Ja precies, nieuwe features voor fileserver services. Shares en fileservers zijn bijna niet meer weg te denken in de huidige netwerken. Maar hoe kunnen we dit nu nog beter beveiligen en traceren?

Access-based Enumeration
Kort maar krachtig, gebruikers zien op fileshares alleen de mappen en bestanden waar ze daadwerkelijk rechten op hebben. De rest wordt niet weergegeven.
Dit zorgt ervoor dat de audit logs niet onnodig met failures worden overspoeld van gebruikers die verkeerd klikken of even willen proberen of ze toch echt niet in die ene map kunnen komen. Extra beveiliging en betere logging worden hierdoor mogelijk gemaakt.
Hoe zet ik het aan?
In Server manager naar de File and Storage Services en de eigenschappen van de share openen zoals in bovenstaande afbeelding.
Dit simpele vinkje aanzetten houdt in dat een gebruiker die geen rechten heeft op een map in de share, deze dus ook niet ziet.
Beperkte toegang door apparaat regels
Er vanuit gaande dat er sprake is van remote toegang en de gebruiker rechten heeft op de share en mappen/bestanden, is het natuurlijk de vraag of men wil dat dit overal (remote access) toegankelijk mag zijn.
Als er remote access is en de bestanden in de map beschermd moeten blijven en niet overal toegankelijk mogen zijn, kan men toegangsregels aanmaken. Spreek condities waaraan voldaan moet worden.
Als ik dan lokaal via de fileserver de share wil openen krijg ik onderstaande (ja ik doe dit als administrator, dus ik mag en kan doorgaan).
De meer geavanceerde opties komen door implementatie van AD RMS en classificaties waar de volgende blog over gaat.