Menyembunyikan folder tidak dapat diakses oleh pengguna menggunakan Access-Based Enumeration (ABE) di Windows Server

Teknologi Akses-berdasarkan Pencacahan (ABE - Transfer Berbasis Akses) memungkinkan Anda untuk menyembunyikan file dan folder dari pengguna pada sumber daya jaringan bersama (bola) yang mereka tidak memiliki hak akses baca di tingkat NTFS. Dengan demikian, dimungkinkan untuk memberikan kerahasiaan tambahan dari data yang disimpan dalam direktori jaringan (dengan menyembunyikan struktur dan nama direktori dan file), untuk meningkatkan kegunaan bagi pengguna yang tidak akan ditampilkan informasi tambahan selama bekerja dengan direktori jaringan (terutama akses ke mana ia memiliki segalanya sama-sama tidak ada) dan, yang paling penting, kami akan melindungi administrator sistem dari pertanyaan pengguna yang konstan "mengapa tidak membiarkan saya masuk ke folder ini!!". Mari kita coba memahami secara lebih rinci teknologi ini dan fitur konfigurasinya serta penggunaannya dalam berbagai versi Windows.

Konten:

  • Fitur akses ke folder jaringan bersama Windows
  • Batasan Enumerasi Berbasis Akses
  • Menggunakan ABE di Windows Server 2008/2008 R2
  • Mengkonfigurasi Enumerasi Berbasis Akses pada Windows Server 2012 R2 / 2016
  • Mengkonfigurasi Enumerasi Berbasis Akses pada Windows Server 2003
  • Manajemen ABE dari baris perintah
  • Mengelola Enumerasi Berbasis Akses dengan PowerShell
  • Pencacahan Berbasis Akses pada Windows 10 / 8.1 / 7

Fitur akses ke folder jaringan bersama Windows

Salah satu kelemahan folder jaringan Windows adalah kenyataan bahwa, secara default, semua pengguna, ketika melihat konten folder bersama, setidaknya bisa melihat strukturnya dan daftar file dan direktori yang terkandung di dalamnya, termasuk yang diakses di tingkat NTFS mereka hilang (ketika Anda mencoba membuka file atau folder seperti itu, pengguna menerima kesalahan akses "Akses ditolak / Akses Ditolak"). Jadi mengapa tidak menyembunyikan dari pengguna direktori-direktori dan file-file yang dia tidak punya akses? Akses Berdasarkan Pencacahan (ABE). Dengan mengaktifkan ABE pada folder jaringan bersama, Anda dapat memastikan bahwa pengguna yang berbeda melihat daftar direktori dan file yang berbeda di jaringan yang sama, berdasarkan pada hak akses pengguna individu ke folder ini (ACL).

Bagaimana interaksi antara klien dan server terjadi ketika mengakses folder bersama:

  • Klien menghubungi server dengan permintaan untuk akses ke direktori yang diminati di folder jaringan bersama;
  • Layanan Server Lanman pada server memeriksa apakah pengguna memiliki hak akses ke direktori ini pada tingkat izin sistem file NTFS;
  • Jika akses diizinkan (melihat konten / baca / tulis), pengguna melihat daftar isi direktori;
  • Kemudian pengguna dapat membuka file atau subfolder tertentu dengan cara yang sama (Anda dapat melihat siapa yang membuka file tertentu dalam folder jaringan seperti itu). Jika tidak ada akses ke folder, pengguna menerima pemberitahuan.

Dari diagram ini jelas bahwa server pertama kali menunjukkan kepada pengguna seluruh isi folder, dan memeriksa hak akses ke objek tertentu hanya setelah mencoba mengakses kontennya..

Enumerasi Berbasis Fungsionalitas (ABE) memungkinkan Anda untuk menerapkan kontrol akses pada objek sistem file sebelumnya bagaimana daftar isi folder dikirim ke pengguna. Oleh karena itu, hanya objek yang paling tidak memiliki hak pengguna akan masuk dalam daftar akhir Baca di tingkat NTFS, dan semua sumber daya yang tidak dapat diakses sama sekali tidak ditampilkan (disembunyikan).

Yaitu pengguna dari satu departemen (misalnya, gudang) di direktori jaringan yang sama (\\ filesrv1 \ docs) akan melihat satu daftar folder dan file. Seperti yang Anda lihat, pengguna hanya menampilkan dua folder: Publik dan Sklad.

