Организация папок на файловом сервере лучшие практики
По приходу в компанию сетевые папки были разбросаны по серверам, и админ только и занимался тем, что перенарезал права. Но логика в большинстве компаний одинаковая:
1. У каждого пользователя должна быть своя папка
2. Папка должна быть у каждого отдела
3. Есть общие папки для сотрудников разных отделов, для рабочих групп. 4. Должна быть общая папка помойка — это мнение сугубо только пользователей.
Для упрощения работы пользователей было принято решение, что это должна быть одна точка входа. Как правило, это что-то вроде SharePoint. Но кроме двух серверов с Windows Server 2012 больше не было ничего.
Вот как было решено поступить.
- user — поименные папки пользователей, создавались автоматически и с нужными правами;
- group — создавались вручную, параллельно с созданием рабочей группы, права для группы на изменение;
- send — папка для отправки документов в другие рабочие группы, чистим ежедневно.
1. Папки пользователей
Через GPO поменяли места хранения. Но т.к. после применения все добро из моих документов начинает копироваться на сервер, у некоторых это >20Gb, то мы прибегли к фильтру безопасности. Создали объект, связали со всем доменом, почистили фильтр безопасности и добавляли по одному пользователю. Так смогли разгрузить сеть.
2. Папки рабочих груп
Для этого в AD создали подразделение, для своего удобства. Внутри подразделения на создавали группы соответствующие нашим рабочим группам. Параллельно создавали одноименные папки в папке group и нарезали права. В каждой папке есть ссылка на папку из send где будут лежать входящие документы.
3. Единая точка входа через Мои документы
В моих документов у пользователей не только их файлы но и ярлыки на рабочие группы и папку отправку больших файлов. Вот листинг скрипта на создание ярлыков:
OU=Рабочие группы — объект где хранятся наши рабочие группы.
4. Отправка файлов
Папку send необходимо чистить ежедневно т.к. она очень быстро превратится в помойку. Мы перестраховались, ту папку что есть переносим на сервер резервных копий и создаем по новой папку.
Всё, задача решена, теперь для экономии места включаем дедубликацию, т.к. пользователи очень любят хранить одинаковые файлы. И после окончательного переноса всех пользователей можно настраивать квоты в Диспетчере ресурсов файлового сервера. У нас были грабли тут, мы изначально поставили жесткие квоты на типы файлов, и при переносе пользовательской папки у нас вываливался алярм и приходилось вручную докопировать файлы. Лучше в начале поставить просто уведомление на почту.
В следующей стать расскажу как мы организовали дальше резервное копирование и с использованием дедубликации храним историю файлов.
Утечками конфиденциальных данных сегодня никого не удивишь. Очень сложно защитить ИТ-инфраструктуру в эпоху распределенных сетей и облачных сервисов, когда само понятие защищенного периметра уходит в прошлое.
В последнее время специалисты по безопасности много говорят о необходимости практического применения концепции нулевого доверия и подобных сложных вещах, но если их упростить, становится очевидным: защищать нужно всё и везде.
Раньше считалось, что можно построить надежную внешнюю оборону, не слишком заботясь о внутренних системах. Сейчас такой подход не пройдет — злоумышленники рано или поздно отыщут лазейку, а потенциальные инсайдеры присутствуют в локальной сети изначально. Существует множество способов обнаружить и пресечь их вредоносную активность, и сегодня мы поговорим о правильной организации доступа к файловым хранилищам.
Папка «Файлообмен» (Exchange)
Папка верхнего уровня для обмена файлами между любыми сотрудниками. Операции обмена через эту папку должны быть минимизированы по соображениям безопасности. Пользователь может ошибочно выложить в неё документ с конфиденциальной информацией, а получатель не успеет его оперативно забрать и удалить. Кроме того возможна фальсификация данных.
- Доступ: на чтение/запись у всех пользователей.
- Ежедневное удаление всех данных из этой папки по scheduler. Это необходимо для обеспечения безопасности на случай, если пользователь не забрал переданный ему файл.
Сначала перенос
Перед запуском в эксплуатацию нового Server 2008 R2 необходимо перенести данные со старого сервера. Недооценивать этот процесс нельзя. Меня всегда удивляло, как много администраторов пренебрегают планированием переноса. На многих серверах хранятся сотни гигабайтов (и даже терабайты) данных, копирование которых с одного сервера на другой может занять много времени. Если используется сопоставление дисков буквенным обозначениям (как в большинстве компаний), необходимо изменить его в соответствии с новым именем сервера файлов (если оно отличается от имени старого сервера). Также следует учитывать, что многие пользователи создали собственные ссылки с указанием пути UNC (\\Server\Share); при замене имени сервера файлов все они окажутся недействительными. И это лишь некоторые трудности, с которыми приходится сталкиваться при развертывании нового сервера.
Программа проводит пользователя по всему процессу переноса, от организации общих папок на новом сервере до проверки всех скопированных данных. В нужный момент она даже закрывает старые общие папки. На экране 1 показано, как выглядит этот процесс.
