7Jul

Sådan forstår du de forvirrende Windows 7 File / Share Tilladelser

Har du nogensinde prøvet at finde ud af alle tilladelserne i Windows? Der er del tilladelser, NTFS tilladelser, adgangskontrol lister og meget mere. Sådan arbejder de sammen.

Sikkerhedsidentifikatoren

Windows-operativsystemerne bruger SID'er til at repræsentere alle sikkerhedsprincipper. SID'er er kun strenge med variabel længde med alfanumeriske tegn, der repræsenterer maskiner, brugere og grupper. SID'er tilføjes til ACL'er( Access Control Lists), hver gang du giver en bruger eller gruppe tilladelse til en fil eller mappe. Bagved scenen gemmes SID'erne på samme måde som alle andre dataobjekter er i binære. Men når du ser et SID i Windows, vises det med en mere læsbar syntaks. Det er ikke ofte, at du vil se nogen form for SID i Windows. Det mest almindelige scenario er, når du giver nogen tilladelse til en ressource, så slettes deres brugerkonto, så vises den som et SID i ACL.Så lad os se på det typiske format, hvor du vil se SID'er i Windows.

Notationen, som du vil se, tager en vis syntaks, herunder er de forskellige dele af et SID i denne notation.

  1. Et 'S'-præfiks
  2. Strukturrevisionsnummer
  3. En 48-bit identifikationsmyndighedsværdi
  4. Et variabelt antal 32-biters undermyndighed eller relative identifikationsværdier( RID) værdier

Ved hjælp af mit SID i billedet nedenfor vil vi opdele de forskelligesektioner for at få en bedre forståelse.

SID-strukturen:

'S' - Den første komponent i et SID er altid en 'S'.Dette er prefixed til alle SID'er og er der for at oplyse Windows om, at det følgende er et SID.
'1' - Den anden komponent i et SID er revisionsnummeret til SID-specifikationen, hvis SID-specifikationen skulle ændres, ville den give kompatibilitet bagud. I Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
'5' - Den tredje sektion af et SID hedder identifikationsmyndigheden. Dette definerer i hvilket omfang SID'en blev genereret. Mulige værdier for disse sektioner i SID kan være:

  1. 0 - Null Authority
  2. 1 - Verdensmyndighed
  3. 2 - Lokal myndighed
  4. 3 - Skabsmyndighed
  5. 4 - Ikke-unik myndighed
  6. 5 - NT Authority

'21' - Denvidere komponent er undermyndighed 1, anvendes værdien '21' i det forrige felt for at angive, at de undermyndigheder, der følger, identificerer den lokale maskine eller domænet.
'1206375286-251249764-2214032401' - Disse kaldes undermyndighed 2,3 og 4 henholdsvis. I vores eksempel bruges dette til at identificere den lokale maskine, men det kan også være identifikatoren for et domæne.
'1000' - Undermyndighed 5 er den sidste komponent i vores SID og kaldes RID( Relative Identifier), RID er i forhold til hvert sikkerhedsprincip. Bemærk venligst, at alle brugerdefinerede objekter, dem, der ikke afsendesaf Microsoft vil have et RID på 1000 eller derover.

Sikkerhedsprincipper

Et sikkerhedsprincip er noget, der har et SID knyttet til det, det kan være brugere, computere og lige grupper. Sikkerhedsprincipper kan være lokale eller være i domæne sammenhæng. Du håndterer lokale sikkerhedsprincipper gennem lokalindstillingerne for brugere og grupper under computerstyring. For at komme derhen skal du højreklikke på computerens genvej i startmenuen og vælge administrere.

For at tilføje et nyt brugersikkerhedsprincip kan du gå til brugerens mappe og højreklikke og vælge ny bruger.

Hvis du dobbeltklikker på en bruger, kan du tilføje dem til en sikkerhedsgruppe på fanen Medlem af.

For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper på højre side. Højreklik på det hvide rum og vælg ny gruppe.

