Access-based Enumeration или как скрыть содержимое общих папок | Windows для системных администраторов

Access-based Enumeration или как скрыть содержимое общих папок

Технология Access-based Enumeration (доступ на основе разрешений) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует NTFS-доступ. Тем самым можно обеспечить дополнительную конфиденциальность информации, хранящейся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя,  которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.

Немного теории


Одним из недостатков сетевых папок Windows является тот факт, что по-умолчанию все пользователи при просмотре дерева общей папки могли, как минимум, видеть ее структуру и список содержащихся в ней файлов и каталога, в том числе тех, доступ к которым на уровне NTFS у них  отсутствует (при попытке открыть такой файл или папку пользователь получает ошибку доступа «Access Denied»). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у него все равно нет доступа?  Помочь в этой задаче должна технология Access-based Enumeration. Включив ABE на общей сетевой папке можно добиться того, чтобы разные пользователи видели различный список каталогов и файлов в одной и той же сетевой шаре, основанный индивидуальных правах доступа пользователя к этим папкам (ACL)..

Каким образом происходит взаимодействие между клиентом и сервером при обращении к общей папке:

  • Клиент обращается к серверу с запросом на доступ к интересующего его каталогу в общей папке
  • Сервер проверяет, есть ли у пользователя на уровне NTFS права доступа к данному каталогу
  • Если доступ разрешен (просмотр содержимого/чтение/запись), пользователь видит список содержимого каталога
  • Затем пользователь по такой же схеме запрашивает доступ к конкретному файлу или вложенному каталогу, если доступа к папке нет, пользователь получает соответствующее предупреждение

Из этой схемы ясно, что сервер сначала показывает пользователю все содержимое папки, а проверку прав доступа осуществляет только после попытки доступа к его содержимому.

Функционал Access-based Enumeration (ABE) позволяет реализовать проверку прав доступа на объекты файловой системы до того, как пользователю отправляется список содержимого папки. Следовательно, в конечный список будут попадать только те объекты, к которым у пользователя есть доступ на уровне NTFS, а все недоступные ресурсы — скрываются.

Т.е. пользователь одного отдела (например, склада) в одном и том же каталоге будет видеть один список папок и файлов. Доступ на основании разрешений - ABE

А пользователи другого департамента, например ИТ, — другой . Access-Based Enumeration - как скрыть содержимое общей шары в Windows

Основной недостаток использования ABE на файловых серверах – дополнительная нагрузка на сервер. Особенно это можно почувствовать на высоконагруженных файловых серверах. Чем больше количество объектов в просматриваемом каталоге, и чем больше количество пользователей, тем больше задержка. По заявлению Microsoft в случае наличия в отображаемом каталоге 15000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды. Именно поэтому, при проектировании структуры общих папок, рекомендуется уделить большое внимание созданию четкой и иерархической структуры подпапок, в этом случае замедление скорости открытия каталогов будет незаметным.

Примечание. Стоит понимать, что Access-based Enumeration не скрывает от пользователя сам список общих ресурсов (шар) на файловом сервере, а действует только по отношению к их содержимому. Если нужно скрыть от пользователя именно шару, необходимо  в конец названия общей папки добавить символ $.

Управлять ABE можно из командной строки (утилита abecmd.exe), из графического интерфейса или через специальный API.

Ограничения ABE


Access-based Enumeration в Windows не работает в случаях:

  1. Если в качестве файл-сервера используется Windows XP или  Windows Server 2003 без Service Pack
  2. При локальном просмотре каталогов (непосредственно с сервера)
  3. Для членов локальной группы администраторов (они всегда видят полный список)

ABE в Windows Server 2003

В Windows Server 2003 технология ABE стала поддерживаться начиная с Service Pack1. Чтобы включить Access-based Enumeration  в Windows Server 2003 SP1 (и выше), нужно скачать и установить пакет http://www.microsoft.com/en-us/download/details.aspx?id=17510. В процессе установки необходимо указать, нужно ли автоматически включить ABE для всех общих папок на сервере, либо настройка будет проводиться в индивидуальном порядке. Если выбран второй пункт, то после окончания установки пакета, в свойствах общих папок появится новая вкладка Access-based Enumeration. Установка пакета access based enumeration в windows 2003

Чтобы активировать ABE для конкретной папки, включите в ее свойствах опцию Enable access-based enumeration on this shared folder.