Одна из весьма удачных функций FSMT — Distributed File System (DFS) Consolidation Root, благодаря которой пользователи могут по-прежнему работать со старыми UNC-путями даже после удаления прежнего сервера. Описание примера миграции приводится во врезке «Простой перенос сервера файлов».
С чего начать процесс изменения?
В первую очередь необходимо понять, какие данные нуждаются в защите. В распределенной ИТ-инфраструктуре крупной компании это может оказаться непростой задачей, ведь количество серверов и файловых хранилищ в ней обычно исчисляется десятками, а общих ресурсов на рабочих компьютерах могут быть сотни и тысячи. Даже провести аудит силами ИТ-департамента в такой ситуации сложно, а настроить права доступа, следить за их актуальностью и контролировать безопасность выдаваемых пользователям привилегий в ручном режиме и вовсе невозможно. Из-за человеческих и технических ошибок хаос будет нарастать даже в крайне маловероятном без специальных инструментов контроля случае, если ценой титанических усилий сотрудников ИТ удастся единоразово навести в сети порядок.
Помимо организационных мер, потребуются специальные технические средства для непрерывной классификации данных и управления правами доступа к ним. Начать, однако, стоит с разработки и утверждения «Регламента использования информационно-файловых ресурсов», а потом уже переходить к выбору и внедрению решений для автоматизированного контроля за его соблюдением.
Папка проектов (Projects/Teams)
Папки верхнего уровня с доступом для нескольких сотрудников работающих над одной задачей (проектом):
- Название: произвольное, по запросу инициатора.
- Создание: по запросу.
- Доступ: назначается индивидуально по запросу пользователей. Запрос подтверждается владельцем папки, после чего назначаются соответствующие права.
- В папке находится файл owner.txt в котором содержится информация:
- Владелец папки (логин), ФИО, дата начала и дата окончания.
- В самой верхней строчке — последний владелец. Далее все предыдущие владельцы папок.
- Доступ на изменение файла только у группы администраторов.
- Доступ на просмотр — у всех пользователей.
Группы в AD
Для распределения прав доступа создаются следующие группы (названия групп произвольные):
- Все пользователи (All) — в ней все сотрудники работающие в компании.
- Уволенные (Fired) — в неё переносятся сотрудники, которые покинули компанию.
- Группы с названиями соответствующими названиям отделов:
- В эту группу входят все сотрудники отдела.
- Для группы в AD задан менеджер и ему делегировано право (галка «Менеджер может изменять членов группы») предоставления прав на добавление сотрудников в группу.
Создаем шару
В Проводнике на удаленном сервере создадим новую папку на только что подготовленном нами диске и назовем ее, например, «Share». Снова откроем окно Диспетчера серверов. В левой панели расположена надпись «Файловые службы и службы хранилища». Щелкнем на ней мышью, чтобы перейти к настройкам.
Откроется одноименное окно, в котором демонстрируются следующие оснастки:
Запустится «Мастер создания общих ресурсов». В первую очередь нужно выбрать из списка подходящий профиль общей папки. Нам подойдет вариант «Общий ресурс SMB – быстрый профиль», поскольку он позволяет предоставлять доступ к файлам на компьютерах с Windows и не требует настройки дополнительных параметров.
Нажимаем «Далее». В следующем окне нам предложат выбрать папку для создания общего ресурса. Устанавливаем переключатель в позицию «Ввести пользовательский путь», жмем «Обзор» и выбираем созданную нами ранее папку Share. Снова жмем «Далее».
В следующем окне вводим произвольное имя общего ресурса — оно будет видно «снаружи» при обращениях к папке, нажимаем «Далее». В следующем окне нам предложат указать дополнительные настройки нашей шары. В целях безопасности можно установить флажок «Зашифровать доступ к данным» — в этом случае при удаленном доступе к папке передаваемая в обе стороны информация будет подвергнута шифрованию. Если установлен флажок «Включить перечисление на основе доступа» юзеру будет видно только то содержимое общей папки, к которому он имеет доступ согласно привилегиям его учетной записи. Если папкой будете пользоваться только вы, этот флажок можно не устанавливать. Кеширование общего ресурса я рекомендую отключить, чтобы не расходовать попусту ресурсы сервера.
По нажатию «Далее» система продемонстрирует стандартный для Windows Server список разрешений на доступ к папке, согласно которому полные права на чтение и запись имеет только пользователь с правами Администратора. Нажмите в окне Мастера на кнопку «Настройка разрешений», затем «Добавить» -> «Выберите субъект», в нижнем поле введите «Все» (без кавычек), нажмите «Ок» и установите флажок «Полный доступ». Нажмите «Применить», затем «Ок».
Осталось только нажать в окне «Мастера создания общих ресурсов» кнопку «Далее» и «Создать». Выбранная нами папка появится в панели «общие ресурсы».
Создание нового раздела
А при попытке раздать для этой папки дополнительные права на полный доступ получим ошибку применения параметров безопасности для загрузочного диска.
Я решил эту проблему, создав отдельный логический том, отличный от того, на котором установлена Windows — там мы сможем развлекаться, как нашей душе угодно. Для этого:
- В окне Диспетчера серверов откройте расположенное в верхней части меню «Средстива», а в нем — «Управление компьютером».
- В открывшемся окне выберите в левой панели оснастку «Управление дисками». Вы увидите единственный диск, на котором расположена операционная система.
- Щелкните на диске правой клавишей мыши и выберите «Сжать том». При общем объеме диска в 40 Гбайт в поле «Размер сжимаемого пространства, Мб» я прописал значение 25 000, посчитав, что для работы винде хватит 15 Гбайт дискового пространства.
- Щелкните мышью на кнопке «Сжать», и дожидитесь, пока Windows освободит место на диске.
После того как в Диспетчере дисков появится неразмеченное свободное пространство, необходимо проделать следующие шаги:
- Щелкните правой клавишей мыши в нераспределенной области, и в контекстном меню выберите пункт «Создать простой том»;
- В окне «Мастера создания простого тома» нажмите «Далее», убедитесь, что размер тома соответствует объему неразмеченной области, снова нажмите «Далее».
- Введите букву диска (по умолчанию «D:») и опять нажмите «Далее».
- Выберите в качестве файловой системы NTFS, размер кластера — «по умолчанию», установите флажок «Быстрое форматирование». Остальные параметры можно оставить без изменений. Нажмите «Далее». Затем щелкните мышью на кнопке «Готово».
Если теперь мы откроем Проводник, то увидим, что в системе появился новый диск D:.
Квотирование и Рабочие папки
При желании в «Диспетчере серверов» можно настроить квотирование, то есть, запретить пользователям создавать в общей папке файлы больше заданного объема. Еще там есть занимательный инструмент «Рабочие папки». Фактически, это та же сетевая шара, только с автоматической синхронизацией, как в Dropbox или у «Яндекс.Диска». Файлы в «Рабочей папке» хранятся на сервере и остаются там даже после удаления файлов на устройстве пользователя. Подробнее почитать о них можно вот здесь, я же не буду описывать технологию настройки Рабочих папок, поскольку она в целом схожа с настройкой обычной сетевой шары, которую мы подробно рассмотрели в этой статье.
Траблшутинг
Теперь, казалось бы, мы можем обращаться к этой папке прямо из Проводника. Для этого набираем в адресной строке \\ip-адрес-нашего-сервера, вводим имя и пароль Администратора, и видим нашу расшаренную папку с тем именем, которое мы задали ей на этапе настройки. Можно пользоваться шарой? Хренушки. Отказано в доступе. Винда не была бы виндой, если бы все было так просто. Самый простой способ избавиться от этой ошибки — такой.
- Вновь подключаемся к серверу по RDP, щелкаем правой кнопкой мыши на значке подключения к сети в трее и выбираем в контекстном меню «Открыть Параметры сети и интернет».
- В открывшемся окне проматываем содержимое вниз и жмем на надпись «Центр управления сетями и общим доступом».
- В расположенной слева панели жмем на надпись «Изменить дополнительные параметры общего доступа».
- Устанавливаем переключатель в положение «Включить сетевое обнаружение».
- Переходим в раздел «Все сети» чуть ниже, устанавливаем переключатель в положение «Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках».
- Жмем «Сохранить изменения».
Если сетевое обнаружение никак не хочет включаться, делаем следующее: в панели поиска набираем без кавычек «Службы» или services.msc, и принудительно запускаем следующие службы (если они еще не запущены):
- DNS-клиент (DNS Client)
- Обнаружение SSDP (SSDP Discovery)
- Публикация ресурсов обнаружения функции (Function Discovery Resource Publication)
- Узел универсальных PNP-устройств (UPnP Device Host)
Запускаем на сервере Проводник, находим в нем нашу расшаренную папку. Щелкаем на ней правой клавишей мыши, в контекстном меню выбираем пункт «Свойства» и открываем вкладку «Безопасность». Выбираем щелчком мыши пользователя «Все» и нажимаем на кнопку «Изменить». Устанавливаем флажок «Полный доступ», жмем «Применить» и «Ок».
Это еще не конец наших мучений! Открываем вкладку «Доступ», нажимаем на кнопку «Расширенная настройка», затем — «Разрешения». В появившемся окне нужно установить флажок «Полный доступ», затем нажать «Применить» и «Ок».
На этом этапе кое-кто отчаивается и идет покупать платный аккаунт в Dropbox за $9.99. Но мы сильны духом, любим секс, а потому продолжаем эксперименты. Вновь открываем Удаленный рабочий стол на сервере, вводим в поисковую строку слово «Администрирование» (без кавычек) и нажимаем Enter. В окне «Администрирование» выбираем «Локальная политика безопасности» -> «Локальные политики» -> «Назначение прав пользователя» -> «Отказать в доступе этому компьютеру из сети – Гость». Дважды щелкаем на этой строке мышью и удаляем «Гостя» из списка.
Все! Аллилуйя! Вот теперь, после всех этих плясок с бубном общий доступ к папке будет наконец открыт, и мы получим возможность насладиться всеми чудесными возможностями Windows Server 2019. Как минимум, сможем сохранять в шаре файлы. Для пущего удобства можно подключить удаленную папку в качестве сетевого диска. Для этого:
- На своей рабочей машине откройте Проводник, щелкните правой клавишей мыши на значке «Этот компьютер» и выберите в контекстном меню пункт «Подключить сетевой диск».
