Допустим, сотрудник Петя увольняется со скандалом, и вам нужно сделать так, чтобы он ничего напоследок не поломал. Или Вася переводится в другой отдел, и ему не следует больше копаться в файлах своего бывшего подразделения.
Теперь самое интересное: нужно каким-то образом вспомнить, к каким конкретно данным у этих товарищей был доступ, и что следует прикрыть в первую очередь.
Если с доступом к приложениям все очевидно и просто, то о файловых ресурсах такого не скажешь.
Наш корпоративный файловый сервер представлял собой достаточно печальное зрелище. С одной стороны - накопленные за годы объемы данных, а с другой - наследие в виде нигде не учтенных прав доступа, предоставленных предыдущими поколениями администраторов. Все это происходило еще до внедрения системы заявок на доступ и оперативно уже никак не разобраться.
В то время мы рассмотрели несколько программ для сбора информации о правах доступа. Но они очень долго обрабатывали тонны данных файлового сервера, да и формируемые отчеты требовали дополнительной доработки напильником.
Вот что мы пробовали:
В итоге, на Powershell был написан скрипт для сбора данных через Get-Acl и последующего автоматического формирования отчета по форме, согласованной со службой безопасности. Но сразу всплыл ряд минусов:
- Использование разных систем для ведения учета чревато дополнительной работой по периодической проверке и обновлению данных.
Слишком неудобно каждый раз запускать скрипт и часами ждать, пока сформируется матрица доступов;
Не подошел вариант ведения учета в виде бумажных заявок. Главным образом, из-за отсутствия механизма автоматического поиска;
Лучшим решением проблемы стала организация структурированной системы доступов на основе ресурсных групп.
О ресурсных группах
Обычно администраторами применяются два метода предоставления доступа:
- Права на группу ролевого доступа. Тот же недостаток, что и в предыдущем случае. К тому же, без протокола назначения прав сложно понять, используется ли конкретная группа кем-нибудь, или может быть удалена.
Непосредственно учетной записи пользователя. Если не вести подробный протокол назначения прав, то быстро возникнет неразбериха;
В качестве альтернативного и более удобного варианта можно использовать модель ресурсных групп. Это обычные группы безопасности, которые отвечают следующим требованиям:
- При необходимости предоставляют права только к каталогам. Желательно избегать назначения прав на отдельные файлы.
Предоставляют права доступа только к одному сетевому ресурсу или подкаталогу, которые могут иметь несколько групп доступа с разными правами;
Могут быть вложенными;
Нарушение этих требований разрушит всю концепцию структурированной системы доступов.
Копнем чуть глубже
На первый взгляд, система доступов на основе ресурсных групп избыточна и требует дополнительных манипуляций при создании общих сетевых ресурсов и подкаталогов с собственными правами. Но все это компенсируется простотой управления правами и возможностью делегирования полномочий ответственным сотрудникам без административных прав на сервере или в домене.
За годы использования такой системы я ни разу не пожалел о потраченном на подготовку времени. Теперь можно в любой момент посмотреть членство пользователя в группах и сразу определить, куда у него есть доступ.
Структурированная система доступов ориентирована на файловые серверы Windows, но без проблем может быть адаптирована и под другие ОС.
Структурированная система доступов на основе ресурсных групп - это не вариация на тему ролевого доступа, а его важный элемент
Как выдаются "пропуска"
Доступ к общему сетевому ресурсу или подкаталогу предоставляется только соответствующим ресурсным группам - локальным "Administrators" и “System”. Каждый общий каталог должен рассматриваться как корень дерева, в котором все доступы наследуются подкаталогами от родительской папки. Права доступа на подкаталог могут быть предоставлены независимо от прав на родительский каталог. Я буду иллюстрировать основные идеи на примере собственного сервера и его структуры папок.
Если нужно на каком-то подуровне отключить наследование или установить запрет доступа – значит, с точки зрения информационной безопасности, структура каталогов выбрана неверно. Информация ограниченного доступа не должна размещаться на ресурсе с более широким доступом из-за риска ее компрометации.
Глубина вложений каталогов на файловом сервере может быть произвольной. Но если часто приходится выдавать права на подкаталоги ниже 3 – 5 уровня, то такая структура станет перегруженной и потребует оптимизации.
Имя нового файлового сервера "FILESRV1". На файловом сервере в корне диска для данных создан каталог с именем “Shares”. Отключено наследование прав доступа от родительского каталога и ограничен доступ
Открываемые в общий доступ каталоги будут создаваться только в папке "Shares". Имя такого каталога должно совпадать с соответствующим именем общего файлового ресурса – например, “Public”.
