Permisses de compartilhamento e NTFS Parte 1

Autor: Jlio Battisti - Publicado em 18/08/2004 [com autorizao] Segurana, sem dvidas, um dos temas mais debatidos hoje, no mundo da informtica. Nesse tutorial vou apresentar algumas opes do Windows 2000 (e tambm do Windows XP Professional) que ajudam a manter os seus arquivos mais protegidos, longe do alcance de intrusos. Trataremos sobre as permisses de compartilhamento e tambm permisses NTFS. Veremos como a correta configurao dessas permisses pode tornar o acesso aos seus arquivos bem mais seguro e protegido, com o acesso permitido apenas para os usurios habilitados atravs das permisses. importante salientar que com o Windows 95/98 ou Me no existe como configurar permisses de acesso, ou seja, no temos como proteger os arquivos do computador. Qualquer pessoa que tenha acesso ao computador poder lig-lo e acessar, alterar ou excluir qualquer arquivo que esteja no disco rgido. Com as permisses NTFS do Windows 2000 (e tambm do Windows XP Professional) podemos resolver esse problema. Neste tutorial veremos como compartilhar uma Pasta, disponibilizando o seu contedo, para que seja acessado atravs da rede. Tambm aprenderemos a atribuir permisses de segurana- permisses NTFS, para que somente usurios autorizados possam acessar as pastas compa rtilhadas. Veremos alguns detalhes importantes sobre Sistemas de Arquivos suportados pelo Windows 2000 Server. Compartilhando Pastas e Definio de Permisses- Teoria Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas e permisses de compartilhamento. Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado atravs da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o todo o contedo da pasta que foi compartilhada . Por exemplo, poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais, de tal forma que estes possam ser acessados por qualquer estao conectada rede. Ao compartilharmos uma pasta todo o contedo desta passa a e star disponvel para ser acessada atravs da rede. Todas as subpastas da pasta compartilhada tambm estaro disponveis para acesso atravs da rede. Considere o exemplo da Figura 1. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm ocontedo das

subpastas :\ ument s\Of i s e acesso atravs da rede.

:\

ument s\ emorandos estaro dispon eis para

Porm uando uma pasta compartil ada, no si nifica ue o seu contedo deva ser acessado por todos os usurios da rede. Podemos restringir o acesso, de tal maneira ue somente usurios autori ados tenham acesso pasta compartilhada, isso feito atravs de "Permisses de compartilhamento".

Figura 1 Ao compartilhar uma pasta, todo o seu contedo estar disponvel.

om o uso de permisses, podemos definir uais os usurios podero acessar o contedo da pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos ue tero permisso de acesso. Alm disso, possvel limitar o ue os usurios com permisso de acesso podem fazer. Pode haver situaes em ue alguns usurios devam ter permisso apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em ue alguns usurios devem ter permisso de leitura e escrita, enquanto outros devem ter permisses totais, tais como leitura, escrita e at excluso de arquivos. a igura , temos um exemplo, em que o grupo Gerentes possui permisses de " ontrole total", enquanto o grupo "Usurios" possui permisses apenas para leitura.

onforme pode ser visto na igura , o indows Server indica que uma pasta est compartilhada atravs da figura de uma "mozinha", segurando a pasta.

 

 

2 Grupos diferentes com permisses diferentes.

 

Figura

IMPOR N E As permisses definem o que o usurio pode fazer com o contedo de uma pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta compartilhada. a seqncia desse tutorial aprenderemos a compartilhar uma pasta e atribuir permisses de acesso. JAMAIS ESQUEA O SEGUIN E E ALHE Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no computador onde est a pasta compartilhada, este usurio ter acesso a todo o contedo da pasta, a menos que as "Permisses S" estejam configurados de acordo. Permisses S assunto para daqui a pouco. Vamos falar de um jeito diferente: Permisses de compartilhamento somente tem efeito quando o usurio est acessando a pasta atravs da rede. Para acesso local, no prprio computador onde est a pasta, as permisses de compartilhamento no tem nenhum efeito, como se no existissem. Server Ao criarmos um compartilhamento em uma pasta, por padro o indows atribui a permisso " ontrole total" para o grupo " odos", que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por isso, ao criar um compartilhamento, j devemos configurar as permisses necessrias, a menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter ontrole total sobre os arquivos e subpastas da pasta compartilhada. Existem trs nveis de permisses de compartilhamento, conforme descrito a seguir: Lei Permite ao usurio exibir a listagem de pastas e arquivos, ler o contedo de arquivos e executar programas. O usurio tambm pode verificar os atributos dos arquivos e navegar atravs das pastas e subpastas. O usurio no pode alterar nem eliminar arquivos ou pastas. ambm no permitido criar novos arquivos ou pastas. O S.: Pastas e arquivos possuem atributos, que o indows Server utiliza para gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto , no podem ser feitas alteraes no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mouse sobre o arquivo ou pasta, e no menu que surge d um clique na opo "Propriedades", e o indows Server exibe uma janela onde possvel verificar e modificar os atributos do arquivo ou pasta, desde que o usurio tenha as devidas permisses. Al erao: Permite ao usurio criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, eliminar arquivos e pastas, mais todas as aes para a permisso de Leitura. o permite que sejam alteradas permisses dos arquivos nem alteraes no usurio "dono" dos arquivos e pastas. O S.: No indows Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente o usurio que cria a pasta ou arquivo. alaremos mais sobre o dono do arquivo mais adiante. Controle total: Permite ao usurio alterar as permisses dos arquivos e tornar-se dono de pastas e arquivos criados por outros usurios, alm de todas as aes para a permisso Alterao. As permisses de compartilhamento Leitura, Alterao e ontrole total, podem ser Permitidas ou Negadas. Vamos considerar um exemplo prtico. Vamos supor que todos os usurios do grupo Gerentes devem ter acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja conta de usurio jsilva. Para simplificar a atribuio de permisses fazemos o seguinte: Permisso de Leitura para o grupo Gerentes - Permitir Permisso de Leitura para o usurio jsilva - Negar