- В открывшемся окне выберите букву сетевого диска, в поле «Папка» введите IP-адрес сервера и сетевое имя общей папки, установите флажки «Восстанавливать подключение при входе в систему» и «использовать другие учетные данные».
- Нажмите на кнопку «Готово».
При первом подключении к диску потребуется ввести логин и пароль Администратора сервера. В дальнейшем параметры учетки будут подтягиваться автоматически.
Если при попытке соединения появляется ошибка «Ресурс общего доступа доступен в сети, но не отвечает на попытки подключения» виноват, вероятно, брандмауэр на сервере. Проверить это достаточно просто: нужно отключить брандмауэр и попробовать зайти в общую папку. Если попытка увенчалась успехом, необходимо настроить в брандмауере правила для соединений.
Почему доступ к файлам так важен?
Недавно мы провели исследование в банковских, страховых и инвестиционных компаниях, то есть организациях, которые имеют дело с критичной информацией клиентов и по определению должны серьезно заботиться о безопасности. Результаты оказались плачевными:
рядовому сотруднику в среднем доступно почти 11 млн файлов, причем в зависимости от размера ИТ-инфраструктуры этот показатель мог увеличиваться вдвое;
около 20% сетевых папок открыты для всех внутренних пользователей;
39% участвовавших в исследовании компаний имеют более 10 000 устаревших, но все еще активных учетных записей, а 60% — не менее 500 (в среднем около 1000) паролей без истечения срока действия.
Что касается общедоступных конфиденциальных файлов, их счет обычно идет на тысячи — злоумышленнику не нужно осуществлять сложный взлом, для доступа к важным данным ему достаточно попасть в локальную сеть одного из филиалов и получить права обычного пользователя. Как вывести файлы наружу — вопрос решаемый, особенно если в компании практикуется использование личных мобильных устройств. Но и без этого способов хватает, особенно если системы противодействия утечкам и защиты доступа к данным о критичности этих файлов еще ничего не знают.
Как организовать доступ?
Есть несколько важных моментов, которые необходимо учесть в процессе определения требований регламента организации файловых ресурсов. Если коротко, все они сводятся к простому принципу: пользователь должен получить минимум необходимых ему для работы прав.
К примеру, на сетевую папку всем пользователям можно назначить права (Share Permissions) на изменение, а полный доступ дать только локальным администраторам. Даже если внутри ресурса кому-то по ошибке разрешат полный контроль средствами NTFS, воспользоваться привилегиями по сети не получится. Крайне нежелательно создавать вложенные сетевые ресурсы, потому что они приводят к путанице с настройкой прав доступа — для этих целей есть DFS.
Папка «Private» (диск P:)
Для всех пользователей компании на файловом сервере создается личная папка:
- Название: латиницей ФИО.
- Доступ: полный для самого пользователя и группы администраторов домена.
- Папка монтируется на диск P:
- В случае с терминальным серверами профиль пользователя редиректится в эту папку.
Папки отделов
Название папок верхнего уровня по названию отделов. Например: IT, АДМИНИСТРАЦИЯ, КОММЕРЧЕСКИЙ ОТДЕЛ, HR и т.п.
На папке отдела даны полные права для группы в которую входят сотрудники отдела и права на чтения для всех сотрудников компании. В папках отдела следующие подпапки:
В одной из предыдущих статей я рассматривал некоторые проверенные временем методы эффективного использования сервера файлов и давал рекомендации по организации сервера файлов для сетей, в которых данные распределены по многим узлам, система защиты файловой системы не налажена или структура папок плохо упорядочена. После выпуска Windows Server 2008 R2 уже прошло какое-то время, и я решил вернуться к этой теме, обновить материал с учетом особенностей новейшей операционной системы Microsoft и рассказать о некоторых полезных инструментах, которые можно задействовать для переноса и управления сервером файлов.
Синхронизация
Зачем, Холмс?
Как и большинство простых юзеров, я попробовал в действии самые популярные сетевые хранилища, чтобы на практике оценить их достоинства и недостатки. Dropbox невыразимо прекрасен всем, кроме ограничений на объем бесплатного дискового пространства, которое я довольно быстро забил рабочими материалами под завязку, и малого количества доступных для установки приложения устройств на халявном тарифе. Девайсов у меня много, потому в целях автоматической синхронизации файлов приходилось регулярно отключать и заново регистрировать их в приложении, что довольно хлопотно.
«Яндекс.Диск» может похвастаться значительным объемом дискового пространства (особенно, если хранить файлы в облаке и сохранять локально только то, что нужно в данный момент), но их клиент — это просто какой-то тормозной, неудобный и неповоротливый монстр. С клиентом «гуглодрайва» мне тоже подружиться не удалось: и неудобный, и сортировкой файлов там наблюдаются какие-то странности — такое ощущение, что софтина валит все в кучу, при этом даже выполненная вручную сортировка регулярно сбивается. В то же время, файлообменник нужен мне постоянно, на разных устройствах и желательно, чтобы на них не приходилось устанавливать какие-то сторонние приложения. В идеале было бы подключить такую шару обычным сетевым диском и пользоваться по мере необходимости на разных машинах, как виртуальной флешкой.
