Liệt kê dựa trên quyền truy cập (ABE) cho phép ẩn các đối tượng (tệp và thư mục) khỏi người dùng không có quyền NTFS (Đọc hoặc Danh sách) trên một thư mục chia sẻ mạng để truy cập chúng. Do đó, bạn có thể cung cấp thêm tính bảo mật cho dữ liệu được lưu trữ trong thư mục chia sẻ (do ẩn cấu trúc và tên của các thư mục và tệp), cải thiện khả năng sử dụng của nó vì người dùng sẽ không nhìn thấy dữ liệu lẻ (họ không có quyền truy cập) và quan trọng hơn, hãy cứu quản trị viên hệ thống khỏi những câu hỏi liên tục của người dùng “ Tại sao tôi không thể truy cập thư mục này !!!” . Chúng ta hãy thử xem xét chi tiết công nghệ này, các đặc điểm cấu hình và việc sử dụng ABE trong các phiên bản Windows khác nhau.
Quyền truy cập vào các thư mục chia sẻ hoạt động như thế nào trong Windows?
Một trong những hạn chế của công nghệ thư mục chia sẻ mạng trong Windows là theo mặc định, tất cả người dùng ít nhất có thể nhìn thấy cấu trúc của nó và danh sách tất cả các tệp và thư mục trong một thư mục như vậy bao gồm cả những tệp mà họ không có quyền truy cập NTFS ( khi cố gắng mở tệp hoặc thư mục đó, người dùng nhận được lỗi “ Quyền truy cập bị từ chối” ). Tại sao không ẩn các tệp và thư mục đó khỏi những người dùng không có quyền truy cập chúng? Phương pháp liệt kê dựa trên quyền truy cập có thể giúp thực hiện điều đó. Bằng cách bật ABE trên một thư mục được chia sẻ, bạn có thể đảm bảo rằng những người dùng khác nhau nhìn thấy danh sách các thư mục và tệp khác nhau trong cùng một mạng chia sẻ dựa trên quyền truy cập cá nhân (ACL) của người dùng.
Tương tác giữa máy khách và máy chủ xảy ra như thế nào khi truy cập thư mục chia sẻ qua SMB?
- Máy khách yêu cầu máy chủ truy cập vào một thư mục trong thư mục được chia sẻ trên mạng;
- Dịch vụ LanmanServer trên máy chủ kiểm tra quyền của người dùng để truy cập vào thư mục này;
- Nếu được phép truy cập (quyền NTFS:liệt kê nội dung, đọc hoặc ghi), người dùng sẽ thấy nội dung thư mục;
- Sau đó, người dùng yêu cầu quyền truy cập vào một tệp hoặc một thư mục con theo cách tương tự (bạn có thể xem ai đã mở một tệp cụ thể trong một thư mục mạng như thế này);
- Nếu quyền truy cập bị từ chối, người dùng sẽ được thông báo tương ứng.
Theo sơ đồ này, rõ ràng là máy chủ trước tiên hiển thị toàn bộ nội dung của thư mục cho người dùng và các quyền NTFS chỉ được kiểm tra khi người dùng cố gắng mở một tệp hoặc thư mục cụ thể.
Liệt kê dựa trên quyền truy cập ( ABE ) cho phép kiểm tra quyền truy cập trên các đối tượng hệ thống tệp trước khi người dùng nhận được danh sách nội dung thư mục. Vì vậy, danh sách cuối cùng chỉ bao gồm những đối tượng mà người dùng có quyền truy cập NTFS (ít nhất là quyền chỉ đọc) và tất cả các tài nguyên không thể truy cập chỉ đơn giản là không được hiển thị (ẩn).
Có nghĩa là người dùng từ một bộ phận (ví dụ:kho hàng) sẽ thấy một danh sách các tệp và thư mục trong một thư mục dùng chung (\\ filesrv1 \ docs). Như bạn có thể thấy, chỉ có hai thư mục được hiển thị cho người dùng:Public và Warehouse.
Và đối với một người dùng từ bộ phận khác, e. g., bộ phận CNTT (được bao gồm trong một nhóm bảo mật Windows khác), một danh sách các thư mục con khác được hiển thị. Ngoài các thư mục Public và Warehouse, người dùng này nhìn thấy 5 thư mục khác trong cùng một thư mục mạng.
