액세스 기반 열거(ABE) 액세스하기 위해 네트워크 공유 폴더에 대한 NTFS 권한(읽기 또는 나열)이 없는 사용자로부터 개체(파일 및 폴더)를 숨길 수 있습니다. 따라서 공유 폴더에 저장된 데이터의 추가 기밀성을 제공할 수 있고(폴더와 파일의 구조와 이름을 숨김으로 인해), 사용자가 이상한 데이터를 볼 수 없으므로(접근 권한이 없음) 사용성을 향상시킬 수 있습니다. 더 중요한 것은 시스템 관리자가 "이 폴더에 액세스할 수 없는 이유!!!" 사용자의 끊임없는 질문에서 구하는 것입니다. . 이 기술, 구성 특성 및 다양한 Windows 버전에서의 ABE 사용에 대해 자세히 살펴보겠습니다.
Windows에서 공유 폴더에 대한 액세스는 어떻게 작동합니까?
Windows의 네트워크 공유 폴더 기술의 단점 중 하나는 기본적으로 모든 사용자가 액세스할 수 있는 NTFS 권한( 이러한 파일이나 폴더를 열려고 하면 사용자가 "액세스 거부됨" 오류를 수신합니다. ). 액세스 권한이 없는 사용자에게 이러한 파일과 폴더를 숨기지 않는 이유는 무엇입니까? 액세스 기반 열거가 이를 수행하는 데 도움이 될 수 있습니다. 공유 폴더에서 ABE를 활성화하면 사용자의 개별 액세스 권한(ACL)에 따라 동일한 네트워크 공유에서 다른 사용자가 폴더 및 파일의 다른 목록을 볼 수 있습니다.
SMB를 통해 공유 폴더에 액세스할 때 클라이언트와 서버 간의 상호 작용은 어떻게 발생합니까?
- 클라이언트가 서버에 네트워크 공유 폴더의 디렉토리에 액세스하도록 요청합니다.
- 서버의 LanmanServer 서비스는 이 폴더에 액세스할 수 있는 사용자 권한을 확인합니다.
- 액세스가 허용된 경우(NTFS 권한:콘텐츠 나열, 읽기 또는 쓰기) 사용자는 디렉터리 콘텐츠를 봅니다.
- 그런 다음 사용자는 동일한 방식으로 파일 또는 하위 폴더에 대한 액세스를 요청합니다(이와 같이 네트워크 폴더에서 특정 파일을 연 사람을 볼 수 있음).
- 접근이 거부되면 그에 따라 사용자에게 통지됩니다.
이 방식에 따르면 서버가 먼저 폴더의 전체 내용을 사용자에게 보여주고 NTFS 권한은 사용자가 특정 파일이나 폴더를 열려고 시도할 때만 확인하는 것이 분명해집니다.
액세스 기반 열거(ABE ) 사용자가 폴더 내용 목록을 받기 전에 파일 시스템 개체에 대한 액세스 권한을 확인할 수 있습니다. 따라서 최종 목록에는 사용자가 액세스할 수 있는 NTFS 권한(최소한 읽기 전용 권한)이 있는 개체만 포함되며 액세스할 수 없는 모든 리소스는 단순히 표시되지 않습니다(숨김).
이는 한 부서(예:창고)의 사용자가 공유 폴더(\\filesrv1\docs)에 있는 하나의 파일 및 폴더 목록을 볼 수 있음을 의미합니다. 보시다시피 사용자에 대해 공개 및 창고의 두 폴더만 표시됩니다.
그리고 다른 부서의 사용자의 경우 e. g., IT 부서(다른 Windows 보안 그룹에 포함됨)에는 다른 하위 폴더 목록이 표시됩니다. 공용 및 창고 디렉토리 외에도 이 사용자는 동일한 네트워크 폴더에서 5개의 추가 디렉토리를 봅니다.
