If-Koubou

Jak rozpoznać te mylące uprawnienia do plików / udziału w systemie Windows 7

Jak rozpoznać te mylące uprawnienia do plików / udziału w systemie Windows 7 (Jak)

Czy kiedykolwiek próbowałeś znaleźć wszystkie uprawnienia w systemie Windows? Są uprawnienia udziału, uprawnienia NTFS, listy kontroli dostępu i inne. Oto, jak wszyscy pracują razem.

Identyfikator zabezpieczenia

Systemy operacyjne Windows używają identyfikatorów SID do reprezentowania wszystkich zasad bezpieczeństwa. Identyfikatory SID to tylko ciągi o zmiennej długości znaków alfanumerycznych, które reprezentują komputery, użytkowników i grupy. Identyfikatory SID są dodawane do list ACL (list kontroli dostępu) za każdym razem, gdy przyznajesz uprawnienia użytkownika lub grupy do pliku lub folderu. Za identyfikatorami SID sceny są przechowywane w ten sam sposób wszystkie inne dane obiektu są w binarny. Jednak gdy zobaczysz identyfikator SID w Windows, zostanie wyświetlony przy użyciu bardziej czytelnej składni. Nieczęsto zdarza się, że zobaczysz jakąkolwiek formę identyfikatora SID w systemie Windows. Najczęstszym scenariuszem jest przyznawanie komuś uprawnień do zasobu, a następnie jego konto użytkownika jest usuwane, a następnie pojawia się jako identyfikator SID w liście ACL. Więc spójrzmy na typowy format, w którym zobaczysz identyfikatory SID w Windows.

Notacja, którą zobaczysz, przyjmuje pewną składnię, poniżej znajdują się różne części identyfikatora SID w tym zapisie.

  1. Prefiks "S"
  2. Numer wersji struktury
  3. 48-bitowa wartość identyfikatora
  4. Zmienna liczba 32-bitowych wartości podrzędnych lub względnego identyfikatora (RID)

Korzystając z mojego identyfikatora SID na poniższym obrazku, podzielimy poszczególne sekcje, aby uzyskać lepsze zrozumienie.

Struktura SID:

"S" - Pierwszym składnikiem identyfikatora SID jest zawsze "S". Jest to poprzedzone wszystkimi identyfikatorami SID i służy do informowania systemu Windows, że następuje następujący identyfikator SID.
'1' - Drugi składnik identyfikatora SID to numer wersji specyfikacji SID, jeśli specyfikacja SID miała ulec zmianie, zapewniłaby kompatybilność wsteczną. Od wersji Windows 7 i Server 2008 R2 specyfikacja SID wciąż znajduje się w pierwszej wersji.
'5' - Trzecia sekcja identyfikatora SID nosi nazwę Urząd identyfikacji. Określa, w jakim zakresie wygenerowano identyfikator SID. Możliwe wartości dla tej sekcji identyfikatora SID mogą być następujące:

  1. 0 - Null Authority
  2. 1 - Światowa Władza
  3. 2 - Władze lokalne
  4. 3 - Organ twórcy
  5. 4 - Niepowtarzalny organ
  6. 5 - Organ NT

'21' - Czwarty komponent to podrzędne zezwolenie 1, wartość "21" jest używana w czwartym polu, aby określić, że kolejne podsektory identyfikują maszynę lokalną lub domenę.
'1206375286-251249764-2214032401' - Są one nazywane, odpowiednio, podległymi organami 2,3 i 4. W naszym przykładzie jest to używane do identyfikacji lokalnego komputera, ale może być również identyfikatorem dla domeny.
'1000' - Podrzędne uprawnienia 5 to ostatni element w naszym identyfikatorze SID i jest on nazywany RID (identyfikator względny), RID jest względny w stosunku do każdej zasady bezpieczeństwa, należy pamiętać, że wszelkie obiekty zdefiniowane przez użytkownika, które nie są wysyłane przez Microsoft, będą miały RID 1000 lub większy.

Zasady bezpieczeństwa

Zasada bezpieczeństwa to wszystko, co ma przypisany identyfikator SID, mogą to być użytkownicy, komputery, a nawet grupy. Zasady bezpieczeństwa mogą być lokalne lub znajdować się w kontekście domeny. Zarządzasz lokalnymi zasadami bezpieczeństwa poprzez przystawkę Lokalni użytkownicy i grupy, w ramach zarządzania komputerem. Aby to zrobić, kliknij prawym przyciskiem myszy skrót komputera w menu Start i wybierz opcję Zarządzaj.

Aby dodać zasadę bezpieczeństwa nowego użytkownika, możesz przejść do folderu użytkowników i kliknąć prawym przyciskiem myszy i wybrać nowego użytkownika.