 

% %%$

00 0)

"!

444 3 1

&

&

'

"!

00 0)

Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com exceo do usurio "jsilva", o qual teve a permisso de leitura negada. Outra recomendao que sempre devemos atribuir permisses para grupos de usurios, ao invs de atribuir para usurios individuais, pois is so facilita a administrao. a famosa estratgia AGLP - Account -> Global -> Local -> Permission. O q e acontece q ando m rio ertence a mai de m grupo?? uando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos?

Para responder a esta questo, considere o seguinte: " uando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das permisses atribudas aos diferentes grupos". No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos, conforme indicado na igura 3.

3 Usurio que pertence a mais de um grupo.

Negar tm precedncia obre quai quer outras permisses: Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao. as se para o terceiro grupo, for "negado" o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que "Negar" tem precedncia sobre quaisquer outras permisses, conforme indicado pela igura 4.

7 A

Figura

Figura 4 Negar tem precedncia sobre permitir.

IMPOR AN E: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porm a cpia no compartilhada. Quando movemos uma pasta compartilhada, esta deixa de ser compartilhada. Algumas orientaes para a criao de pastas compartilhadas: odo compartilhamento, obrigatoriamente, deve ter um nome, para que ele possa ser acessado pela rede, conforme veremos mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendao importante para que seja escolhido um nome descritivo do contedo da pasta, de tal maneira que esta seja mais facilmente localizada na rede. Voc no colocaria um nome "Projetos" em uma pasta com documentos contbeis? Aps compartilhada, a pasta passa a ter um caminho na rede. O caminho segue o padro UNC - Universal Name Convection. No padro UNC, um caminho formado por duas barras invertidas, depois o nome do computador, mais uma barra invertida e, por ltimo, o nome do compartilhamento. Por exemplo, o caminho UNC da pasta ocumentos, compartilhada no servidor SRV o seguinte: \\SRV \ ocumentos; o caminho da pasta Projetos nome de compartilhamento), compartilhada no servidor SRV o seguinte: \\SRV \Projetos e assim por diante.  Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usurios, com o mesmo nvel de permisso, estejam dentro da mesma pasta compartilhada. Por exemplo, se voc possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e arketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invs de criar sete compartilhamentos individuais.  Configure o nvel de permisso mnimo necessrio para que os usurios realizem o seu trabalho. Por exemplo, se os usurios precisam apenas ler os documentos em uma pasta compartilhada, atribua permisso de Leitura e no de Alterao ou Controle total.  Sempre que possvel, atribua permisses para grupos de usurios e no para usurios individuais, pois isso facilita a administrao das permisses. etermine quais grupos necessitam acesso a quais pastas compartilhadas e com quais  nveis de permisso. ocumente bem todo esse processo, para que voc possa ter um bom controle sobre os recursos compartilhados e as permisses atribudas. Sistemas de Arquivos e Permisses N FS eoria


ED

GD F

GD

C ED

Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Server reconhece e tambm sobre permisses NTFS.

indows

Um sistema de arquivos determina a maneira como o indows Server organiza e recupera as informaes no isco rgido ou em outros tipos de mdia. O indows Server reconhece os seguintes sistemas de arquivos:

O sistema FAT3 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor aproveitamento do espao no disco, com conseqente menor desperdcio. Um grande inconveniente do sistema FAT3 que ele no reconhecido pelo indows NT 4. - Server ou orkstation. Com o sistema de arquivos FAT3 , a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi criada. Com a utilizao do sistema FAT3 , alguns recursos avanados, tais como compresso, criptografia, auditoria e definio de cotas no estaro disponveis. O sistema de arquivos NTFS utilizado no indows NT Server 4. e foi mantido no indows Server por questes de compatibilidade. um sistema bem mais eficiente do que FAT e FAT3 , alm de permitir uma srie de recursos avanados, tais como:

No indows Server, temos tambm o NTFS , o qual apresenta diversas melhorias em relao ao NTFS, tais como:

    

Permisses de acesso para arquivos e pastas Compresso Auditoria de acesso Parties bem maiores do que as permitidas com FAT e FAT3 Desempenho bem superior do que com FAT e FAT3 Uma das principais vantagens do NTFS que ele permite que sejam definidas permisses de acesso para arquivos e pastas, isto , possa ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente.

