7Jul

Jak porozumět těmto zmateným oprávněním souborů / oprávnění pro systém Windows 7

click fraud protection

Už jste někdy zkoušeli zjistit všechna oprávnění v systému Windows? K dispozici jsou oprávnění pro sdílení, oprávnění NTFS, seznamy řízení přístupu a další.Zde je, jak všichni společně pracují.

Identifikátor zabezpečení

Operační systémy Windows používají znaky SID, které představují všechny bezpečnostní zásady. SID jsou pouze řetězce s proměnnou délkou alfanumerických znaků, které představují stroje, uživatele a skupiny. SID jsou přidávány do seznamu ACL( Access Control Lists) při každém udělení oprávnění uživatele nebo skupiny souboru nebo složky. Za scénou jsou SID uloženy stejně jako všechny ostatní datové objekty v binárním formátu. Pokud však uvidíte SID v systému Windows, zobrazí se pomocí srozumitelnější syntaxe. Není časté, že uvidíte v systému Windows nějakou formu SID, nejčastějším scénářem je, když udělíte někoho oprávnění k prostředku, pak jeho uživatelský účet bude smazán, pak se v ACL zobrazí jako SID.Takže se podívejte na typický formát, ve kterém uvidíte SID v systému Windows.

instagram viewer

Označení, které uvidíte, má určitou syntaxi, níže jsou různé části SID v tomto zápisu.

  1. Předpona 'S'
  2. Číslo revize struktury
  3. Hodnota pravomocí 48-bitového identifikátoru
  4. Proměnný počet hodnot 32bitových podřízenců nebo relativních identifikátorů( RID)

Při použití mého SID na následujícím obrázku rozdělíme různépro lepší porozumění.

Struktura SID:

'S' - První složka identifikátoru SID je vždy "S".To je předznačeno všem SID a je zde informovat Windows, že následuje SID.
'1' - Druhá složka SID je číslo revize specifikace SID, pokud by specifikace SID změnila, poskytne zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
'5' - Třetí část identifikátoru SID se nazývá Authority Identifier. Toto definuje, v jakém rozsahu byl SID vytvořen. Možné hodnoty pro tyto části SID mohou být:

  1. 0 - Null Authority
  2. 1 - Světová autorita
  3. 2 - Místní úřad
  4. 3 - Autorita autorů
  5. 4 - Nestátní autorita
  6. 5 - NT úřad

'21 ' - Thečtvrtá složka je sub-autorita 1, hodnota "21" se používá ve čtvrtém poli pro určení, že následující sub-autority identifikují místní počítač nebo doménu.
'1206375286-251249764-2214032401' - Tito se nazývají sub-authority 2,3 a 4, resp. V našem příkladu se používá k identifikaci lokálního počítače, ale může být také identifikátorem pro doménu.
'1000' - Sub-autorita 5 je poslední součástí našeho SID a nazývá se RID( Relativní identifikátor), RID je relativní vůči každému principu zabezpečení. Vezměte prosím na vědomí, že všechny objekty definované uživatelem, které nejsou odeslányspolečnost Microsoft bude mít RID 1000 nebo vyšší.Bezpečnostní zásady

Zásada zabezpečení je vše, na které je připojen SID, mohou to být uživatelé, počítače a dokonce i skupiny. Zásady zabezpečení mohou být lokální nebo mohou být v kontextu domény. Spravujete zásady místní bezpečnosti prostřednictvím modulu snap-in Místní uživatelé a skupiny pod správou počítače. Chcete-li se dostat tam, klikněte pravým tlačítkem na zástupce počítače v nabídce Start a zvolte správu.

Chcete-li přidat nový princip zabezpečení uživatelů, můžete přejít do složky uživatelů a kliknout pravým tlačítkem myši a vybrat nového uživatele.

Pokud dvakrát kliknete na uživatele, můžete je přidat do skupiny zabezpečení na kartě Člen.

Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně.Klikněte pravým tlačítkem na bílý prostor a vyberte novou skupinu.

Sdílení oprávnění a oprávnění NTFS

V systému Windows existují dva typy oprávnění k souborům a složkám, nejprve existují oprávnění ke sdílení a za druhé jsou k dispozici oprávnění NTFS nazývaná také oprávnění zabezpečení.Vezměte na vědomí, že při sdílení složky ve výchozím nastavení je skupina "Everyone" udělena oprávnění ke čtení.Zabezpečení složek se obvykle provádí kombinací oprávnění ke sdílení a NTFS, pokud je tomu tak, je nutné si uvědomit, že platí vždy nejvíce omezující, například pokud je oprávnění sdílení nastavena na hodnotu Everyone = Read( což je výchozí hodnota)ale oprávnění NTFS umožňují uživatelům provádět změnu souboru, právo na sdílení bude mít přednost a uživatelům nebude povoleno provádět změny. Když nastavíte oprávnění, LSASS( Local Security Authority) řídí přístup k prostředku. Při přihlášení máte k dispozici přístupový token s identifikací SID, při přístupu k prostředku LSASS porovnává SID, který jste přidali do seznamu ACL( Access Control List) a pokud je SID v ACL, určí, zdapovolit nebo odmítnout přístup. Bez ohledu na to, jaké oprávnění používáte, existují rozdíly, takže se můžete podívat na lepší pochopení toho, kdy bychom měli použít co.