Для упорядоченного размещения данных в Active Directory создана структура организационных единиц "…\Groups\Shares...". Организационные единицы создаются для каждого файлового сервера и общего файлового ресурса. Для подкаталогов организационные единицы не создаются
Для примера я создал следующие ресурсные группы:
FILESRV1-Public-R
FILESRV1-Public-W
FILESRV1-Public-Новости-2016-R
- FILESRV1-Public-Новости-2016-W
Последние две нужны для предоставления отдельным сотрудникам расширенных прав на каталог "2016".
Теперь нужно включить все это в состав группы "FILESRV1-Public"
Пара слов о выборе имен
В организационной единице с именем общего файлового ресурса создаются группы безопасности:
- "имя_сервера-имя_общего_файлового_ресурса-W" для доступа к данным с правами на чтение и запись.
"имя_сервера-имя_общего_файлового_ресурса" для просмотра дерева каталогов без доступа к данным;
"имя_сервера-имя_общего_файлового_ресурса-R" для доступа к данным с правами чтения;
Эти группы обязательны для всех общих файловых ресурсов, в поле "описание" стоит указывать реальный сетевой путь.
Если нужно предоставить права, начинающиеся с имени подкаталога, то в организационной единице общего файлового ресурса создаются две группы безопасности:
- "имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-W"
"имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-R"
Когда выдаете права, отличные от "только чтение " или “чтение и запись ”, то вместо суффикса “R” или “W” используйте другую букву. Группы безопасности с особыми правами создаются только для тех каталогов, где это реально необходимо.
Предложенные правила именования ресурсных групп позволяют уже по их именам определить каталог, к которому предоставляется доступ. Создаваемые группы нужно включать в состав общей группы с правами только на просмотр дерева каталогов.
Для предоставления доступа по сети лучше выдавать права к общим ресурсам группе "Authenticated Users", но можно использовать и “Domain Users” или “Everyone”. Разрешения на уровне файловой системы не позволяют получить несанкционированный доступ к данным без явного разрешения.
На уровне файловой системы к каталогу "Public" предоставлены соответствующие права доступа для групп
Аналогично установлены права доступа для каталога "2016"
Никаких дополнительных действий с каталогом "Новости" выполнять не требуется
Теперь члены групп "FILESRV1-Public-Новости-2016-R" и “FILESRV1-Public-Новости-2016-W” получат доступ только к папке “2016”, а пользователи из “FILESRV1-Public-R” и “FILESRV1-Public-W” – к общему сетевому ресурсу “\FILESRV1\Public” и всем его подкаталогам.
Что в итоге
Конечно, при создании ресурсов масса времени уходит на подготовку, но зато мы получаем следующие преимущества:
- Можем в любое время посмотреть, какими правами и на какие папки обладает пользователь.
Освобождаем себя от постоянных работ по предоставлению доступа с помощью делегирования этих функций ответственным сотрудникам;
Даже если сейчас ваш файловый сервер похож скорее на большую флешку, то через 2 - 3 года он вполне может превратиться в традиционную «файлопомойку» со всеми вытекающими проблемами.
Если вы знаете более простые методики организации и контроля прав доступа – обязательно делитесь опытом в комментариях.
С точки зрения аппаратных средств сервер - это компьютер, который способен оказывать некоторые услуги другим, подсоединенным к нему компьютерам. Подразумевается, что компьютеры каким-то образом связаны с сервером и друг с другом.
Правильно подобрать сервер для организации - это нелегкая задача. Широкий выбор серверных систем требует от руководителей ИТ-служб реалистично оценивать требования к их вычислительной мощности, масштабируемости, надежности и степени готовности. Они должны четко сформулировать требования к серверам, изучить возможности поддержки, а также определить будущие затраты на модернизацию. Кроме того, надо хорошо ориентироваться в разнообразии предлагаемой на рынке продукции.
Серверы можно классифицировать, например, как по классу решаемых задач, так и по количеству обслуживаемых клиентов. В соответствии со вторым подходом различают серверы масштаба рабочей группы (workgroup); отдела (department); средних организаций (midrange); предприятия (enterprise).
Нужно сказать, что поскольку в рамках каждого типа конфигурация серверов значительно варьируется, четких границ между ними установить нельзя. Мощные компьютеры младшего класса могут выполнять роль серверов начального уровня в старшем смежном классе и наоборот.