XW

ddd c

`` `Y

   

FAT FAT3 NTFS NTFS O sistema FAT vem desde a poca do bom e velho S-DOS e tem sido mantido por questes de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos DOS, indows 3.x e as primeiras verses do indows ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi criada. Com a utilizao do sistema FAT, alguns recursos avanados, tais como compresso, criptografia, auditoria e definio de cotas no estaro disponveis.

QQQ P

QQQ P

QQQP

Criptografia de arquivos e pastas: (a criptografia uma maneira de "embaralhar" a informao de tal forma que mesmo que um arquivo seja copiado, ele se torna ilegvel, a no ser para a pessoa que possui a "chave" para descriptografar o arquivo).  Cotas de usurio: Com o uso de cotas possvel limitar o espao em disco que cada usurio pode utilizar.  Gerenciamento e otimizao melhorados. Nota: Um inconveniente do NTFS , que ele no reconhecido pelas verses anteriores, tais como o indows NT Server 4. . Conforme descrito anteriormente, podemos definir permisses de acesso a nvel da pasta ou arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja Server). Por isso que na verso do NT Server 4. ou o NTFS do indows aconselhvel instalar o indows Server sempre em unidades formatadas com NTFS, pois isso melhora a segurana. Com relao as permisses NTFS, temos um conjunto diferente de permisses quando tratamos de pastas ou arquivos. Nas Tabelas (para pastas) e (para arquivos), so apresentadas as permisses e o nvel de acesso para cada uma delas. Tabela 1 Permisses NTFS para pastas Permisso Nvel de Acesso Permite ao usurio listar as pastas e arquivos dentro da pasta, permite que sejam Leitura exibidas as permisses, donos e atributos. Permite ao usurio criar novos arquivos e subpastas dentro da pasta, alterar os Gravar atributos da pasta e visualizar o dono e as permisses da pasta.
 Listar Ler e executar Modificar Contedo de pastas Permite ao usurio ver o nome dos arquivos e subpastas Permite ao usurio navegar atravs das subpastas para chegar a outras pastas e arquivos, mesmo que o usurio no tenha permisso de acesso s pastas pelas quais est navegando, alm disso possui os mesmos direitos que as permisses Leitura e Listar Contedo de pastas. Permite ao usurio eliminar a pasta, mais todas as aes permitidas pela permisso Gravar e pela permisso Ler e executar. Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono da pasta, eliminar subpastas e arquivos, mais todas as aes permitidas por todas as outras permisses NTFS.

Controle total

Tabela 2 Permisses NTFS para arquivos Permisso Nvel de Acesso Permite ao usurio ler o arquivo, permite que sejam exibidas as permisses, dono Leitura e atributos. Permite ao usurio gravar um arquivo com o mesmo nome sobre o arquivo, Gravar alterar os atributos da pasta e visualizar o dono e as permisses da pasta. Ler e Permite ao usurio executar aplicativos (normalmente programas .exe, .bat ou executar .com), mais todas os direitos da permisso Leitura. Permite ao usurio modificar e eliminar o arquivo, mais todas as aes permitidas Modificar pela permisso Gravar e pela permisso Ler e executar.
Controle total Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono do arquivo, mais todas as aes permitidas por todas as outras permisses NTFS.

hhhi

hh hi

Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) - ACL. Nessa ACL ficam uma lista de todas as contas de usurios e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nvel de acesso de cada um deles. Existem alguns detalhes que devemos observar sobre permisses NTFS: Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, o qual tem diferentes nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses.  Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas: Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para a pasta.  Negar uma permisso NTFS tem prioridade sobre permitir: Por exemplo, se um usurio pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nos prximos tpicos iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um pouco com as permisses NTFS. Veremos como atribuir permisses NTFS e testar uma srie de situaes prticas.
 Parte | Parte 3 Sobre o autor: Jlio Battisti profissional certificado da Microsoft, tendo sido aprovado em 30 Exames da Microsoft, com os quais obteve certificaes como: MCP, MCP+I, MCSE 2000, MCSA-2000, MCSA-2003, MCSE-2003, MCSE+I, MCDBA 2000, MCDST e MCSD. Tcnico da Receita Federal, trabalha na Delegacia de Santa Maria - RS, e autor de oito livros, todos publicados pela Axcel Books. Tambm autor de artigos sobre TI, Carreira, Trabalho, Vida e Felicidade, publicados no site do autor: www.juliobattisti.com.br. Atua como instrutor de cursos de informtica tanto na Secretaria da Receita Federal como para turmas em Universidades e outros cursos. Colunista de diversos sites da Internet e da revista Developers Magazine. Voc pode entrar em contato com o autor pelo email: webmaster@juliobattisti.com.br.