ボリュームに対するEveryoneのアクセス権

いつも参考にさせていただいてます。
よろしくお願いします。

今回、ファイルサーバ(2000Server)の容量不足に伴い、
新しく2003Serverを導入いたしました。
旧サーバも今後、ファイルサーバとして利用します。

導入は業者様にしていただき、こちらで行う作業は
実際のデータの移動と、アクセス権の設定のみです。
データ移動作業は完了したのですが、
アクセス権の設定作業で、ふと疑問が出てきました。

旧サーバも新サーバも、
CドライブにOS
Dボリューム内に共有フォルダを作成するというスタイルです。
Dボリュームを右クリックプロパティ→セキュリティを
確認しましたところ、

旧サーバ　→　Everyoneフル
新サーバ　→　Everyone読み取り

となっています。
実際にユーザーさんに利用していただく共有フォルダにつきましては、
「共有フォルダのアクセス許可」
「NTFSのセキュリティ設定」
の2点で制御できると思っているのですが、

この、『ボリュームに対するEveryoneのアクセス権の違い』が、
運用セキュリティ上問題となる事はないでしょうか？

サーバ本体に対し、ユーザーがAdmin権限以外でアクセスする
ということはまず起こりえないと思うのですが、
よりセキュリティ向上が図られている2003サーバの
デフォルトアクセス権に従い、
2000サーバのボリュームを同様の設定へと修正した方が安全では？
とも思います。
(どうにも、Everyoneフルという響きは危険な感じがしてしまいます。)

ただ、行動するとなりますと、
「2003がこうなってるからそれを真似た」
「危険な響きがする」
ではなく、
「～の点でセキュリティ上問題がある」と言った、
明確な根拠が欲しいのです。

どなたかお詳しい方、アドバイスよろしくお願い致します。

No.3 ベストアンサー 回答者： ok2ok 回答日時： 2006/06/08 23:31

＞「2重ロックなのに、1重ロックしか機能

＞していませんよ。」

　これはその通りです。
　しかし…

＞「DドライブにEveryoneフルを与えている
＞事による弊害は発生しない。

　これは違います。
　どちらもちゃんとアクセス権を設定しておけば（二重ロック状態）、万が一、共有フォルダのセキュリティを破られても、NTFSのセキュリティ設定で不正アクセスを防止できます。しかし、共有フォルダのアクセス許可しか設定していなければ、共有フォルダのセキュリティをやぶられたら、すべておしまいです。
　何のために多重ロックが必要なのか、よく考えましょう。

　また、セキュリティを高めるためには、グループポリシーの設定でユーザーに複雑なパスワードを強制したり、パスワードを定期的に強制変更させるなど、他にもいろいろな工夫が必要です。
（そのあたりはWindows Serverの解説書を参考にしてみてください）

たとえば、こんな本とか

参考URL：http://www.amazon.co.jp/gp/product/4898146538/24 …

この回答へのお礼

こんにちはok2okさん。
お返事ありがとうございます。

>どちらもちゃんとアクセス権を設定しておけば（二重ロック状態）
>万が一、共有フォルダのセキュリティを破られても、
>NTFSのセキュリティ設定で不正アクセスを防止できます。
>しかし、共有フォルダのアクセス許可しか設定していなければ、
>共有フォルダのセキュリティをやぶられたら、すべておしまいです。
>何のために多重ロックが必要なのか、よく考えましょう。

うう、、、ご指導ありがとうございます。
早急にセキュリティ設定を見直します。

グループポリシーに関しましては、私も社内で提案したのですが
「現状のままでよい」
との結論に至っております。
ですが、参考URL、拝見いたします。

最初の返信で教えていただきました、「サーバの役割管理」
による設定方法なども、勉強させていただきます。

今回は、本当にありがとうございましたm(__)m

お礼日時：2006/06/09 13:12

No.2 回答者： ok2ok 回答日時： 2006/06/07 22:05

　#1の回答を投稿した者です。

　重要書類を保管している書庫にたどり着くまで、2つのドアがあるとします。どちらにも鍵を掛けることが出来ます。
　書庫の書類を閲覧できるのは2つのドアの両方の鍵を持っている人だけです。鍵を全く持っていない人、鍵を1つしか持っていない人は書庫にたどり着くことは出来ません。

　共有フォルダのアクセス許可の設定と、NTFSによるアクセス許可の設定は、全く別の機能です。お互いに関係ありません。上記の例の2つのドアに相当します。
　共有フォルダに対するアクセス許可、NTFSによるアクセス許可の、両方のアクセス許可を持つユーザーだけがファイルにアクセスできます。

　現在のDドライブの設定は、

共有フォルダのアクセス許可＝きちんと設定されている

NTFSによるアクセス許可＝ちゃんと設定されていない（誰でもアクセスできる）

　という状態です。
　2つあるドアのうち、1つはきちんと管理しているけれども、１つは解放したままになっている…という状態です。
　もちろん、できれば両方ちゃんと管理すべきです。ドライブのルートにEveryoneのアクセス許可を設定すべきではありません。（読み取り専用であっても）

この回答へのお礼

おはようございます。
非常に分かりやすい例えを出していただき感激です。

つまり私の状態は、
「2つの鍵のうち1つを全員に配ってしまっているが、
ファイルを見る為にはもう1つの鍵が必要で、
それは然るべき人物に渡されている」

「結果として、然るべき人物がファイルを見れて、
そうでない人物(全員に配られた1つ目の鍵のみ持つ人物)は
ファイルが見れない。」

こう考えてよろしいでしょうか？
くだけて言うと、

「2重ロックなのに、1重ロックしか機能していませんよ。」
「情報は守られていますが、鍵を1つEveryoneに提供する必要
もないでしょう。」

という事ですね、、、納得です。


お教えいただきました内容を踏まえて結論を出すと、
「DドライブにEveryoneフルを与えている事による弊害は発生しない。
(共有フォルダのアクセス許可がきちんと機能している為)
だが、ドライブのルートにはEveryoneのアクセス許可を
設定すべきではない」

という事になるんですね(^-^)。

お礼日時：2006/06/08 11:15

No.1 回答者： ok2ok 回答日時： 2006/06/07 16:18

>「共有フォルダのアクセス許可」

>「NTFSのセキュリティ設定」

　以上、2つが基本です。間違いありません。
　ネットワーク経由で共有フォルダにアクセスするユーザーは、まず「共有フォルダのアクセス許可」でアクセス権利があるかどうか判断され、さらに「NTFSのセキュリティ設定」で判断され、そのどちらかで「不可」となればアクセスできないことになります。

　なお、WebDAVによる共有Webフォルダを設定すると、上記の2つに加えて、IIS（アプリケーションサーバー）のアクセス許可も設定することになります。

　さて、問題の「Everyone」のアクセス許可というのは「NTFSのセキュリティ設定」の中の1つです。
　Everyoneは文字通り「誰でも」を意味する特別なアクセス許可設定用のキーワードです。
　Everyoneに対してアクセス許可を与えると、「誰でも」そのファイルをアクセスできるようになります。非常に危険ですので、よっぽどのことがない限り、Everyoneにアクセス許可を与えるようなことはしないでください。

　さて、Windows 2000 ServerとWindows Server 2003の既定の設定の違いですが、Windows 2000 Server（それ以前のWindows NT ServerやWindows NT Advanced Serverも）では、利便性を優先して、誰でもすぐに使えるように、既定の設定が「誰でもOK」になっています。
　ただし、これはセキュリティ上非常に危険ですので（たとえば社外の人間が勝手にパソコンを使って、重要なファイルを削除・改ざんできます）、Windows Server 2003では、既定の設定で何も許可しない、必要があれば自分で許可を設定する、という方針にかわりました。

　特別な理由がない限り、ファイルのアクセス許可の設定からはEveryoneを削除し、明示的にそれぞれのユーザーに対して（あるいはユーザーグループに対して）アクセス許可を設定するのが本筋です。

　なお、Windows Server 2003で共有フォルダを設定するのであれば、フォルダのプロパティの「セキュリティ」で設定することも出来ますが、それよりも、共有フォルダの管理コンソールを使った方がいいと思います。
　スタートメニューの「サーバーの役割管理」をクリックして、「サーバーの役割管理」ウィンドウのメニューから、「このファイルサーバーを管理する」や「共有フォルダを追加する」をクリックして、ウィザードや管理コンソールで設定を行った方が、間違いが少なくなりますし、使いやすいと思います。

この回答へのお礼

早速のお返事、ありがとうございます。

>以上、2つが基本です。間違いありません。
>ネットワーク経由で共有フォルダにアクセスするユーザーは、
>まず「共有フォルダのアクセス許可」で
>アクセス権利があるかどうか判断され、
>さらに「NTFSのセキュリティ設定」で判断され、
>そのどちらかで「不可」となればアクセスできない。

まだまだ未熟なのでそう言ってもらえるとほっとします。
今回特に分からないのが、この共有フォルダの上にあり、

なおかつアクセス権を引き継ぐようにはなっていない、

ボリューム本体に対するEveryoneフルに
セキュリティ問題があるのでしょうか、、、

エクスプローラだと下図のようになります。

マイコンピュータ
　Dボリューム←ここを右クリプロパティ→セキュリティ
　　共有フォルダ
　　　各フォルダ・ファイル
　　　　・・・・・・・・・
　　　　・・・・・・
　　　　・・・

旧サーバでも新サーバでも、上図の共有フォルダのところで
セキュリティを設定しておりますので、その設定に反する
ユーザーでは各フォルダ・ファイルが見えないように
なっております。

つまり現状で、
DボリュームにEveryoneフルが付いている旧サーバも
DボリュームにEveryone読みが付いている新サーバも

共有フォルダのセキュリティ設定が正しく機能し、
セキュリティを持たないユーザーはフォルダにアクセス
できなくなっています。
＝運用できている。

とすれば、このDボリューム自体に対するセキュリティを
どう考えれば良いのか？
これが分からず困っております。

どうかよろしくお願い致します。

お礼日時：2006/06/07 16:57