Pengguna departemen lain, seperti IT (yang termasuk dalam kelompok keamanan Windows lain), menampilkan daftar subdirektori yang berbeda. Selain direktori Publik dan Sklad, 6 direktori lainnya dapat dilihat di folder jaringan untuk data pengguna.

Kerugian utama menggunakan ABE pada server file - beban server tambahan. Ini terutama dapat dirasakan pada server file yang sangat banyak dimuat. Semakin besar jumlah objek dalam direktori yang dilihat, dan semakin banyak pengguna membuka file di dalamnya, semakin besar penundaannya. Menurut Microsoft, jika ada 15.000 objek (file dan direktori) di direktori yang ditampilkan, kecepatan membuka folder melambat 1-3 detik. Itulah sebabnya, ketika mendesain struktur folder bersama, disarankan untuk memberikan perhatian besar untuk membuat struktur subfolder yang jelas dan hierarkis, dalam hal ini perlambatan dalam kecepatan membuka direktori tidak akan terlihat..

Catatan. Harus dipahami bahwa Enumeration Berbasis Akses tidak menyembunyikan dari pengguna daftar sumber daya jaringan bersama (ball) pada file server, tetapi hanya bertindak dalam kaitannya dengan konten mereka. Jika Anda ingin menyembunyikan folder jaringan dari pengguna, tambahkan simbol ke akhir nama folder bersama $.

Anda dapat mengontrol ABE dari baris perintah (utilitas abecmd.exe), dari GUI, PowerShell atau melalui API khusus.

Batasan Enumerasi Berbasis Akses

Enumerasi berbasis akses pada Windows tidak berfungsi dalam kasus:

  1. Jika Windows XP atau Windows Server 2003 tanpa Paket Layanan digunakan sebagai file server;
  2. Saat melihat direktori secara lokal (langsung dari server). Misalnya, pengguna yang terhubung ke server RDS akan melihat semua folder lokal jika server ini juga digunakan sebagai server file);
  3. Untuk anggota grup administrator server file lokal (mereka selalu melihat daftar lengkap file).

Menggunakan ABE di Windows Server 2008/2008 R2

Di Windows Server 2008 / R2, untuk menggunakan fungsionalitas Akses Berdasarkan Pencacahan tidak ada komponen tambahan yang perlu diinstal, seperti Manajemen fungsi ABE sudah terintegrasi ke dalam Windows GUI. Untuk mengaktifkan Enumerasi berbasis akses untuk folder tertentu di Windows Server 2008/2008 R2, buka konsol manajemen mmc Manajemen Berbagi dan Penyimpanan (Mulai -> Program -> Alat Administratif -> Share dan Manajemen Penyimpanan). Pergi ke jendela properti bola yang diinginkan. Lalu pergi ke jendela pengaturan lanjutan (tombol Mahir) dan aktifkan opsi Aktifkan enumerasi berbasis akses.

Mengkonfigurasi Enumerasi Berbasis Akses pada Windows Server 2012 R2 / 2016

Menyiapkan ABE di Windows Server 2012 R2 / 2016 juga mudah. Untuk mengaktifkan Akses Berdasarkan Pencacahan Anda harus menginstal terlebih dahulu secara alami peran server file (Layanan File Dan Penyimpanan), dan kemudian di konsol Server Manager pergi ke properti folder publik.

Dan di bagian ini Pengaturan aktifkan opsi Aktifkan enumerasi berbasis akses.

Mengkonfigurasi Enumerasi Berbasis Akses pada Windows Server 2003

Di Windows Server 2003 (dihentikan), teknologi ABE telah didukung sejak saat itu Paket Layanan1. Untuk mengaktifkan Enumerasi berbasis Access di Windows Server 2003 SP1 (dan lebih tinggi), Anda perlu mengunduh dan menginstal paket _http: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. Selama proses instalasi, Anda harus menentukan apakah akan secara otomatis mengaktifkan ABE untuk semua folder bersama di server, atau apakah konfigurasi akan dilakukan secara individual. Jika item kedua dipilih, maka setelah paket diinstal, tab baru Pencacahan berbasis akses akan muncul di properti folder bersama.

Untuk mengaktifkan ABE untuk folder tertentu, aktifkan opsi di propertinya Aktifkan enumerasi berbasis akses pada folder bersama ini.