Nhược điểm chính của việc sử dụng ABE trên máy chủ tệp Windows là tải thêm trên máy chủ . Nó đặc biệt nổi bật trong các máy chủ tập tin tải cao. Càng có nhiều đối tượng trong thư mục được xem và càng nhiều người dùng mở tệp trên đó, thì độ trễ càng dài. Theo Microsoft, nếu có 15.000 đối tượng (tệp và thư mục) trong thư mục được hiển thị, thì một thư mục sẽ mở chậm hơn 1-3 giây. Đó là lý do tại sao bạn nên chú ý nhiều đến việc tạo cấu trúc thư mục con rõ ràng và có thứ bậc khi thiết kế cấu trúc thư mục dùng chung để giảm thiểu độ trễ khi mở thư mục.
Lưu ý. Bạn nên hiểu rằng Liệt kê dựa trên quyền truy cập không ẩn danh sách các thư mục được chia sẻ mạng trên máy chủ tệp, nó chỉ ẩn nội dung của chúng. Nếu bạn cần ẩn thư mục chia sẻ khỏi người dùng, bạn phải thêm ký hiệu $ vào cuối tên chia sẻ.Bạn có thể quản lý ABE từ dấu nhắc lệnh ( abecmd.exe tiện ích), từ GUI, PowerShell hoặc một API đặc biệt.
Hạn chế Liệt kê Dựa trên Quyền truy cập
Tính năng liệt kê dựa trên quyền truy cập trên Windows không hoạt động trong các trường hợp sau:
- Nếu bạn đang sử dụng Windows XP hoặc Windows Server 2003 mà không có Gói Dịch vụ 1 làm máy chủ tệp;
- Nếu bạn đang xem các thư mục cục bộ (trực tiếp từ máy chủ);
- Đối với các thành viên của nhóm quản trị viên máy chủ tệp cục bộ (họ luôn nhìn thấy danh sách tệp đầy đủ).
Sử dụng ABE trên Windows Server 2008/2008 R2
Trong Windows Server 2008 / R2 để sử dụng chức năng Liệt kê Dựa trên Truy cập, không cần cài đặt thêm thành phần nào vì tính năng quản lý ABE đã được tích hợp sẵn trong Windows GUI. Để bật Liệt kê dựa trên quyền truy cập cho một thư mục nhất định trong Windows Server 2008/2008 R2, hãy mở bảng điều khiển quản lý MMC Quản lý chia sẻ và lưu trữ (Bắt đầu -> Chương trình -> Công cụ Quản trị -> Chia sẻ và Quản lý Lưu trữ). Chuyển đến thuộc tính của phần cần thiết. Sau đó, chuyển đến Nâng cao cài đặt và chọn Bật tính năng liệt kê dựa trên quyền truy cập .
Định cấu hình liệt kê dựa trên quyền truy cập trên Windows Server 2012 R2 / 2016
Cấu hình ABE trong Windows Server 2012 R2 / 2016 cũng rất đơn giản. Để bật ABE trong Windows Server 2012, trước tiên bạn phải cài đặt Vai trò của dịch vụ tệp và lưu trữ , sau đó chuyển đến thuộc tính chia sẻ trong Trình quản lý máy chủ.
Trong Cài đặt phần chọn tùy chọn Bật tính năng liệt kê dựa trên quyền truy cập .
Triển khai Liệt kê Dựa trên Quyền truy cập trên Windows Server 2003
Trong Windows Server 2003 (hiện không được hỗ trợ), ABE được hỗ trợ bắt đầu từ Gói dịch vụ 1 . Để kích hoạt tính năng Liệt kê dựa trên quyền truy cập trong Windows Server 2003 SP1 (hoặc mới hơn), bạn phải tải xuống và cài đặt một gói theo liên kết này https://www.microsoft.com/en-us/download/details.aspx?id=17510 . Trong khi cài đặt, bạn phải chỉ định xem ABE sẽ được bật cho tất cả các thư mục chia sẻ trên máy chủ của bạn hay bạn sẽ định cấu hình nó theo cách thủ công. Nếu bạn chọn tùy chọn thứ hai, một tab mới, Liệt kê dựa trên Access, sẽ xuất hiện trong thuộc tính chia sẻ mạng sau khi cài đặt.
Để kích hoạt ABE cho một thư mục nhất định, hãy chọn tùy chọn Bật tính năng liệt kê dựa trên quyền truy cập trên thư mục được chia sẻ này trong các thuộc tính của nó.