Отметим, что классификаций серверов существует довольно много, причем все они в той или иной степени перекрываются. Так, фирмы-производители часто подразделяют выпускаемые серверы по типу исполнения: сверхтонкие (blade), классические напольные (tower), предназначенные для установки в стойки (rack) и с высокой степенью масштабируемости (super scalable). Сверхтонкие компьютеры позволяют не только экономить место, отводимое под каждый сервер, но и уменьшать энергопотребление. Напольные серверы обеспечивают высокую гибкость при размещении компонентов в корпусе и легко наращиваемы. Серверы для установки в стойку предназначены для консолидации серверных систем в центрах обработки данных и использования с внешними подсистемами памяти. Они могут эффективно применяться для кластерных решений, когда сами серверы, внешняя память и дополнительные устройства размещаются в одних и тех же стойках. Серверы с высокой степенью масштабируемости обычно предназначены для крупных предприятий и способны обеспечить решение практически любых задач корпорации.
Ниже описываются некоторые распространенные типы серверов, классифицируемых по классу решаемых задач.
Web-серверы
Web-сервер похож на роботизированный буфет. Клиент запрашивает у него нечто - в нашем случае файл, - а Web-сервер получает этот файл и пересылает его клиенту. В большинстве случаев оригинальный Web-сервер ничего с этим файлом не делает, просто отпасовывая его клиенту. Современные Web-серверы одновременно обрабатывают большое число запросов и быстро выдают ответы на них; кроме того, они способны обрабатывать запросы более сложными способами, чем простая пересылка документа.
Серверы приложений
Для сервера приложений характерны расширенные возможности обработки информации, а взаимодействие с клиентом становится подобным работе приложения. В маркетинге термином «сервер приложений» обычно обозначают предлагаемое продавцами комплексное решение, которое содержит все требуемые компоненты технологий. Для некоторых организаций такой комплексный подход к построению сервера приложений облегчает разработку благодаря унификации разрабатываемых моделей и централизации поддержки.
Серверы баз данных
Серверы баз данных используются для обработки бизнес-транзакций и пользовательских запросов. По мере расширения электронного бизнеса используемые базы данных усложняются и увеличиваются в объеме. Ключевая характеристика сервера баз данных - его способность быстро извлекать и форматировать данные. Решающую роль в этом играют вычислительная мощность и масштабируемость системы.
Файл-серверы
Файл-сервер делает именно то, о чем говорит его название: обеспечивает взаимодействие между сетевыми станциями и дает пользователям доступ к файлам, которые необходимы им для работы. Кроме того, файл-сервер обычно ограничивает несанкционированный доступ к данным. Собственно, разница между файл-сервером и сервером приложений заключается в том, что первый хранит программы и данные, а второй выполняет программы и обрабатывает данные.
«Беспроводной» сервер
В своей простейшей интерпретации такой компьютер может представлять собой типичный Web-сервер или сервер приложений, который просто знает, как передавать документы, составленные на стандартном для беспроводных устройств языке. Часто в качестве такого языка выступает Wireless Markup Language (WML). Адаптация Web-сервера для работы в качестве беспроводного сервера, способного обрабатывать документы WML-типа, обычно сводится просто к тому, чтобы обучить сервер распознаванию этих документов. Web-серверу требуется только сообщить клиенту, что документ составлен в формате для беспроводных устройств, и на этом его работа заканчивается.
Прокси-серверы
Две основные функции этого компьютера заключаются в следующем. Во-первых, он действует как посредник, помогая пользователям получить информацию из Интернета и при этом обеспечивая защиту сети. Во-вторых, прокси-сервер может сохранять часто запрашиваемую информацию в кэш-памяти на локальном диске, быстро доставляя ее пользователям без повторного обращения к Интернету. Прокси-сервер стал весьма популярным способом стыковки корпоративных интрасетей с Интернетом.
Брандмауэры
Прокси-серверы можно сконфигурировать так, что они будут принимать или отвергать определенные типы сетевых запросов, поступающие как из локальной сети, так и из Интернета. В такой конфигурации прокси-сервер становится межсетевым экраном - брандмауэром. Брандмауэр, как и подразумевает его «боевое» имя, представляет собой средство обеспечения безопасности, задачи которого во многом схожи с работой пограничников: осматривать каждый фрагмент данных, который пытается пересечь границу сети.