Dwukrotne kliknięcie użytkownika pozwala dodać go do grupy zabezpieczeń na karcie Członek grupy.

Aby utworzyć nową grupę zabezpieczeń, przejdź do folderu Grupy po prawej stronie. Kliknij prawym przyciskiem myszy na białym polu i wybierz nową grupę.

Udostępnij uprawnienia i uprawnienie NTFS

W systemie Windows istnieją dwa rodzaje uprawnień do plików i folderów, po pierwsze istnieją uprawnienia do udziałów, a po drugie są uprawnienia NTFS zwane również uprawnieniami bezpieczeństwa. Zauważ, że domyślnie udostępniany folder grupie "Wszyscy" otrzymuje uprawnienie do odczytu. Zabezpieczenia folderów są zwykle wykonywane przy użyciu uprawnienia Share i NTFS, w takim przypadku należy pamiętać, że zawsze obowiązuje najbardziej restrykcyjny, na przykład jeśli uprawnienie do udostępniania ma wartość Everyone = Read (domyślna), ale uprawnienie NTFS zezwala użytkownikom na dokonywanie zmian w pliku, prawo do udziału będzie miało pierwszeństwo, a użytkownicy nie będą mogli wprowadzać zmian. Po ustawieniu uprawnień LSASS (lokalny organ bezpieczeństwa) kontroluje dostęp do zasobu. Podczas logowania otrzymujesz token dostępu z identyfikatorem SID, po przejściu do zasobu LSASS porównuje identyfikator SID dodany do listy kontroli dostępu (ACL) i jeśli identyfikator SID znajduje się na liście ACL, określa, czy zezwalaj lub odmawiaj dostępu. Niezależnie od uprawnień, których używasz, istnieją różnice, więc przyjrzyjmy się, aby lepiej zrozumieć, kiedy powinniśmy użyć czego.

Udostępnij uprawnienia:

  1. Dotyczy tylko użytkowników uzyskujących dostęp do zasobu przez sieć. Nie mają one zastosowania, jeśli logujesz się lokalnie, na przykład za pośrednictwem usług terminalowych.
  2. Dotyczy to wszystkich plików i folderów we współużytkowanym zasobie. Jeśli chcesz zapewnić bardziej ziarnisty rodzaj schematu ograniczeń, oprócz uprawnień współużytkowania powinieneś używać uprawnień NTFS
  3. Jeśli masz woluminy sformatowane w systemie plików FAT lub FAT32, będzie to jedyna dostępna forma ograniczenia, ponieważ uprawnienia NTFS nie są dostępne w tych systemach plików.

Uprawnienia NTFS:

  1. Jedynym ograniczeniem uprawnień NTFS jest to, że można je ustawić tylko na woluminie sformatowanym do systemu plików NTFS
  2. Pamiętaj, że NTFS są zbiorcze, co oznacza, że ​​efektywne uprawnienia użytkowników są wynikiem połączenia przypisanych uprawnień użytkownika i uprawnień każdej grupy, do której należy użytkownik.

Nowe uprawnienia udziału

Windows 7 kupił nową "łatwą" technikę udostępniania.Opcje zmieniły się z odczytu, zmiany i pełnej kontroli na. Odczyt i odczyt / zapis. Pomysł był częścią mentalności całej grupy domowej i ułatwił udostępnianie folderu osobom, które nie znają się na komputerze. Odbywa się to za pośrednictwem menu kontekstowego i łatwo udostępnia swoje grupy domowe.

Jeśli chcesz podzielić się z kimś, kto nie jest w grupie domowej, zawsze możesz wybrać opcję "Określone osoby ...". Który wywoła bardziej "skomplikowane" okno dialogowe. Gdzie można określić konkretnego użytkownika lub grupę.

Istnieją tylko dwa pozwolenia, jak wcześniej wspomniano, razem oferują schemat ochrony dla wszystkich folderów i plików.

  1. Czytać uprawnienie to opcja "patrz, nie dotykaj". Odbiorcy mogą otwierać, ale nie modyfikować ani usuwać plików.
  2. Odczyt / zapis jest opcją "zrób wszystko". Odbiorcy mogą otwierać, modyfikować lub usuwać pliki.

The Old School Way

Stare okno dialogowe akcji miało więcej opcji i dało nam opcję udostępniania folderu pod innym aliasem, pozwoliło nam ograniczyć liczbę jednoczesnych połączeń, a także skonfigurować buforowanie. Żadna z tych funkcji nie została utracona w systemie Windows 7, ale raczej jest ukryta w opcji o nazwie "Zaawansowane udostępnianie". Po kliknięciu prawym przyciskiem myszy na folderze i przejściu do jego właściwości możesz znaleźć te ustawienia "Zaawansowane udostępnianie" na karcie udostępniania.

Jeśli klikniesz przycisk "Zaawansowane udostępnianie", który wymaga poświadczeń administratora lokalnego, możesz skonfigurować wszystkie ustawienia, które były ci znane w poprzednich wersjach systemu Windows.

Jeśli klikniesz przycisk uprawnień, zobaczysz 3 ustawienia, które wszyscy znamy.

  1. Czytać uprawnienie pozwala na przeglądanie i otwieranie plików i podkatalogów oraz uruchamianie aplikacji. Jednak nie pozwala na wprowadzanie jakichkolwiek zmian.
  2. Modyfikować pozwolenie pozwala ci to zrobić Czytać uprawnienia pozwalają, dodaje także możliwość dodawania plików i podkatalogów, usuwania podfolderów i zmiany danych w plikach.
  3. Pełna kontrola to "zrób wszystko" z klasycznymi uprawnieniami, ponieważ pozwala ci na wykonanie wszystkich poprzednich uprawnień. Ponadto zapewnia zaawansowane zmienianie uprawnień NTFS, dotyczy to tylko folderów NTFS

Uprawnienia NTFS

Zezwolenie NTFS pozwala na bardzo szczegółową kontrolę nad plikami i folderami. Przy tym ilość ziarnistości może zniechęcić przybysza. Można również ustawić uprawnienia NTFS zarówno dla pojedynczych plików, jak i dla poszczególnych folderów. Aby ustawić uprawnienie NTFS do pliku, należy kliknąć prawym przyciskiem myszy i przejść do właściwości plików, w którym należy przejść do karty zabezpieczeń.

Aby edytować uprawnienia NTFS dla użytkownika lub grupy, kliknij przycisk edycji.

Jak widać, istnieje wiele uprawnień NTFS, więc możemy je rozbić. Najpierw przyjrzymy się uprawnieniom NTFS, które można ustawić w pliku.

  1. Pełna kontrola umożliwia czytanie, pisanie, modyfikowanie, wykonywanie, zmianę atrybutów, uprawnień i przejęcie własności pliku.
  2. Modyfikować pozwala na odczytywanie, zapisywanie, modyfikowanie, uruchamianie i zmienianie atrybutów pliku.
  3. Odczyt i wykonanie pozwoli ci wyświetlić dane pliku, atrybuty, właściciela i uprawnienia, i uruchomić plik, jeśli jest to program.
  4. Czytać pozwoli ci otworzyć plik, wyświetlić jego atrybuty, właściciela i uprawnienia.
  5. pisać pozwoli Ci zapisywać dane w pliku, dołączać do pliku i czytać lub zmieniać jego atrybuty.

Uprawnienia NTFS dla folderów mają nieco inne opcje, więc przyjrzyjmy się im.

  1. Pełna kontrola pozwala na odczytywanie, zapisywanie, modyfikowanie i wykonywanie plików w folderze, zmianę atrybutów, uprawnień i przejęcie na własność folderu lub plików.
  2. Modyfikować pozwala na odczytywanie, zapisywanie, modyfikowanie i wykonywanie plików w folderze oraz zmianę atrybutów folderu lub plików wewnątrz.
  3. Odczyt i wykonanie pozwoli ci wyświetlić zawartość folderu i wyświetlić dane, atrybuty, właściciela i uprawnienia do plików w folderze oraz uruchomić pliki w folderze.
  4. Wyświetl zawartość folderu pozwoli ci wyświetlić zawartość folderu i wyświetlić dane, atrybuty, właściciela i uprawnienia do plików w folderze.
  5. Czytać pozwoli Ci wyświetlić dane pliku, atrybuty, właściciela i uprawnienia.
  6. pisać pozwoli Ci zapisywać dane w pliku, dołączać do pliku i czytać lub zmieniać jego atrybuty.

Dokumentacja Microsoftu stwierdza również, że "Lista zawartości folderów" pozwala na uruchamianie plików w folderze, ale nadal będzie trzeba włączyć "Odczyt i wykonanie", aby to zrobić. To bardzo myląco udokumentowane pozwolenie.

streszczenie

Podsumowując, nazwy użytkowników i grupy są reprezentacjami alfanumerycznego łańcucha nazywanego identyfikatorem SID (Security Identifier), Share i uprawnienia NTFS są powiązane z tymi identyfikatorami SID. Uprawnienia udziału są sprawdzane przez LSSAS tylko wtedy, gdy dostęp do nich odbywa się przez sieć, podczas gdy uprawnienia NTFS są ważne tylko na komputerach lokalnych. Mam nadzieję, że wszyscy dobrze rozumiesz, w jaki sposób wdrażane są zabezpieczenia plików i folderów w systemie Windows 7. Jeśli masz jakieś pytania, wyślij je w komentarzach.