Perhatikan juga bahwa Windows 2003 mendukung penggunaan Enumerasi Berbasis Akses berbasis DFS, namun, Anda hanya dapat mengonfigurasinya dari baris perintah menggunakan utilitas cacls.

Manajemen ABE dari baris perintah

Pengaturan Enumerasi berbasis akses dapat dikontrol dari baris perintah menggunakan utilitas Abecmd.exe. Utilitas ini termasuk dalam paket Enumeration berbasis Access untuk Windows Server 2003 SP1 (tautan di atas).

Utilitas Abecmd.exe memungkinkan Anda untuk mengaktifkan ABE segera untuk semua direktori atau secara langsung. Perintah berikut ini akan segera mengaktifkan Pencacahan Berbasis Akses untuk semua bola:

abecmd / aktifkan / semua

Atau untuk folder tertentu (misalnya, bola dengan nama Documents):

abecmd / aktifkan dokumen

Mengelola Enumerasi Berbasis Akses dengan PowerShell

Untuk mengontrol pengaturan Enumerasi Berbasis Akses untuk folder tertentu, Anda dapat menggunakan modul PowerBShell SMBShare (diinstal secara default di Windows 10 / 8.1 dan Windows Server 2016/2012 R2). Daftar properti folder jaringan tertentu:

Get-SmbShare Install | fl *

Perhatikan nilai atribut FolderEnumerationMode. Dalam kasus kami, nilainya - Tidak dibatasi. Ini berarti ABE dinonaktifkan untuk folder ini..

Anda dapat memeriksa status ABE untuk semua folder jaringan server:

Dapatkan-SmbShare | Pilih-Nama Objek, FolderEnumerationMode

Untuk mengaktifkan ABE untuk folder, lakukan:

Instal-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased

Anda dapat mengaktifkan Enumerasi Berbasis Akses untuk semua folder jaringan yang diterbitkan (termasuk bola administrasi ADMIN $, C $, E $, $ IPC), lakukan:

Instal-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased

Untuk menonaktifkan ABE, lakukan:

Instal-SmbShare | Set-SmbShare -FolderEnumerationMode Tidak Terbatas

Pencacahan Berbasis Akses pada Windows 10 / 8.1 / 7

Banyak pengguna, terutama di jaringan rumah, juga ingin dapat menggunakan fungsionalitas Enumerasi Berbasis Akses. Masalahnya adalah bahwa OS klien Microsoft tidak memiliki antarmuka manajemen enumerasi berbasis akses berbasis grafis dan perintah.

Pada Windows 10 (Server 2016) dan Windows 8.1 (Server 2012R2), Anda dapat menggunakan PowerShell untuk mengontrol Enumerasi berbasis Akses (lihat bagian di atas). Di versi Windows yang lebih lama, Anda perlu menginstal PowerShell versi terbaru (> = 5.0) atau menggunakan utilitas abecmd.exe dari paket untuk Windows Server 2003, ini juga berfungsi dengan baik pada OS klien. Karena paket Enumerasi berbasis Windows Server 2003 Access tidak diinstal pada Windows 10 / 8.1 / 7, Anda harus menginstalnya pada Windows Server 2003, dan kemudian menyalinnya dari direktori C: \ windows \ system32 ke direktori yang sama pada klien. Setelah itu, Anda dapat mengaktifkan ABE sesuai dengan skrip dengan baris perintah yang dijelaskan di atas.

Catatan. Dalam lingkungan perusahaan, ABE bekerja sangat baik dengan folder DFS, menyembunyikan folder "yang tidak perlu" dari pengguna dan menyediakan struktur yang lebih nyaman dari struktur folder publik. Anda dapat mengaktifkan ABE di ruang nama DFS menggunakan konsol Manajemen DFS atau utilitas dfsutil.exe:
properti dfsutil abde memungkinkan \\

Selain itu, Anda dapat mengaktifkan ABE di komputer domain AD menggunakan kebijakan grup. GPP digunakan untuk ini di bagian: Konfigurasi komputer -> Preferensi -> Pengaturan Windows -> Berbagi jaringan).

Seperti yang Anda lihat, ada opsi di properti folder jaringan Akses-Berdasarkan Pencacahan, jika Anda mengubah nilainya ke Aktifkan, mode ABE akan diaktifkan untuk semua folder publik yang dibuat menggunakan GPO ini.