Oprávnění ke sdílení:

  1. Použijí se pouze uživatelé, kteří přistupují k prostředku prostřednictvím sítě.Neplatí, pokud se přihlásíte místně, například prostřednictvím terminálových služeb.
  2. Platí pro všechny soubory a složky sdíleného prostředku. Chcete-li poskytnout podrobnější schéma omezení, měli byste kromě sdílených oprávnění použít také oprávnění NTFS
  3. Pokud máte libovolné formáty FAT nebo FAT32, bude to pouze forma omezení, které máte k dispozici, protože oprávnění NTFS nejsouk dispozici v těchto systémech souborů.

oprávnění NTFS:

  1. Jediným omezením oprávnění NTFS je to, že mohou být nastaveny pouze na svazku, který je naformátován do systému souborů NTFS
  2. Nezapomeňte, že NTFS jsou kumulativní, což znamená, že efektivní oprávnění uživatelů jsou výsledkem kombinace přiděleného uživateleoprávnění a oprávnění všech skupin, do kterých uživatel patří.

Nové oprávnění ke sdílení

Windows 7 zakoupili novou "jednoduchou" techniku ​​sdílení.Možnosti se změnily z položky Číst, Změnit a Úplné řízení na.Čtení a čtení / zápis. Myšlenka byla součástí celé mentality domácí skupiny a usnadňuje sdílení složky pro lidi, kteří nejsou počítačem gramotní.To se provádí pomocí kontextové nabídky a sdílí snadno s vaší domovskou skupinou.

Pokud jste se chtěli podělit s někým, kdo není v domácí skupině, můžete vždy zvolit volbu "Specifické osoby. ..".Což by vyvolalo více "propracovaný" dialog. Kde můžete zadat konkrétní uživatele nebo skupinu.

Existují pouze dvě oprávnění, jak bylo dříve uvedeno, společně nabízejí schéma ochrany všech nebo nic pro vaše složky a soubory.

  1. Read oprávnění je možnost "vypadat, nedotýkejte se".Příjemci mohou otevřít, ale neměnit nebo smazat soubor.
  2. Čtení / zápis je volba "dělat cokoli".Příjemci mohou soubor otevřít, upravit nebo smazat.

Stará školní cesta

Starý sdílený dialog měl více možností a dal nám možnost sdílet složku pod jiným aliasem, což nám umožnilo omezit počet současných připojení i konfigurovat ukládání do mezipaměti.Žádná z těchto funkcí není v systému Windows 7 ztracena, ale spíše je skrytá pod volbou "Pokročilé sdílení".Pokud klepnete pravým tlačítkem myši na složku a přejdete na její vlastnosti, můžete na kartě sdílení najít tato nastavení "Pokročilé sdílení".

Pokud klepnete na tlačítko "Rozšířené sdílení", které vyžaduje pověření místního správce, můžete konfigurovat všechna nastavení, která jste obeznámili s předchozími verzemi systému Windows.

Pokud kliknete na tlačítko oprávnění, zobrazí se vám 3 nastavení, která všichni známe.

  1. Read oprávnění umožňuje prohlížet a otevírat soubory a podadresáře stejně jako spouštět aplikace. Neumožňuje však žádné změny.
  2. Upravit oprávnění umožňuje dělat cokoli, co dovoluje Read oprávnění, přidává také možnost přidávat soubory a podadresáře, odstraňovat podsložky a měnit data v souborech.
  3. Full Control je "dělat cokoliv" z klasických oprávnění, protože umožňuje provádět všechna předchozí oprávnění.Kromě toho vám dává pokročilé oprávnění NTFS, to platí pouze pro složky NTFS

oprávnění NTFS

oprávnění NTFS umožňují velmi granulární kontrolu nad soubory a složky. S tím lze říci, že množství granularity může být novým příznivcem skličující.Můžete také nastavit oprávnění NTFS na základě souboru a také podle složky. Chcete-li nastavit oprávnění NTFS v souboru, měli byste pravým tlačítkem myši a přejděte na soubory souborů, kam budete muset přejít na kartu zabezpečení.

Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klepněte na tlačítko Upravit.

Jak můžete vidět, existuje spousta NTFS oprávnění, takže je můžete rozdělit. Nejprve se podíváme na oprávnění NTFS, které můžete nastavit v souboru.

  1. Full Control umožňuje číst, psát, upravovat, provádět, měnit atributy, oprávnění a přebírat vlastnictví souboru.
  2. Modifikace umožňuje číst, psát, upravovat, provádět a měnit atributy souboru.
  3. Čtení &Spustit vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru a spustit soubor, pokud je jeho program.
  4. Read vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
  5. Write vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.

oprávnění NTFS pro složky mají mírně odlišné možnosti, takže se na ně můžete podívat.

  1. Úplné řízení umožňuje číst, psát, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů uvnitř.
  2. Modifikace umožňuje číst, psát, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v rámci.
  3. Přečtěte si &Execute vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastník a oprávnění pro soubory ve složce a spustit soubory ve složce.
  4. Seznam složek obsahu vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastník a oprávnění pro soubory ve složce.
  5. Read vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru.
  6. Write umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.

Dokumentace společnosti Microsoft také uvádí, že "List Folder Contents" umožňuje spouštět soubory ve složce, ale budete muset povolit "Read &Execute ", abyste tak učinili. Je to velmi zmatečně zdokumentované povolení.

Shrnutí

Souhrnně, uživatelská jména a skupiny jsou reprezentace alfanumerického řetězce s názvem SID( Security Identifier), Share a NTFS oprávnění jsou svázány s těmito identifikátory SID.Sdílení oprávnění kontroluje LSSAS pouze při přístupu přes síť, zatímco oprávnění NTFS jsou platná pouze na místních počítačích. Doufám, že jste všichni dobře rozuměli, jak je implementace zabezpečení souborů a složek v systému Windows 7 implementována. Máte-li jakékoli dotazy, můžete se v komentářích ozvat.