включить access base enumeration на шаре в windows server 2003

Также отметим, что в Windows 2003 поддерживается использование Access Based Enumeration на основе DFS, однако настроить его можно только из командной строки с помощью утилиты cacls.

ABE в Windows Server 2008 и 2008 R2

В Windows Server 2008/R2 никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows. Чтобы включить Access-based Enumeration для  конкретной папки в  Windows Server 2008, откройте mmc консоль  управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары. Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.

windows 2008 Доступ на основе разрешений

Access-based enumeration в Windows Server 2012

Настройка ABE в новой Windows Server 2012 также крайне проста. Чтобы включить ABE в Windows Server 2012, необходимо сначала, естественно, установить роль File And Storage Services,а затем в консоли Server Manager перейти в свойства общей папки. windows server 2012 общая папка

И в разделе Settings включить опцию Enable access-based enumeration.

windows server 2012 активировать abe

Управление ABE из командной строки

Настройками Access-based Enumeration можно управлять из командной строки при помощи утилиты Abecmd.exe. Данная утилита входит в пакет Access-based Enumeration для Windows Server 2003 SP1 (ссылка выше).

Утилита Abecmd.exe позволяет активировать ABE сразу для всех каталогов или же персонально. Следующая команда включит Access-Based Enumeration сразу для всех шар:

abecmd /enable /all

Или для конкретной папки (например, шары с именем Docs):

abecmd /enable Docs

ABE в клиентских ОС: Windows Vista, Windows 7, Windows 8

Многим пользователем, особенно в домашних сетях, также хотелось бы иметь возможность воспользоваться функционалом Access-Based Enumeration. Проблема заключается в том, что в клиентских ОС Microsoft отсутствует как графический, так и командный интерфейс управления «Перечислением на основе доступа». К счастью, утилита abecmd.exe, входящая в состав пакета для Windows Server 2003, прекрасно работает и на клиентских ОС. Т.к. пакет  Windows Server 2003 Access-based Enumeration на Windows 8/7/Vista не устанавливается, придется сначала установить его на Windows Server 2003, а затем скопировать его из каталога C:\windows\system32 в такой же каталог на клиенте. После этого включить ABE можно по сценарию с командной строкой, описанному выше.

Примечание. В корпоративной среде ABE замечательно сочетается с папками DFS, скрывая от пользователя «ненужные» папки и предоставляя более удобную структуру дерева общих папок.  Включит ABE на DFS можно с помощью консоли DFS Management или утилиты dfsutil.exe:
dfsutil property abde enable \\<namespace root>
Еще записи по теме: Windows Server 2003
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 3

Оставить комментарий
  1. Владимир | 29.02.2016

    Спасибо, помогло. Не знал, что в 2012 включается по-умолчанию этот функционал. Никак не мог понять, как мне вернуть отображение папок без прав доступа.

    Ответить
  2. Андрей | 03.05.2016

    спасибо за материал. Добавление символа $ к имени шары скрывает ее даже от тех кому в нее доступ разрешен. Нельзя ли сделать так чтобы основная шара была видна только тем, кому разрешен в нее доступ?

    Ответить
    • itpro | 04.05.2016

      Насколько мне известно, нет. Либо пользователи ходят на шару с $, но не видят ее в окружении, либо в видимую шару в которой сами каталоги скрыты с помощью ABE.
      Чтобы не было лишних вопросов, назовите шару нейтрально, типа \\server1\exchange

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00180 sec