Почтовые серверы
Подобно прокси-серверу, почтовый сервер (иногда называемый сервером сообщений) должен заниматься как входящими, так и исходящими запросами. Одна из задач почтового сервера - чтение адресов входящих сообщений и доставка корреспонденции в соответствующие почтовые ящики в пределах интрасети. В зависимости от развитости почтового сервера он может предоставлять администратору большую или меньшую степень контроля над локальными почтовыми ящиками, типами и размерами сообщений, которые они в состоянии получать, автоматическими ответами, которые можно составлять, и т. п.
Серверы DHCP
В настоящее время во многих локальных сетях (интрасетях) также используется протокол TCP/IP, но иногда применяются и оригинальные протоколы обмена, такие, как NetBEUI или AppleTalk. IP-адрес компьютерам можно присваивать вручную, или же на одной из машин запускается так называемый сервер DHCP (Dynamic Host Configuration Protocol), который автоматически присваивает IP-адрес каждой локальной машине. Основное преимущество сервера DHCP - свобода изменения конфигурации локальной сети при ее расширении, добавлении или удалении машин (например, портативных ПК).
Серверы FTP
Подобные серверы, работающие на основе протокола File Transfer Protocol, уже много десятилетий назад стали стандартом де-факто при перемещении файлов в Интернете. FTP-серверы поддерживают работу простых файловых менеджеров - клиентов. Сложные FTP-серверы обеспечивают администратору большие возможности управления в том, что касается прав на подключение и совместного использования файлов, типов разделяемых файлов и их размещения. Конфигурируемые ресурсы, выделяемые ряду соединений с сервером, ограничения на количество передаваемых данных и минимальную скорость передачи и т.п., становятся все более популярными средствами, помогающими повысить безопасность FTP-серверов.
Принт-серверы
Такие серверы позволяют всем подключенным к сети компьютерам распечатывать документы на одном или нескольких общих принтерах. В этом случае отпадает необходимость комплектовать каждый компьютер собственным печатающим устройством. Кроме того, принимая на себя все заботы о выводе документов на печать, принт-сервер освобождает компьютеры для другой работы. Например, принт-сервер хранит посланные на печать документы на своем жестком диске, выстраивает их в очередь и выводит на принтер в порядке очередности.
Серверы удаленного доступа
Эти системы позволяют связываться с офисной сетью по телефонным линиям. Находясь с ноутбуком где-нибудь вдали от офиса, всегда можно получить нужный файл, проверить, не пришла ли электронная почта, словом, получить любую необходимую информацию. При наличии хороших каналов связи разница между работой в офисе и вне его в этом случае практически незаметна.
Факс-серверы
В известном смысле факс-серверы служат мостом между старым и новым способами ведения бизнеса. Во многих отношениях факс-сервер подобен упоминавшемуся ранее почтовому серверу. Оба эти типа серверов представляют собой мосты между исходящими и входящими сообщениями, оба должны направлять входящие сообщения по указанному адресу. В случае почтовых серверов - это всегда почтовый ящик конкретного пользователя. В случае факс-серверов для небольшой однопользовательской среды часто подразумевается, что принимающий сообщение компьютер и является местом назначения, поэтому модель почтового ящика здесь не работает. С другой стороны, факс-серверы, предназначенные для корпоративного использования, имеют некоторые параллели с моделью сервера электронной почты, обеспечивая доставку входящих факсов по конкретным адресам, присвоенным пользователям.
Серверные приставки
Существует огромное количество устройств, определяемых термином appliance server. Не сразу бывает понятно, что имеется в виду (appliance переводится как «аппарат, прибор, приспособление, устройство», в том числе и как бытовой электроприбор) и чем такой сервер отличается от других серверов. Вообще говоря, слово «appliance» на самом деле не имеет отношения к конкретному типу сервера как таковому; здесь имеется в виду тип его комплектования и поставки. Фактически этот термин означает просто сервер любого типа, который продается уже настроенным, сконфигурированным и готовым к включению в сеть. Например, если предлагается сервер, описываемый как устройство для Web-хостинга, то реально продается Web-сервер (называемый еще сервером приложений), подаваемый как устройство «включи и работай», поскольку оно подходит для установки в существующую сеть. На рынке также имеются серверные приставки для управления трафиком, для создания виртуальных частных сетей - VPN, кэширующие устройства и т. д.