Windows 파일 서버에서 ABE를 사용할 때의 주요 단점은 서버의 추가 로드입니다. . 부하가 높은 파일 서버에서 특히 두드러집니다. 표시된 디렉토리에 더 많은 개체가 있고 더 많은 사용자가 해당 디렉토리에서 파일을 열수록 지연이 길어집니다. Microsoft에 따르면 표시된 폴더에 15,000개의 개체(파일 및 디렉터리)가 있는 경우 폴더가 1-3초 느리게 열립니다. 그렇기 때문에 폴더를 열 때 지연이 덜 드러나도록 공유 폴더 구조를 설계할 때 명확하고 계층적인 하위 폴더 구조를 만드는 데 많은 주의를 기울이는 것이 좋습니다.
참고. 액세스 기반 열거는 파일 서버의 네트워크 공유 폴더 목록을 숨기지 않고 해당 내용만 숨깁니다. 사용자에게 공유 폴더를 숨겨야 하는 경우 공유 이름 끝에 $ 기호를 추가해야 합니다.명령 프롬프트(abecmd.exe 유틸리티), GUI, PowerShell 또는 특수 API에서.
액세스 기반 열거 제한
Windows의 액세스 기반 열거는 다음과 같은 경우에 작동하지 않습니다.
- 서비스 팩 1이 없는 Windows XP 또는 Windows Server 2003을 파일 서버로 사용하는 경우
- 로컬에서 디렉토리를 보는 경우(서버에서 직접),
- 로컬 파일 서버 관리자 그룹의 구성원(항상 전체 파일 목록을 볼 수 있음).
Windows Server 2008/2008 R2에서 ABE 사용
Windows Server 2008/R2에서는 액세스 기반 열거 기능을 사용하기 위해 ABE 관리 기능이 이미 Windows GUI에 내장되어 있으므로 추가 구성 요소를 설치할 필요가 없습니다. Windows Server 2008/2008 R2의 특정 폴더에 대한 액세스 기반 열거를 활성화하려면 MMC 관리 콘솔 공유 및 저장소 관리를 엽니다. (시작 –> 프로그램 –> 관리 도구 –> 공유 및 저장소 관리). 필요한 공유의 속성으로 이동합니다. 그런 다음 고급 설정 및 확인 액세스 기반 열거 활성화 .
Windows Server 2012 R2/2016에서 액세스 기반 열거 구성
Windows Server 2012 R2 / 2016의 ABE 구성도 매우 간단합니다. Windows Server 2012에서 ABE를 활성화하려면 먼저 파일 및 저장소 서비스 역할을 설치해야 합니다. 를 클릭한 다음 서버 관리자의 공유 속성으로 이동합니다.
설정 에서 섹션 액세스 기반 열거 사용 옵션을 선택합니다. .
Windows Server 2003에서 액세스 기반 열거 구현
Windows Server 2003(지금은 지원되지 않음)에서 ABE는 서비스 팩 1부터 지원되었습니다. . Windows Server 2003 SP1(이상)에서 액세스 기반 열거를 활성화하려면 https://www.microsoft.com/en-us/download/details.aspx?id=17510 링크를 따라 패키지를 다운로드하여 설치해야 합니다. . 설치하는 동안 서버의 모든 공유 폴더에 대해 ABE를 활성화할지 아니면 수동으로 구성할지 지정해야 합니다. 두 번째 옵션을 선택하면 설치 후 네트워크 공유 속성에 새 탭인 액세스 기반 열거가 나타납니다.
특정 폴더에 대해 ABE를 활성화하려면 이 공유 폴더에 대한 액세스 기반 열거 활성화 옵션을 선택하십시오. 속성에서.
Windows 2003은 DFS 기반 액세스 기반 열거를 지원하지만 cacls를 사용하는 명령 프롬프트에서만 구성할 수 있다는 점을 언급하는 것이 중요합니다. .