Điều quan trọng cần đề cập là Windows 2003 hỗ trợ Chế độ liệt kê truy cập dựa trên DFS, nhưng nó chỉ có thể được định cấu hình từ dấu nhắc lệnh bằng cách sử dụng cacls .
Quản lý ABE từ Command Prompt
Bạn có thể quản lý cài đặt Liệt kê dựa trên quyền truy cập từ dấu nhắc lệnh bằng tiện ích Abecmd.exe. Công cụ này là một phần của gói Liệt kê dựa trên Access dành cho Windows Server 2003 SP1 (xem liên kết ở trên).
Abecmd.exe cho phép kích hoạt ABE cho tất cả các thư mục cùng một lúc hoặc chỉ cho một số thư mục. Lệnh tiếp theo bật tính năng Liệt kê Dựa trên Truy cập cho tất cả các lượt chia sẻ:
abecmd /enable /all
Cái này dành cho một thư mục nhất định (ví dụ:một thư mục được chia sẻ trên mạng có tên Docs):
abecmd /enable Docs
Quản lý kiểu liệt kê dựa trên quyền truy cập bằng PowerShell
Bạn có thể sử dụng mô-đun SMBShare PowerShell (được cài đặt theo mặc định trong Windows 10 / 8.1 và Windows Server 2016/2012 R2) để quản lý cài đặt của Access Based Enumeration cho các thư mục cụ thể. Hãy liệt kê các thuộc tính của một thư mục chia sẻ cụ thể:
Get-SmbShare Install|fl *
Lưu ý giá trị của FolderEnumerationMode thuộc tính. Trong trường hợp của chúng tôi, giá trị của nó là Không hạn chế . Điều này có nghĩa là ABE bị tắt cho thư mục này.
Bạn có thể kiểm tra trạng thái của ABE cho tất cả các thư mục được chia sẻ của máy chủ:
Get-SmbShare | Select-Object Name,FolderEnumerationMode
Để bật ABE cho một thư mục cụ thể:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Bạn có thể bật tính năng Liệt kê Dựa trên Truy cập cho tất cả các thư mục mạng đã xuất bản (bao gồm cả chia sẻ quản trị ADMIN $, C $, E $ , IPC $,…) bằng cách chạy lệnh:
Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased
Để tắt ABE, hãy sử dụng lệnh:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted
Liệt kê Dựa trên Quyền truy cập trong Windows 10 / 8.1 / 7
Nhiều người dùng, đặc biệt là trong mạng gia đình hoặc mạng SOHO, cũng muốn sử dụng các tính năng Liệt kê Dựa trên Truy cập. Vấn đề là hệ điều hành máy khách của Microsoft không có giao diện đồ họa hoặc lệnh để quản lý kiểu liệt kê dựa trên quyền truy cập.
Trong Windows 10 (Server 2016) và Windows 8.1 (Server 2012R2), bạn có thể sử dụng PowerShell để quản lý Danh sách dựa trên quyền truy cập (xem phần ở trên). Trong các phiên bản Windows cũ hơn, bạn cần cài đặt phiên bản PowerShell mới nhất (> =5.0) hoặc sử dụng tiện ích abecmd.exe từ gói Windows Server 2003, nó hoạt động tốt trên hệ điều hành máy khách. Vì gói Enumeration dựa trên quyền truy cập Windows Server 2003 không được cài đặt trên Windows 10, 8.1 hoặc 7, trước tiên bạn phải cài đặt nó trên Windows Server 2003, sau đó sao chép nó từ thư mục C:\ windows \ system32 vào cùng một thư mục trên khách hàng. Sau đó, bạn có thể bật ABE theo các lệnh được mô tả ở trên.
Lưu ý. Trong môi trường doanh nghiệp, ABE kết hợp hoàn hảo với các thư mục DFS bằng cách ẩn các thư mục khỏi người dùng và cung cấp cấu trúc cây thư mục công cộng thuận tiện hơn. Bạn có thể bật ABE trong DFS bằng Quản lý DFS hoặc dfsutil.exe:dfsutil property abde enable \\namespace_root
Ngoài ra, bạn có thể bật ABE trên các máy tính trong miền AD bằng GPO. Điều này có thể được thực hiện bằng cách sử dụng GPP trong phần: Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Chia sẻ mạng ).
Trong thuộc tính của thư mục mạng có Liệt kê dựa trên truy cập nếu bạn thay đổi giá trị thành Bật , Chế độ ABE sẽ được bật cho tất cả các thư mục chia sẻ được tạo bằng GPO này.