Безусловно, за $9.99 в месяц можно купить 2 терабайта в облаке у Dropbox, но там нет возможности многопользовательской работы. При нынешнем курсе доллара аренда виртуального сервера с дисковым объемом 40 Гб, но без ограничений на количество подключений, выйдет примерно в ту же сумму, а если выбрать конфигурацию попроще с одним ядром — то даже дешевле. Определенная часть этого дискового пространства будет занята операционной системой, но для хранения файлов останется минимум 20 Гбайт, чего для моих целей вполне достаточно.
При этом файловое хранилище на VPS имеет целый ряд других неоспоримых преимуществ:
- можно публиковать веб-сайты прямо из общей папки;
- можно организовать доступ к нему с использованием SFTP;
- можно настроить торрент-клиент для загрузки и выгрузки контента;
- в том же контейнере можно смонтировать сервер NFS или SMB для использования VPN.
Матчасть
Virtual Private Server (VPS) чаще всего покупают для хостинга сайтов, но в отличие от обычного хостинга, он позволяет изолированно запускать несколько приложений в одном и том же контейнере. В целом, VPS вполне можно использовать для организации личного файлового хранилища, поскольку:
- средства виртуализации VPS обеспечивают достаточный уровень безопасности, в связи с чем такое хранилище можно считать относительно надежным;
- как правило, провайдер самостоятельно организует резервное копирование собственных контейнеров, либо предоставляет средства автоматизации этого процесса, поэтому о бекапах можно особенно не беспокоиться;
- виртуальный сервер более дешев по сравнению с выделенным сервером при схожем уровне безопасности и в целом подходит для выбранной цели.
Этого вполне достаточно, чтобы использовать наш VPS в качестве удаленного файлового хранилища. После создания сервер сразу же станет доступен нам по RDP — к нему можно подключиться либо с помощью клиента удаленного Рабочего стола, либо непосредственно в браузере из Панели управления RuVDS. Необходимые для подключения данные будут дополнительно отправлены по электронной почте, так что не потеряются. Что ж, приступим к самому интересному — настройке сервера.
Насколько важны данные?
У каждого файла есть уровень важности, и некоторые из них необходимо обрабатывать особым образом. К сожалению, различать файлы можно только по типу (расширению) и дате последнего обращения. Это ограничение существенно сужает возможность управлять файлами, основываясь на их использовании. Было бы очень удобно хранить файлы с личными данными на зашифрованном диске, а самые важные файлы — в хранилище с высоким уровнем готовности.
Проблему можно решить на уровне инфраструктуры классификации файлов File Classification Infrastructure (FCI) операционной системы Server 2008 R2. Процесс FCI нельзя назвать интуитивно понятным, но в нем можно разобраться по мере накопления опыта.
Первый шаг — создать одно или несколько свойств классификации. Поначалу они непонятны, но, в сущности, это «тег», присваиваемый файлу. Например, можно задать низкий, средний или высокий уровень конфиденциальности.
Затем следует создать правило, которое точно определяет значение каждого уровня конфиденциальности. В моем гипотетическом примере я хотел убедиться в безопасности всех файлов, относящихся к космическому челноку НАСА. Я могу создать правило, которое отмечает любой файл, содержащий слово shuttle («челнок») как Confidential; High (высокий уровень конфиденциальности).
Последний шаг в этом простом примере — подготовить задание для работы с файлами, попадающими под действие правила классификации. Я могу создать задание, которое перемещает файлы Confidential; High (со словом shuttle в тексте файла) в более безопасное место. Аналогичный процесс можно организовать для файлов, содержащих номер социального страхования (SSN) граждан США, и даже файлов, к которым не обращались в течение определенного времени.
Перемещение файла — лишь одно из действий, которое можно применить к файлу, соответствующему критерию классификации, если у вас есть навыки работы со сценариями. Предполагается, что Microsoft и даже сторонние поставщики (например, изготовители устройств памяти SAN) могут использовать API-интерфейс FCI. Но пока возможности ограничены.
Кто использует хранилище?
Как известно, стоит только построить сервер файлов, а уж пользователи его наполнят. Они непременно займут все пространство сервера, если им позволить это сделать. К сожалению, у администратора нет точных сведений о типах файлов, хранящихся на дисках. Чтобы получить желанную возможность «заглянуть» в сервер файлов, воспользуйтесь диспетчером ресурсов File Server Resource Manager (FSRM).
Всего за несколько минут вы выясните, какие именно данные хранятся на сервере, в том числе типы файлов (документы, фильмы, музыка), местонахождение файлов и кто владелец данных. Несколько примеров встроенных отчетов на основе HTML: Duplicate Files (файлы-дубликаты), Large Files (большие файлы), Least Recently Accessed Files (давно не использовавшиеся файлы), Most Recently Accessed Files (недавно открывавшиеся файлы) и Files by Owner (файлы по владельцам). На экране 2 показан пример формируемых отчетов.
Например, чтобы составить отчет о дубликатах файлов, нужно выполнить следующие шаги.
