Ako pochopiť tie mätúce Windows 7 File / Share oprávnenia

Skúsili ste niekedy zistiť všetky povolenia v systéme Windows? K dispozícii sú povolenia na zdieľanie, oprávnenia systému NTFS, zoznamy riadenia prístupu a ďalšie. Tu je to, ako všetci spolupracujú.

Identifikátor zabezpečenia

Operačné systémy Windows používajú identifikátory SID, ktoré reprezentujú všetky bezpečnostné zásady. SID sú iba reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv (zoznamy prístupových práv) zakaždým, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. Za scénou sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty v binárnom formáte. Keď však uvidíte SID v systéme Windows, zobrazí sa pomocou čitateľnejšej syntaxe. Nie je to často, že v systéme Windows uvidíte nejakú formu SID, najčastejším prípadom je, keď udeľujete niekomu povolenie na prostriedok, potom sa jeho používateľský účet odstráni, potom sa v ACL zobrazí ako identifikátor SID. Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.

Označenie, ktoré uvidíte, má určitú syntax, nižšie sú rôzne časti SID v tejto notácii.

1. Predpona "S"
2. Číslo revízie štruktúry
3. 48-bitová hodnota orgánu identifikátora
4. Premenlivý počet 32-bitových hodnôt podradených autorít alebo relatívnych identifikátorov (RID)

Pomocou môjho SID na obrázku nižšie rozdelíme jednotlivé časti, aby sme lepšie porozumeli.

Štruktúra SID:

'S' - Prvá zložka SID je vždy "S". Toto je predpona pre všetky SID a je tu informovať Windows, že to, čo nasleduje, je SID.
'1' - Druhou súčasťou SID je číslo revízie špecifikácie SID, ak by špecifikácia SID mala meniť, poskytla spätnú kompatibilitu. Od Windows 7 a Server 2008 R2 je špecifikácia SID stále v prvej revízii.
'5' - Tretia časť SID sa nazýva orgán pre identifikáciu. Toto definuje, v akom rozsahu bol SID vytvorený. Možné hodnoty pre tieto časti SID môžu byť:

1. 0 - Null Authority
2. 1 - Svetový úrad
3. 2 - Miestny úrad
4. 3 - autorita autorov
5. 4 - Nejednotný orgán
6. 5 - Úrad NT

'21' - Štvrtou zložkou je podriadenosť 1, v štvrtom poli sa používa hodnota "21", ktorá špecifikuje, že nižšie uvedené orgány identifikujú lokálny počítač alebo doménu.
'1206375286-251249764-2214032401' - Tieto sa nazývajú podriadenie 2, 3 a 4. V našom príklade sa toto používa na identifikáciu lokálneho počítača, ale môže to byť aj identifikátor pre doménu.
'1000' - Sub-authority 5 je posledná zložka našej SID a nazýva sa RID (Relatívny identifikátor), RID je relatívna pre každý bezpečnostný princíp. Vezmite prosím na vedomie, že všetky objekty definované používateľom, tie, ktoré nie sú dodávané spoločnosťou Microsoft, budú mať RID 1000 alebo viac.

Bezpečnostné princípy

Bezpečnostným princípom je všetko, čo má pripojený SID, môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo môžu byť v kontexte domény. Spravujete zásady lokálnej bezpečnosti prostredníctvom modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak chcete získať pravé kliknutie na zástupcu počítača v ponuke Štart a vyberte správu.

Ak chcete pridať nový princíp bezpečnosti používateľa, môžete prejsť do priečinka používateľov a kliknúť pravým tlačidlom a vybrať nového používateľa.

Ak dvakrát kliknete na používateľa, môžete ho pridať do skupiny zabezpečenia na karte Člen.

Ak chcete vytvoriť novú skupinu zabezpečenia, prejdite do priečinka Skupiny na pravej strane. Kliknite pravým tlačidlom na biely priestor a vyberte novú skupinu.

Povolenie na zdieľanie a povolenie systému NTFS

V systéme Windows existujú dva typy oprávnení pre súbory a priečinky, najprv existujú oprávnenia na zdieľanie a na druhej strane existujú oprávnenia NTFS nazývané aj oprávnenia na zabezpečenie. Berte na vedomie, že keď zdieľate priečinok, predvolene dostanete povolenie na čítanie skupine "Všetci". Zabezpečenie priečinkov sa zvyčajne vykonáva kombináciou oprávnenia na zdieľanie a prijímanie súborov typu NTFS, ak je to tak, je nevyhnutné pamätať na to, že platí vždy najretenčivejšie, napríklad ak je povolenie zdieľania nastavené na Everyone = Read (čo je predvolené) ale oprávnenie NTFS umožňuje používateľom vykonať zmenu v súbore, povolenie na zdieľanie bude mať prednosť a používatelia nebudú môcť vykonávať zmeny. Keď nastavíte povolenia, LSASS (Local Security Authority) riadi prístup k prostriedku. Pri prihlásení dostanete prístupový token s identifikátorom SID na ňom, pri prístupe k prostriedku LSASS porovná SID, ktorý ste pridali do zoznamu prístupových práv (ACL) a ak je identifikátor SID v ACL, určuje, či povoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa môžete pozrieť, aby ste lepšie pochopili, kedy by sme mali používať to, čo.

Povolenia na zdieľanie:

1. Platí iba pre používateľov, ktorí pristupujú k sieti prostredníctvom siete. Nepoužívajú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálových služieb.
2. Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť podrobnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj oprávnenie NTFS
3. Ak máte akékoľvek zväzky formátované v systéme FAT alebo FAT32, bude to jediná forma obmedzenia, ktoré máte k dispozícii, pretože NTFS Permissions nie je k dispozícii v tých súborových systémoch.

Povolenia NTFS:

1. Jediným obmedzením oprávnení systému NTFS je, že môžu byť nastavené iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
2. Nezabudnite, že súbory NTFS sú kumulatívne, čo znamená, že efektívne povolenia používateľa sú výsledkom kombinácie pridelených oprávnení používateľa a oprávnení všetkých skupín, ktorým používateľ patrí.

Nové povolenia na zdieľanie

Windows 7 si kúpil novú techniku ​​zdieľania. Možnosti sa zmenili z položky Čítať, Zmeniť a Úplná kontrola na. Čítať a čítať / zapisovať. Táto myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie zložky pre ľudí bez počítačovej gramotnosti. To sa deje jednoducho pomocou kontextovej ponuky a zdieľa s vašou domácou skupinou.

Ak ste chceli zdieľať s niekým, kto nie je v domácej skupine, vždy môžete vybrať možnosť "Osoby špecifické ...". Cieľ by priniesol viac "prepracovaný" dialóg. Kde môžete určiť konkrétneho používateľa alebo skupinu.

Existujú iba dve povolenia, ako sme už uviedli, spolu ponúkajú schému ochrany údajov pre všetky priečinky a súbory.

1. prečítať povolenie je voľba "pozrite, nedotýkajte sa". Príjemcovia môžu otvárať súbor, ale nesmú ho meniť ani mazať.
2. Čítaj píš je možnosť "urobiť čokoľvek". Príjemcovia môžu otvoriť, upraviť alebo odstrániť súbor.

Stará školská cesta

Starý zdieľaný dialóg mal viac možností a dal nám možnosť zdieľať priečinok pod iným aliasom, umožnilo nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte. Žiadna z týchto funkcií nie je v systéme Windows 7 stratená, ale je skrytá pod možnosťou "Rozšírené zdieľanie". Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Rozšírené zdieľanie" na karte Zdieľanie.

Ak kliknete na tlačidlo Rozšírené zdieľanie, ktoré vyžaduje poverenia miestneho správcu, môžete nakonfigurovať všetky nastavenia, ktoré ste oboznámili s predchádzajúcimi verziami systému Windows.

Ak kliknete na tlačidlo povolenia, zobrazí sa vám 3 nastavenia, ktoré všetci poznáme.

1. prečítať povolenie vám umožňuje prezerať a otvárať súbory a podadresáre, ako aj vykonávať aplikácie. Nepovoľuje však žiadne zmeny.
2. pozmeniť povolenie vám umožňuje urobiť čokoľvek prečítať povolenie umožňuje, pridáva tiež možnosť pridať súbory a podadresáre, odstrániť podsložky a zmeniť dáta v súboroch.
3. Úplné ovládanie je "robiť čokoľvek" z klasických oprávnení, pretože umožňuje vykonávať všetky a všetky predchádzajúce povolenia. Navyše vám poskytuje rozšírené zmeny oprávnenia NTFS, platí to iba pre priečinky NTFS

Povolenia NTFS

Povolenie NTFS umožňuje veľmi zrnitú kontrolu nad vašimi súbormi a priečinkami. S tým môže byť množstvo granularity pre nováčikov skľučujúce. Môžete tiež nastaviť povolenie systému NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS v súbore, mali by ste pravým tlačidlom myši a prejsť na vlastnosti súborov, kde musíte prejsť na kartu zabezpečenia.

Ak chcete upraviť oprávnenia systému NTFS pre používateľov alebo skupinu, kliknite na tlačidlo Upraviť.

Ako môžete vidieť, existuje dostatok oprávnení NTFS, takže ich môžete rozdeliť. Najprv sa pozrieme na oprávnenia systému NTFS, ktoré môžete nastaviť v súbore.

1. Úplné ovládanie umožňuje čítať, písať, upravovať, vykonávať, meniť atribúty, povolenia a prevzatie vlastníctva súboru.
2. pozmeniť umožňuje čítať, písať, upravovať, vykonávať a meniť atribúty súboru.
3. Čítať a spúšťať vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia a spustiť súbor, ak je jeho program.
4. prečítať vám umožní otvoriť súbor, zobraziť jeho atribúty, vlastníka a povolenia.
5. zapísať vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

Povolenia pre priečinky systému NTFS majú mierne odlišné možnosti, takže ich môžete pozrieť.

1. Úplné ovládanie umožňuje čítať, písať, upravovať a vykonávať súbory v priečinku, meniť atribúty, oprávnenia a prevzatie vlastníctva priečinka alebo súborov v rámci.
2. pozmeniť umožňuje čítať, písať, upravovať a vykonávať súbory v priečinku a meniť atribúty priečinka alebo súborov v rámci.
3. Čítať a spúšťať vám umožní zobraziť obsah priečinka a zobraziť údaje, atribúty, vlastníka a povolenia pre súbory v priečinku a spustiť súbory v priečinku.
4. Zoznam obsahov priečinkov vám umožní zobraziť obsah priečinka a zobraziť údaje, atribúty, vlastníka a povolenia pre súbory v priečinku.
5. prečítať vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia.
6. zapísať vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

Dokumentácia spoločnosti Microsoft tiež uvádza, že "obsah zoznamu priečinkov" vám umožní spustiť súbory v priečinku, ale na to budete musieť ešte zapnúť funkciu "Read & Execute". Je to veľmi zmätočno zdokumentované povolenie.

zhrnutie

Stručne povedané, používateľské mená a skupiny sú reprezentácie alfanumerického reťazca s názvom SID (Security Identifier), Share a NTFS Permissions sú viazané na tieto SID. Povolenia na zdieľanie sú kontrolované službou LSSAS iba vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia NTFS sú platné iba na lokálnych počítačoch. Dúfam, že ste všetci dobre rozumieť tomu, ako je zabezpečená bezpečnosť súborov a priečinkov v systéme Windows 7. Ak máte akékoľvek otázky, môžete sa vyjadriť v komentároch.