Windowsのフォルダアクセス権限設定では「所有者」に対する特権を見落としがちです。これを正しく把握しておかないと、共有ファイルサーバーなどで管理者が予期していないアクセスを許すことになります。その結果、セキュリティリスクを抱えたり、管理上の不都合を招きます。
サンプルケース
上の画面はあるフォルダのアクセス権が表示されています。Administratorsグループにのみアクセス許可定義があります。この環境には「user1」というUsersグループのみ所属する一般ユーザーがいます(Administratorsグループには所属しない)。
このフォルダーは「user1」が作成したものですが、「CREATOR OWNER」に対するアクセス許可定義はありません(デフォルトにはありますが、削除しています)。
にもかかわらず、「user1」ユーザーはこのフォルダ内のデータを読み書きできます。なぜでしょうか?
なぜアクセス権がないのに読み書きできるのか?
理由は、フォルダの「所有者」だからです。先程の画面をよくみると、所有者が「user1」になっています。フォルダを作成したユーザーが、自動的に所有者になります。
実はWindowsの仕様上、所有者はアクセス権を自由に変更できます。user1がこのフォルダを普通に開こうとすると拒否されますが、プロパティを開いてアクセス権を変更することは出来るのです。
アクセス権を変更できるということは、下図のように自分に対するフルコントロール権限を追加することもできます。その結果、データの読み書きが可能になるということです。
共有ファイルサーバーでは注意
これは、ファイルサーバーの管理側も見落としがちな点だと思います。これを正しく把握していないと、複数人で使う共有フォルダの権限設定で、予期しないアクセスを許す可能性があります。
たとえ「CREATOR OWNER」に対するアクセス許可定義を削除(別記事参照)しても、ユーザーは自分が作ったフォルダのアクセス権を自由に変更できてしまいます。共有ファイルサーバーで、利用者にアクセス権の変更を許すと不都合を招きます。例えば、不適切なユーザーにアクセス許可を与えたり、あるいは管理者にもアクセス不可能なフォルダを作ったり…。
こうならないように、共有フォルダの設定では次のように設定することをお勧めします。下図のように、共有フォルダのアクセス権で「フルコントロール」のチェックを外します。
このようにしておけば、所有者であっても共有フォルダ上ではアクセス権変更ができなくなるので、前述の不都合を未然に防ぐことができます。なお、共有フォルダの設定方法については過去の記事で詳しく解説していますので参考にして下さい。
もし悪用されたら?
悪用とは人聞きが悪いですが、利用者が誤った設定変更をした結果「管理者もアクセスできないフォルダ」ができてしまった場合、管理者はどうすればいいのでしょうか?対処方法はあります。別記事で紹介していますので、そちらをご覧下さい。
おわりに
今回の記事は以上です。
当サイトでは、ITインフラ関連の知識やノウハウをメインに紹介しています。下の関連記事にも役立つ情報があるかもしれませんので、ぜひご覧下さい。
また、知識やノウハウを効率的に学ぶ方法として、Udemy の「ながらセミナー」
もおすすめです。三日坊主にならず、普段の生活の中でスキルアップする方法です。これについては下の記事で紹介していますので、良ければご覧下さい。
最後まで読んでいただき、ありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント