa các thư mục/khu vực được bảo mật khác nhau trên cùng khối lượng.

Các câu hỏi là:

Cách tốt nhất để khắc phục lỗ hổng thiết kế NTFS này là gì và bạn xử lý nó như thế nào trong môi trường của bạn?

Tôi biết bài viết KB được liên kết nói về một số khóa đăng ký để thay đổi hành vi mặc định của Windows Explorer nhưng chúng ở phía máy khách và yêu cầu người dùng có khả năng thay đổi quyền mà tôi nghĩ hầu hết các môi trường là không khởi động nếu bạn muốn giữ quyền kiểm soát các quyền máy chủ tệp của mình (và sự tỉnh táo của bạn dưới dạng sysadmin).

31
David Archer

Cách tiếp cận của tôi là không sử dụng quyền cấp tệp/thư mục cấp; sử dụng quyền cấp độ chia sẻ tệp và đặt toàn bộ ổ dữ liệu của hệ thống tệp máy chủ thành Mọi người kiểm soát hoàn toàn (trở thành moot).

Trong nhiều năm (10+), tôi đã thấy rằng các quyền NTFS phức tạp hơn và dẫn đến nhiều lỗi hơn. Nếu các quyền được đặt sai hoặc thừa kế bị hỏng, bạn sẽ lộ dữ liệu và rất khó để tìm và xem nó. Thêm vào đó, bạn tiếp xúc với vấn đề di chuyển/sao chép như bạn nói.

Những nơi bạn phải sử dụng cấp độ thư mục/tệp ACL; Tôi biết không có giải pháp nào khác ngoài việc kiểm tra sức khỏe một cách thường xuyên.

12
James Risto

Vâng, nó không thực sự là một lỗ hổng. Quy tắc này để xử lý các quyền khi di chuyển tệp đã được áp dụng kể từ ít nhất là phiên bản beta 2 của NT3.1 (mặc dù rõ ràng không phải là kế thừa vì điều đó chỉ được thêm vào với Windows 2000). Nó cũng nổi tiếng như bất kỳ tính năng nào của Windows. Tôi rất đồng tình với quan điểm của bạn, vì có thể có một vài người trong chúng ta chưa bị điều này đốt cháy trong một giai đoạn. Nhưng đó là thứ mà sysadmin nhanh chóng học được.

JR

10
John Rennie

Chúng tôi đã sử dụng NTFS kể từ NT 3.51 và mặc dù chúng tôi đã thấy "vấn đề" này (cũng như hầu hết mọi người), nó đã không gây ra cho chúng tôi nhiều rắc rối:

  • Chúng tôi luôn bảo mọi người sao chép tệp nếu họ cần di chuyển chúng từ thư mục dùng chung này sang thư mục khác. "Giữ phím CTRL khi kéo và đảm bảo rằng dấu + nhỏ đang hiển thị" là cụm từ phổ biến.
  • Các thư mục được chia sẻ của chúng tôi có cấu trúc khá đơn giản và các thư mục được chia sẻ mà chúng tôi tạo ra không giao thoa giữa các nhóm quá thường xuyên, vì vậy mọi người có nhiều khả năng muốn sao chép các tệp ở vị trí đầu tiên.
  • Chúng tôi thấy vấn đề chủ yếu nằm ở không gian "chung" của chúng tôi - nơi mọi người đều có thể đọc/ghi, nhưng những thư mục đó chủ yếu tồn tại trong thời gian ngắn nên vấn đề sẽ biến mất khi chúng bị thanh trừng.
6

Cách giải quyết tôi có thể nghĩ ra:

  • tìm cách tạo các thư mục có quyền khác nhau trên các ổ NTFS khác nhau
  • Thực hiện một tác vụ theo lịch trình (một lần một giờ hoặc một lần mỗi ngày tùy thuộc vào tần suất của các yêu cầu hỗ trợ) chạy qua các thư mục và đặt lại tất cả các quyền giống như các quyền từ cấp cao nhất. Điều này ít hơn lý tưởng, vì vậy nếu các thư mục có nhiều tệp trong đó, nhưng là một vấn đề sẽ khắc phục sự cố nếu không có giải pháp tốt như sửa lỗi đăng ký phía máy chủ. Lệnh bạn sẽ muốn xem được gọi là 'cacls' mà sau đó bạn có thể thêm vào một tệp bó.

Tuyên bố miễn trừ trách nhiệm - Tôi đến từ một nền tảng unix (và đã triển khai cái cuối cùng để sửa các lỗi quyền khác nhau - nó cảm thấy khó chịu, nhưng thực hiện công việc), vì vậy có thể có cách khắc phục tốt hơn nhiều.

4
Mark

Tôi sử dụng chính sách nhóm/chính sách bảo mật/hệ thống tệp để theo dõi các quyền phức tạp. (KHÔNG BAO GIỜ sử dụng "quyền thay thế" trong chính sách).

Lên lịch cho CACLS để đặt lại tất cả các quyền trong đêm sau đó là gpupdate/lực lượng để áp dụng lại quyền từ chính sách. Hoạt động như một lá bùa.

3
Alexandru Nica

Khi chuyển sang làm quản trị viên, tôi sử dụng xcopy/s/e/c/h/r/k/y - mọi thứ ngoài quyền sở hữu tệp và ACL, có nghĩa là quyền thừa kế ACL tự động khởi động. Không bao giờ thực sự phải đối phó với tình huống người dùng di chuyển công cụ mặc dù.

3
Maximus Minimus

Vì Windows 7 (hoặc có thể là Windows Vista), các quyền đối với thư mục hoặc tệp DO được thừa hưởng từ cha mẹ nếu thư mục được di chuyển và nguồn và đích nằm trên cùng một ổ đĩa NTFS - nếu một tệp hoặc thư mục được sao chép qua Explorer. Trong một hệ điều hành trước đó, bạn có thể sử dụng Trình quản lý xa - nó cho phép kích hoạt quyền thừa kế từ đích (cùng với hàng tấn các tính năng khác). Mặc dù Far có vẻ không thân thiện với người dùng nói chung.

2
GCRaistlin

Một cách giải quyết rất đơn giản là chỉ cần Zip các tệp và giải nén nó vào thư mục đích.

0
Bob