명령 프롬프트에서 ABE 관리
Abecmd.exe 유틸리티를 사용하여 명령 프롬프트에서 액세스 기반 열거 설정을 관리할 수 있습니다. 이 도구는 Windows Server 2003 SP1용 Access-based Enumeration 패키지의 일부입니다(위 링크 참조).
Abecmd.exe 모든 디렉토리에 대해 ABE를 한 번에 또는 그 중 일부에 대해서만 활성화할 수 있습니다. 다음 명령은 모든 공유에 대해 액세스 기반 열거를 활성화합니다.
abecmd /enable /all
이것은 특정 폴더를 위한 것입니다(예:이름이 Docs인 네트워크 공유 폴더):
abecmd /enable Docs
PowerShell을 사용한 액세스 기반 열거 관리
SMBShare PowerShell 모듈(Windows 10/8.1 및 Windows Server 2016/2012 R2에 기본적으로 설치됨)을 사용하여 특정 폴더에 대한 액세스 기반 열거 설정을 관리할 수 있습니다. 특정 공유 폴더의 속성을 나열해 보겠습니다.
Get-SmbShare Install|fl *
FolderEnumerationMode 값을 확인합니다. 기인하다. 우리의 경우 그 값은 무제한입니다. . 이는 이 폴더에 대해 ABE가 비활성화되었음을 의미합니다.
서버의 모든 공유 폴더에 대한 ABE 상태를 확인할 수 있습니다.
Get-SmbShare | Select-Object Name,FolderEnumerationMode
특정 폴더에 대해 ABE를 활성화하려면:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
게시된 모든 네트워크 폴더(관리 공유 ADMIN$, C$, E$ 포함)에 대해 액세스 기반 열거를 활성화할 수 있습니다. , IPC$,…) 명령을 실행하여:
Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased
ABE를 비활성화하려면 다음 명령을 사용하십시오.
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted
Windows 10 / 8.1 / 7의 액세스 기반 열거
많은 사용자, 특히 가정 또는 SOHO 네트워크에서도 액세스 기반 열거 기능을 사용하려고 합니다. 문제는 Microsoft 클라이언트 OS에 Access-Based Enumeration을 관리하기 위한 그래픽 인터페이스나 명령 인터페이스가 없다는 것입니다.
Windows 10(Server 2016) 및 Windows 8.1(Server 2012R2)에서 PowerShell을 사용하여 액세스 기반 열거를 관리할 수 있습니다(위 섹션 참조). 이전 버전의 Windows에서는 최신 버전의 PowerShell(>=5.0)을 설치하거나 Windows Server 2003 패키지의 abecmd.exe 유틸리티를 사용해야 하며 클라이언트 OS에서 제대로 작동합니다. Windows Server 2003 Access-based Enumeration 패키지는 Windows 10, 8.1 또는 7에 설치되어 있지 않으므로 Windows Server 2003에 먼저 설치한 다음 C:\windows\system32 디렉터리에서 동일한 폴더로 복사해야 합니다. 클라이언트. 그런 다음 위에서 설명한 명령에 따라 ABE를 활성화할 수 있습니다.
참고. 기업 환경에서 ABE는 사용자에게 폴더를 숨기고 공용 폴더 트리의 보다 편리한 구조를 제공하여 DFS 폴더와 완벽하게 결합합니다. DFS 관리 또는 dfsutil.exe를 사용하여 DFS에서 ABE를 활성화할 수 있습니다.dfsutil property abde enable \\namespace_root
또한 GPO를 사용하여 AD 도메인의 컴퓨터에서 ABE를 활성화할 수 있습니다. 컴퓨터 구성 섹션에서 GPP를 사용하여 이 작업을 수행할 수 있습니다. -> 환경설정 -> Windows 설정 -> 네트워크 공유 ).
네트워크 폴더의 속성에 액세스 기반 열거가 있습니다. 강한> 옵션, 값을 사용으로 변경하는 경우 , 이 GPO를 사용하여 생성된 모든 공유 폴더에 대해 ABE 모드가 활성화됩니다.