В отчете с аккуратной структурой дублированные файлы отображаются в порядке убывания: более объемные файлы находятся вверху страницы.
С помощью диспетчера FSRM также можно назначать квоты. В отличие от функции Disk Quota в операционной системе Windows Server 2003, в Server 2008 R2 можно назначать квоты отдельным папкам, а не целым томам. Настройки весьма детальны, в том числе предусмотрено разделение на жесткие и мягкие ограничения. Жесткое ограничение не позволяет пользователю занять больше места, чем разрешено. Мягкое ограничение — только «предупреждение», которое фактически не мешает пользователю превысить отведенный ему лимит пространства. Благодаря разнообразным методам уведомления, в том числе по электронной почте, с помощью записей в журнале событий, специальных отчетов и сценариев, пользователь получает сведения о состоянии квот. Понять и настроить квоты, несомненно, проще, чем любой другой раздел в диспетчере FSRM: достаточно щелкнуть Quotas в диспетчере FSRM, выбрать Create Quota, ввести путь (целый том или конкретную папку), указать готовый шаблон квот и нажать Create. Если встроенные шаблоны квот не подходят, можно создать собственный шаблон в области Quota Template.
Еще один достойный упоминания компонент — File Screening Management, с помощью которого можно запретить сохранять файлы определенных типов в конкретных папках. Например, сотрудникам отдела маркетинга полезно разрешить сохранять фильмы и видеоклипы в папке подразделения. Но у сотрудников других отделов иные профессиональные обязанности, и, запретив им хранить большие файлы на сервере, можно сэкономить гигабайты дискового пространства. В Server 2008 R2 есть 11 заранее определенных групп файлов, но можно подготовить и собственные, если в готовых группах отсутствует тип файлов, который нужно блокировать. Среди встроенных групп файлов аудио- и видеофайлы (37 типов файлов), выполняемые файлы (20 типов) и файлы изображений (18 типов). На экране 3 показаны некоторые шаблоны фильтра блокировки файлов.
Процесс установки FSRM будет прост и недолог, после того как вы уясните одну особенность. Приложение устанавливается из Server Manager, Role Services внизу страницы. Не путайте Role Services (службы роли) с Roles (роли) вверху экрана. После окончания установки можно найти оснастку FSRM консоли Microsoft Management Console (MMC) в разделе Administrative tools.
Доступ к дискам
Наводим порядок
Перечисление на основе доступа Access Based Enumeration (ABE) — сравнительно новая технология для Microsoft. Однако она существует довольно давно. Помню недоуменный взгляд администраторов Novell, когда я сказал, что мои пользователи могут видеть папки, на работу с которыми не имеют разрешений, хотя и не получают доступ к ним. В серверах файлов Windows функция сокрытия имен папок появилась лишь после специального внепланового обновления для Windows Server 2003.
Что же такое ABE? ABE скрывает папки, для которых у пользователей нет прав хотя бы для чтения. На экранах 4 и 5 приведен простой пример до и после применения ABE для расчистки сервера файлов. В результате пользователям становится проще перемещаться в проводнике Windows.
На первый взгляд доставка файлов — не самая большая проблема для современных высокотехнологичных серверов. Но по мере того как хранилища данных становятся больше, а нормативные акты — строже, администраторам необходимо учиться использовать встроенный инструментарий, способный облегчить работу. Если вам приходится иметь дело с полностью неорганизованным сервером, попробуйте применить методы, описанные в первой статье, а затем постарайтесь улучшить обслуживание пользователей, задействовав новые мощные функции Server 2008 R2.
Первый шаг при переносе сервера файлов?— организовать корень DFS Consolidation Root.
- Переименуйте исходный сервер файлов. Специалисты Microsoft рекомендуют добавить _ret в конце имени сервера, но символ подчеркивания?— незаконный для имен компьютеров. Ради простоты я рекомендую добавить -r в конце имени сервера. Сделайте это в выходные, когда сервер никому не нужен.
- Запустите мастер DFS Consolidation Root Wizard.
- Введите имя автономного DFS-сервера.
- Введите имя папки, в которой будет находиться корневая папка (например, C:\Roots).
- Введите исходное имя старого сервера файлов и имя нового сервера файлов.
- Прочитайте информацию в диалоговых окнах и нажимайте кнопку Next на остальных экранах мастера.
При попытке подключиться к \\oldfileserver\share пользователь будет переправлен к \\oldfileserver-r\share
Если в середине пути обнаруживается, что DFS Consolidation Root настроен неверно (это может легко случиться), необходимо воспользоваться командой Dfsconsolidate:
После того, как DFS Consolidation Root настроен, можно перенести старый сервер на новый. Для этого просто запустите мастер Microsoft File Server Migration Wizard.
- Выберите New, чтобы начать новый проект переноса.
- Введите имя и место, чтобы сохранить проект (можно принять значения по умолчанию).
- Введите имя корневого сервера DFS, использованное при создании DFS Consolidation Root.
- Выберите исходный сервер. В списке должен быть сервер, к имени которого добавлено -r.
- Укажите место, в котором должны размещаться новые общие папки. Можно указать корневой каталог диска, содержащего данные.
- Все готово к началу процесса переноса. Начните с выбора общих папок, которые нужно перенести.
