Access Based Enumeration ( ABE )の仕組み
環境
- ONTAP 9
- Data ONTAP 8 7-Mode
回答
- Access-Based EnumerationがCIFS共有で有効になっていると、共有フォルダまたはその下のファイルに(個人またはグループの権限制限により)アクセスする権限がないユーザの環境には、その共有リソースは表示されません。
- グローバルオプションは SVM 単位ではなく、共有ごとに ABE を有効にする必要があります
ABE では共有が非表示になることはなく、アクセス権限に基づいて作成されたフォルダやファイルだけが非表示になります。一時的に変更されます |
- ローカル管理者には、引き続き無制限の列挙があります
- BUILTIN\Administrators グループのメンバーには、ローカルシステムへの無制限のアクセスが許可されます
- したがって、このグループのアカウントは、ディレクトリ全体を列挙できます
- デフォルトでは、ABEは無効です。
- ABE の有効化
- Data ONTAP 8 7-Mode の場合
cifs shares -change sharename -accessbasedenum
- Data ONTAP 9 の場合
::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Mode の場合
- ABEの無効化
- Data ONTAP 8 7-Mode の場合
cifs shares -change sharename -noaccessbasedenum
- Data ONTAP 9 の場合
::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Mode の場合
追加情報
- CIFS 共有のテスト
accessbasedenum
を作成する場合は、オプションを指定します - 共有
\FILERTEST
はユーザ DOMAINUSERA にマッピングされます- Prova という名前 のフォルダが作成され、 DOMAINUSERA の Owner / Full Control 権限が付与されます。
- 他のユーザー (DOMAINUSERB
\FILERTEST
など ) は共有テストを表示できますが、共有の下に Prova フォルダは表示されません。これは予測される動作です。 - CIFS 共有テストを非表示にするには、次のようなオプションがあります。
-nobrowse
オプションを指定して、参照している CIFS 共有を無効にします- 共有を作成し、名前の末尾に $ 記号を追加します。
- ONTAP 9.9.1以降では、共有レベルの権限を基に共有を列挙するCIFSオプションが導入されています
-is-share-enum-permission-check-enabled
(権限:advanced)- このパラメータをtrueに設定すると、NetShareEnum呼び出しは、ユーザがアクセス可能な共有のみに応答します。デフォルト値はfalseで、すべての共有で応答します。
- SMB 共有でのアクセスベースの列挙の有効化または無効化( ONTAP 9+ )
- アクセスベースの列挙を使用した共有でのフォルダセキュリティの提供( clustered ONTAP 8.3.1 )
- Data ONTAP 7.3 のファイルアクセスとプロトコル
- na_cifs_shares のマニュアル・ページ
- アクセスベースの列挙による共有のフォルダのセキュリティの概要(netapp.com)