Uprawnienia do systemu plików NTFS (New Technology File System) określają poziom dostępu użytkowników do plików i folderów, bezpośrednio wpływając na zagrożenia stwarzane dla użytkownika przez niechciane pliki. Jednak nadmierne uprawnienia — przyznane przypadkowo lub celowo — mogą dać użytkownikom niechciany dostęp do ważnych plików organizacyjnych, co może prowadzić nawet do wycieku danych. Wdrożenie tych najlepszych praktyk dotyczących uprawnień do systemu plików NTFS pozwoli uniknąć luk w zabezpieczeniach wynikających z przyznania niespójnych lub nadmiernych uprawnień.
Uprawnienia przypisane do użytkowników należy ograniczyć do niezbędnego minimum, przyznając im tylko te uprawnienia, które są potrzebne do pełnienia ról użytkowników. W przypadku wrażliwych plików należy upewnić się, że tylko administratorzy udzielają użytkownikom dostępu. Ponadto należy sprawdzić, czy pliki nie są publicznie dostępne.
Ograniczenie uprawnień przyznanych użytkownikom domeny w folderze głównym. Przyznaj zespołom i poszczególnym osobom szczegółowe uprawnienia w strukturze folderów.
Twórz grupy na podstawie określonych ról organizacyjnych i przypisuj uprawnienia do tych grup, a nie do poszczególnych użytkowników. Dodawaj użytkowników do tych grup lub ich z nich usuwaj, aby z łatwością przypisywać lub odbierać uprawnienia.
Zdefiniuj regularne odstępy czasu dla systematycznego przeglądu uprawnień przypisanych do użytkowników.
Zezwól na dziedziczenie z folderu głównego do wszystkich folderów podrzędnych. Monitoruj niespójne uprawnienia, które pomijają dziedziczenie, i koryguj je.
Obserwuj wszystkie zmiany uprawnień i systemowej listy kontroli dostępu (SACL) w kluczowych plikach. Zwracaj uwagę na nieuzasadnione działania nieupoważnionego personelu.
Sprawdzaj pliki z otwartym dostępem i ustaw odpowiednie uprawnienia, aby zezwolić tylko na autoryzowaną działania na plikach. Zapobiegaj nadużyciom uprawnień przez użytkowników poprzez ograniczenie otwartego dostępu do plików i folderów.
Lokalizuj i oceniaj pliki należące do byłych pracowników. Odwołuj uprawnienia do oddzielonych plików i usuwaj konta użytkowników z odpowiednich grup zabezpieczeń, aby złośliwi użytkownicy nie mogli uzyskać dostępu do zasobów sieciowych.
Zaplanuj sytuacje wymagające nietypowych uprawnień. Ustaw wytyczne, których należy przestrzegać, gdy standardowe uprawnienia nie spełniają wymagań użytkowników lub ról.
Utwórz oddzielną grupę dla administratorów, aby nadzorować uprawnienia. Nadaj pełną kontrolę nad zarządzaniem uprawnieniami do plików i folderów tylko tej grupie.