- Следующий шаг после того, как мастер переноса проверит настройки, — скопировать файлы со старого сервера на новый. Этот шаг автоматически выполняется программой переноса, но учитывайте объем данных. Если данные занимают сотни терабайтов, не следует запускать процесс в воскресенье вечером.
- После того как данные скопированы, можно завершить процесс. Старые общие папки на исходном сервере будут отключены, поэтому проверьте готовность, прежде чем продолжить.
- Как только процесс завершен, можно отключить старый сервер файлов.
Теперь пользователи, указывающие UNC-путь к старому серверу, будут автоматически подключаться к новому серверу файлов. Для пользователя все выглядит как обычно, и лишь администратору известно об изменениях.
Функция консолидации DFS довольно капризна, поэтому обязательно выполните тестирование перед настоящим переносом. Неприятно обнаружить в день переноса, что какую-то операцию не удается выполнить именно в ваших условиях.
Эпоха флешек давно канула в Лету. Что, впрочем, неудивительно: незаменимый инструмент для переноса файлов в кармане утратил свою актуальность с появлением облачных сервисов — доступных везде, где есть интернет, причем практически с любого устройства. Однако в этой бочке меда не обошлось без маленькой ложки дегтя. Во-первых, бесплатные тарифы у большинства вендоров накладывают строгие ограничения на объем облачного хранилища и количество устройств, на которые можно установить приложение для синхронизации. Во-вторых, используя публичные облачные сервисы, вы доверяете свои файлы сторонней компании и никак не можете повлиять на их безопасность. В-третьих, подобные хранилища не слишком удобны для командной работы, которая весьма актуальна в период мировой короновирусной
истериипандемии. Выход? Можно смириться, а можно организовать сетевое файловое хранилище самостоятельно! Один из примеров решения этой задачи мы сейчас и рассмотрим.
Советы по настройке прав доступа
• Определите стандарты для назначения прав доступа
Организации используют множество типов разрешений, включая чтение, запись, изменение, полный доступ и т. д. В большинстве случаев чтение и изменение — единственные разрешения, необходимые бизнес-пользователям. Они должны назначаться в зависимости от каталога, группы безопасности, а не на основе ролей. Использование групп безопасности при назначении прав доступа для конкретного каталога снижает риск появления прямых разрешений. Это уменьшает сложности администрирования, делает права пользователя более наглядными (убирает вложенные группы), сокращает размер токена (количество групп) для каждого пользователя, а также количество групп в AD. Другой вариант — для каждой папки верхнего уровня создать отдельную группу с правами только на просмотр содержимого.
Например, у производственной компании могут быть унаследованные права доступа к конфиденциальной информации, которые разрешают чтение, запись, изменение, выполнение и специальные разрешения. Потребителями этих данных могут быть пользователи из группы «Продуктовый менеджмент», руководители компаний, команды по управлению проектами и инженеры. В большинстве случаев только несколько ключевых членов каждой команды должны иметь право на изменение данных. Обеспечение стандарта доступа, при котором существует только одна группа с правом чтения для конкретной папки и одна – с правом изменения, гарантирует, что только привилегированные пользователи могут изменять данные.
• Определите структуру папок и разрешений
Стоит разработать структуру папок, в которой защищенные папки (наследование которых ограничено) размещаются на верхнем уровне. Данные должны быть сгруппированы по папкам, чтобы наследование можно было использовать на многих уровнях структуры папок. Это позволяет контролировать количество защищенных папок и облегчает процесс пересмотра прав доступа. Папки с ограниченным наследованием NTFS должны управляться как независимые объекты разрешений.
• Используйте глобальные группы только для общедоступной информации
Глобальные группы доступа следует использовать только для предоставления пользователям доступа к общедоступной информации. Если позволяют ресурсы сервера, нужно использовать ABE (Access-based Enumeration), когда пользователи видят только папки, к которым имеют доступ. Это помогает не разогревать излишнее любопытство и осложняет задачу злоумышленникам.
• Избегайте предоставления полного доступа обычным пользователям
Во многих случаях администраторы намеренно предоставляют разрешения на полный доступ обычным бизнес-пользователям. Такой подход в случае нарушения безопасности, проникновения вредоносного ПО или кибератаки Full Control может быть использован злоумышленниками для доступа к данным, их удалению, удалению всех разрешений из других групп и т. д. Бизнес-пользователи с разрешениями «Полный доступ» также могут случайно изменить настройки разрешений для папки, что приведет к потере доступа или удалению данных.
• Предоставляйте доступ к конфиденциальным данным, основываясь на их содержимом
Распространенной практикой является предоставление разрешений на общий доступ всей функциональной группе, бизнес-роли или глобальной группе доступа. Так как Microsoft требует, чтобы разрешения предоставлялись через группы Active Directory, этот метод гарантирует, что пользователи, которым он требуется, имеют достаточные права, но также создает угрозу безопасности. Многие пользователи получают доступ к конфиденциальным данным только потому, что им назначена определенная роль.