Файловый сервер - это сервер, который предназначен для хранения и обмена файлами. Собственно такое определение говорит само за себя и выдумывать что-то другое тут просто не получится. Ещё его называют "файловой помойкой", потому что обычно скопище файлов рано или поздно именно в это превращается:)
Как можно организовать такой сервер? Да очень просто. Во-первых, можно просто поставить Windows на любой компьютер, сделать общий доступ к папке и таким образом, все пользователи, которые находятся в сети, получат к ней доступ, указав в адресной строке адрес этого сервера. Не знаю, насколько долго простоит такой сервер, но если его использовать аккуратно, то простоять может долго. Видел такое вот решение: на каждом компьютере, с операционной системой WindowsXP, создана папка, которой определён общий доступ. На каждом компьютере в сети, тоже с такой же операционной системой, подключены сетевые диски, каждый диск из которых является сетевой папкой, какого-то компьютера в сети, таким образом созданных:) Не знаю, насколько хорошо и действенно такое решение, но мне оно не совсем нравится, так как расчитано малое количество компьютеров. И потому надо искать другие методы, чтобы иметь то, что мы хотим иметь.
Так как мы больше склоняемся к *nix решениям, то самым оптимальным решением для таких целей будет служить программа SAMBA , которая позволяет работать с виндовыми машинами:) Кстати, насколько я видел недавно, SAMBA также работает и с компьютерами с MAC осью. Но может у меня глюки были такие, или может я не правильно что-то понял, когда увидел в пакете SAMBA эту поддержку. Но я отвлёкся. Маков пока в конторах нет (в наших), и потому будем разговаривать о сопряжении компьютеров с операционной системой Windows и файловом сервере на основе *nix , то есть будем говорить о программе SAMBA :)
Я не буду рассказывать о тонкой настройке самой SAMBA и вспомогательных утилитах для работы с ней, так как на это уйдёт куча времени. Мы поговорим про урезанные версии Linux, которые служат для какой-то определённой цели. Мы ведь говорим про ClarkConnect , не правда ли? Есть ещё хорошее решение для этих целей - FreeNAS , но оно мне не понравилось в связи, с меньшим количеством элементарного функционала, нежели ClarkConnect ...а может я чего-то не увидел. В общем, у каждого есть время, чтобы опробовать и то, и то:)
В ClarkConnect файловый сервер реализован на основе SAMBA . Да-да, но только запустить такой файловый сервер сможет любой человек, даже не знающий *nix и не имеющий представления о файле smb.conf и его структуре:) Правда сервачёк у него получиться без наворотов, но стопроцентно говорю, будет работать. Мало того, что будет работать, так ещё и работать хорошо! :) Главное, чтобы не падал LDAP , а там машина возьмёт своё.
На мой взгляд, это очень отличная тема для описания. В своё время было интересно поднять какой-либо сервер на своём компьютере для более удобного обмена файлами. Попробовав различные и даже протокол, я понял, что мне они абсолютно не нравятся, первые выглядят в браузере, мягко говоря, убого, вторые хотя и имеют свои явные преимущества, но подключать сетевой диск на чужих компьютерах не хочется. Но в один (прекрасный и солнечный) день я встретил программу под названием HTTP File Server (сокращенно HFS), установил, настроил (так как я начинал работать с самой чистой версией, с этим были некоторые проблемы) и почти влюбился в эту программу. Для доступа к моим файлам теперь достаточно иметь любой браузер, так как весь доступ осуществляется, через обычную веб-страницу. Также у меня создана папка, в которую человек, знающий пароль, может добавить файл прямо через браузер. Файлы с сервера можно качать как по одному, так и сразу папками. Программа сама поместит папку в.tar архив без сжатия и отправит для скачивания. При этом сайт имеет довольно опрятный вид, хотя при желании (и достаточных знаниях) можно самому написать шаблон сайта. Признайте, что это отличный способ для легкой и удобной передачи файлов?
И вот пример страницы, которую вы будете видеть в окне браузера, как видите всё красиво и опрятно, на форуме программы можно найти много красивых шаблонов:
Хотя её меню полностью на английском языке, для меня это не является помехой. А для тех, кто плохо знает английский, в конце статьи я постараюсь максимально полно объяснить за что отвечают все разделы меню и как ими пользоваться.
Итак, перейдем к установке и настройке HTTP File Server:
1) Чтобы несколько сэкономить вам время, я приготовил сборку HFS с русскоязычным шаблоном сайта и произвел первоначальную настройку самой программы. Скачать сборку можно с моего Яндекс.Диск’а по ссылке . Если же вы уверены в своих способностях, то можете скачать чистую версию программу на официальном сайте http://www.rejetto.com/hfs/
На этом всё. Надеюсь эта статья оказалась вам полезной, нажмите одну из кнопок ниже, чтобы рассказать о ней друзьям. Также подпишитесь на обновления сайта, введя свой e-mail в поле справа.
Спасибо за внимание:)
