¿Cómo imponer el cumplimiento de los permisos NTFS?

Navega tus respuestas
0

Tengo que imponer permisos NTFS basados en roles comerciales. A cada rol (grupo en ADS) se le puede otorgar el permiso para leer o escribir un directorio de servidor de archivos. No me importa compartir permisos. Me interesan los permisos almacenados en el NTFS. Tengo que asegurarme de que los permisos NTFS cumplen con la política. Una entrada en la política podría ser, por ejemplo:

  • Los usuarios del grupo de soporte tienen acceso de lectura a la 'plantilla corporativa' carpeta y acceso de escritura a la carpeta 'soporte'.
  • Los usuarios en el grupo de Controlling tienen acceso de lectura a todos menos a la 'administración' carpetas y acceso de escritura a la carpeta 'controlando'.

La verificación de cumplimiento debe hacerse automáticamente. Si la verificación de cumplimiento encuentra alguna violación de la política, los permisos deben corregirse automáticamente. ¿Cómo se puede hacer esto?

Por lo que puedo ver, Windows no proporciona tal funcionalidad. Encontré algunos productos, que pueden reportar permisos NTFS. Pero no puedo encontrar una solución para una reconciliación automática. ¿Cuál es la forma preferida de hacer esa reconciliación en un dominio de Windows?

    
pregunta ceving 21.02.2013 - 10:22
fuente

1 respuesta

1

Si el acceso es siempre a través de recursos compartidos, le aconsejaría el uso de permisos de uso compartido. Estos deben configurarse para permitir la lectura / escritura, pero no están completos (para que los usuarios no puedan cambiar los permisos del sistema de archivos dentro del recurso compartido) Si los usuarios tienen acceso a la consola o al TS que podrían no ser adecuados. Pero en la mayoría de los casos lo es.

El problema con los permisos de archivos / carpetas es que pueden o no ser transferidos cuando los archivos se mueven de un árbol de carpetas a otro. Es básicamente una lotería de permisos a este respecto, y una que depende de si los archivos se movieron en la consola del servidor o a través de recursos compartidos. Esta situación conduce a violaciones de seguridad inadvertidas.

Olvídese de que el soapboxing de Microsoft acerca de que los permisos de archivos son superiores, lo que funciona de manera confiable es lo que cuenta.

Si debe usar permisos de archivo, sugeriría crear un trabajo programado utilizando SetACL que restablezca los permisos al valor predeterminado para ese árbol, por ejemplo, cada hora.

SetACL: enlace

    
respondido por el IanR 07.03.2013 - 22:53
fuente

Lea otras preguntas en las etiquetas

mitigación CSRF en MVC ¿Implicaciones de seguridad de reenviar los puertos 1-10000 en Airport Express?