Для данных, содержащих конфиденциальные сведения, управление разрешениями должно основываться на содержании данных, а не на функциональной роли пользователей. Для них следует создавать группы безопасности и избегать прямых разрешений. Например, сервисная организация обрабатывает конфиденциальные данные о клиентах, которые должны быть доступны исключительно определенным лицам. Как только в системе появляются папки, которые содержат эти данные, права доступа предоставляются только пользователям из группы безопасности.
• Назначайте права доступа напрямую в ACL
Еще одна рекомендация по назначению прав доступа на конфиденциальные данные – прямое назначение разрешений через списки контроля доступа (ACL) вместо использования группы безопасности. Это гарантирует, что доступ имеют только легитимные пользователи, но в то же время чрезвычайно усложняет процесс пересмотра прав доступа. Предоставление прямых разрешений затрудняет эффективное управление доступом в файловой системе, особенно в отношении уволенных пользователей или пользователей, чья роль была изменена.
Еще одна ошибка — назначение прав доступа на уровне отдельных файлов внутри общедоступной папки. Рано или поздно попытки администрировать это безобразие вручную приведут к назначению ошибочных прав. Для хранения конфиденциальной информации лучше предусмотреть отдельные папки — так настроить доступ будет проще и легче станет отслеживать распространение файлов за пределы специально отведенных мест. При этом у каждой папки должны быть бизнес-владелец и его заместитель — в цепочке согласований именно они должны принимать решение по выдаче и аннулированию прав, а системные администраторы в данном случае лишь исполнители. Кстати, в их обязанности входит периодическая рассылка отчетов для проверки бизнес-владельцами корректности выданных сотрудникам полномочий.
Если на каком-то уровне у вас есть общая папка для внутреннего обмена, ее нужно назвать понятным именем и дать доступ сотрудникам на изменение через ACL. Желательно периодически очищать такие файлообменники в автоматическом режиме (например, по выходным дням), чтобы там не скапливались многолетние залежи конфиденциальной информации.
• Ограничивайте ИТ-администраторам полный доступ к конфиденциальным данным
ИТ-администраторам зачастую предоставляются разрешения на полный доступ ко всем данным, включая конфиденциальные. Такая практика допустима только в жестко контролируемых организациях. В текущих реалиях, когда объем ИТ-аутсорсинга начинает преобладать, административные группы получают избыточный доступ к конфиденциальным данным, а управлять этими группами и контролировать доступ становится все сложнее.
Если используемые технические средства в состоянии давать рекомендации по сокращению избыточного доступа, нужно обращать на них внимание. Ключ к правильной работе таких средств — все права должны назначаться через группы и только средствами NTFS (лучше избегать тонкого регулирования с помощью Share Permissions).
Важный момент при организации файлового сервера — обеспечить удобную для администрирования иерархию папок, чтобы удовлетворить потребности пользователей с минимумом исключений. Права должны быть достаточно жесткими, чтобы в случае запуска зловредов-шифровальщиков ущерб был минимальный.
В идеале иерархия должна обеспечивать простую реализацию сервиса самообслуживания, чтобы переложить управление правами на бизнес-папки на руководителей бизнес-пользователей.
Настройка сервера
При первом входе на сервер с учетной записью Администратора мы увидим на экране окно Диспетчера серверов, в котором можно настроить машину, щелкнув мышью на надписи «Добавить роли и компоненты».
В окне Мастера добавления ролей и компонентов нажимаем «Далее», затем, выбрав вариант «Установка ролей и компонентов», снова жмем «Далее». Выбираем в списке наш сервер (собственно, он и будет там представлен в единственном экземпляре), и очередным нажатием на кнопку «Далее» переходим к настройке ролей.
Нас интересует раздел «Файловые службы и службы хранилища». Эта роль установлена на сервере по умолчанию. Установите флажок «Файловые службы и службы SCSI и разверните расположенный под ним список. Здесь следует дополнительно установить следующие флажки:
- Файловый сервер;
- Рабочие папки;
- Диспетчер ресурсов файлового сервера (в открывшемся окне нажмите «Добавить компоненты»).
Почему доступ к файлам так важен?
Недавно мы провели исследование в банковских, страховых и инвестиционных компаниях, то есть организациях, которые имеют дело с критичной информацией клиентов и по определению должны серьезно заботиться о безопасности. Результаты оказались плачевными:
рядовому сотруднику в среднем доступно почти 11 млн файлов, причем в зависимости от размера ИТ-инфраструктуры этот показатель мог увеличиваться вдвое;
около 20% сетевых папок открыты для всех внутренних пользователей;
39% участвовавших в исследовании компаний имеют более 10 000 устаревших, но все еще активных учетных записей, а 60% — не менее 500 (в среднем около 1000) паролей без истечения срока действия.
Что касается общедоступных конфиденциальных файлов, их счет обычно идет на тысячи — злоумышленнику не нужно осуществлять сложный взлом, для доступа к важным данным ему достаточно попасть в локальную сеть одного из филиалов и получить права обычного пользователя. Как вывести файлы наружу — вопрос решаемый, особенно если в компании практикуется использование личных мобильных устройств. Но и без этого способов хватает, особенно если системы противодействия утечкам и защиты доступа к данным о критичности этих файлов еще ничего не знают.
Читайте также: