Аспекты безопасности при настройке перенаправления папок
Зашифруйте кэш автономных файлов
Несмотря на то, что автономные файлы по умолчанию защищены на NTFS томах при помощи списков управления доступом, шифрование файлов увеличивает уровень безопасности на локальном компьютере. По умолчанию кэшированные файлы локального компьютера не зашифрованы. Как следствие, любые шифрованные файлы, полученные из кэша сервера, окажутся незашифрованными на локальной машине. В некоторых случаях это может представлять угрозу безопасности.
Если шифрование включено, то весь кэш автономных файлов автоматически шифруется. Это распространяется как на существующие файлы, так и на файлы, добавленные впоследствии. Включая шифрование кэшированных файлов, Вы шифруете файлы локального компьютера, а не соответствующую им серверную копию.
Зашифровать кэш можно одним из двух способов:
- При помощи групповых политик, включив политику Шифровать кэш автономных файлов (Encrypt the Offline Files Cache) в разделе Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы(Computer Configuration\Administrative Templates\Network\Offline Files) редактора групповых политик.
- Вручную, выбрав в Проводнике из меню Сервис (Tools) пункт Свойства папки (Folder options), где перейти на вкладку Автономные файлы (Offline files) и установить флажок Шифровать автономные файлы для защиты данных (Encrypt offline files to secure data).
Примечание
Шифрование автономных файлов доступно лишь в Windows XP и более поздних операционных системах. На компьютере под управлением Windows 2000 зашифровать кэш невозможно.
Дополнительную информацию о шифровании автономных файлов можно найти в статье Как зашифровать автономные файлы How to Encrypt Offline Files (EN).
Предоставьте системе создание папок для каждого пользователя
Чтобы достичь оптимальной работы перенаправления папок, достаточно создать лишь корневой каталог для хранения профилей на сервере, а далее дать возможность системе создать папки для каждого пользователя. Перенаправление папок автоматически создаст пользователям папки и обеспечит необходимый уровень безопасности.
Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы даете правильные разрешения. Также обратите внимание, что при создании папок Вам нужно снять флажок Предоставить права монопольного доступа к папке (Grant the user exclusive rights to My Documents) на вкладке Параметры(Settings) диалогового окна свойств папки. Если Вы не снимите флажок, перенаправление папок сначала проверит заранее созданную папку, чтобы убедиться, что пользователь является ее владельцем. Если папка была создана администратором, то она не пройдет эту проверку, и перенаправление будет прервано. В таком случае в журнал событий приложений будет внесена следующая запись:
Тип: Ошибка Источник: Folder Redirection Категория: Отсутствует Код (ID): 101 Дата: Дата Время: Время Пользователь: имя_домена\имя_пользователя. Компьютер: имя_компьютера Описание: Не удалось выполнить перенаправление папки . Не удалось создать новые каталоги для перенаправленной папки. Эта папка была настроена на перенаправление в \\имя_компьютера\общая_папка_для_перенаправления, конечный развернутый путь \\имя_компьютера\общая_папка_для_перенаправления. Произошла следующая ошибка: Этот код защиты не может соответствовать владельцу объекта.
Настоятельно рекомендуется не создавать папки для пользователей заранее, а предоставить эту работу технологии перенаправления папок.
Осуществляя перенаправление в домашнюю папку пользователя, убедитесь, что для нее установлены правильные разрешения
Операционная система Windows XP позволяет Вам произвести перенаправление папки "Мои документы" в домашнюю папку пользователя. При перенаправлении в домашнюю папку стандартная проверка безопасности не производится. Иными словами, не проверяются существующие разрешения для папки, и то, является ли пользователь ее владельцем. Поскольку это домашняя папка пользователя, предполагается, что разрешения на нее уже заданы правильно.
Производя перенаправление в домашнюю папку, убедитесь, что для нее заданы правильные разрешения.