Del Tilladelser og NTFS Tilladelse

I Windows findes der to typer fil- og mappefunktioner, for det første er der del tilladelser, og for det andet er der også NTFS-tilladelser, der også kaldes sikkerhedsrettigheder. Bemærk, at når du deler en mappe som standard, er "Alle" -gruppen givet tilladelse til læsning. Sikkerhed på mapper udføres normalt med en kombination af Share og NTFS Tilladelse, hvis det er tilfældet, at det er vigtigt at huske, at den mest restriktive altid gælder, for eksempel hvis deletilladelsen er indstillet til Alle = Læs( som er standard)men NTFS Tilladelsen tillader brugere at ændre på filen, vil Del Tilladelsen foretrække, og brugerne vil ikke få lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS( Local Security Authority) adgang til ressourcen. Når du logger på, får du et adgangstegn med dit SID på det, når du går til adgangen til ressourcen, sammenligner LSASS det SID, du tilføjede til ACL( Access Control List), og hvis SID'en er på ACL, bestemmer den, omTillad eller nægt adgang. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os kigge for at få en bedre forståelse af, hvornår vi skal bruge hvad.

Del Tilladelser:

  1. Gælder kun for brugere, der har adgang til ressourcen via netværket. De gælder ikke, hvis du logger ind lokalt, f.eks. Via terminaltjenester.
  2. Den gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere granuleret form for begrænsning, skal du bruge NTFS-tilladelse ud over delte tilladelser
  3. Hvis du har formaterede FAT- eller FAT32-mængder, er dette den eneste form for begrænsning, der er tilgængelig for dig, da NTFS-tilladelser ikke ertilgængelig på disse filsystemer.

NTFS-tilladelser:

  1. Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på et lydstyrke, der er formateret til NTFS-filsystemet
  2. Husk at NTFS er kumulative, hvilket betyder, at brugerens effektive tilladelser er resultatet af at kombinere brugerens tildeltetilladelser og tilladelser fra grupper, brugeren tilhører.

De Nye Dele Tilladelser

Windows 7 købt sammen med en ny "nem" delteknik. Indstillingerne ændret fra Læs, Skift og Fuld kontrol til. Læs og læs / skriv. Ideen var en del af hele hjemmegruppens mentalitet og gør det nemt at dele en mappe til ikke-computerbaserede mennesker. Dette gøres via kontekstmenuen og deler nemt med din hjemmegruppe.

Hvis du ønskede at dele med en person, der ikke er hjemme i gruppen, kan du altid vælge "Specifikke mennesker".Hvilket ville bringe en mere uddybet dialog. Hvor du kunne angive en bestemt bruger eller gruppe.

Der er kun to tilladelser som tidligere nævnt, sammen tilbyder de et helt eller intet beskyttelsesprogram til dine mapper og filer.

  1. Læs tilladelse er "look, touch ikke" indstillingen. Modtagere kan åbne, men ikke ændre eller slette en fil.
  2. Læs / Skriv er "gør noget" mulighed. Modtagere kan åbne, ændre eller slette en fil.

Den gamle skolevej

Den gamle deledialog havde flere muligheder og gav os mulighed for at dele mappen under et andet alias, det tillod os at begrænse antallet af samtidige forbindelser samt konfigurere caching. Ingen af ​​denne funktionalitet er tabt i Windows 7, men er snarere skjult under en mulighed kaldet "Advanced Sharing".Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse indstillinger "Avanceret deling" under fanen deling.

Hvis du klikker på knappen "Advanced Sharing", som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, du var bekendt med i tidligere versioner af Windows.

Hvis du klikker på tilladelsesknappen, bliver du præsenteret for de 3 indstillinger, som vi alle er bekendt med.

  1. Læs -tilladelse giver dig mulighed for at se og åbne filer og undermapper samt udføre programmer. Det tillader dog ikke, at der foretages ændringer.
  2. Ændring af -tilladelse giver dig mulighed for at gøre alt, hvad Læs -tilladelse tillader, det giver også mulighed for at tilføje filer og undermapper, slette undermapper og ændre data i filerne.
  3. Full Control er "gør noget" af de klassiske tilladelser, da det giver dig mulighed for at gøre alle de tidligere tilladelser. Derudover giver den dig den avancerede skiftende NTFS-tilladelse, dette gælder kun for NTFS-mapper

NTFS-tilladelser

NTFS-tilladelse giver mulighed for meget granulær kontrol over dine filer og mapper. Med det sagt kan mængden af ​​granularitet være skræmmende for en nykommer. Du kan også indstille NTFS-tilladelse pr. Filbasis samt per mappe. For at indstille NTFS-tilladelse til en fil skal du højreklikke og gå til filegenskaberne, hvor du skal gå til fanen Sikkerhed.

Hvis du vil redigere NTFS-tilladelserne for en bruger eller gruppe, skal du klikke på redigeringsknappen.

Som du måske ser, er der en hel del NTFS-tilladelser, så vi kan nedbryde dem. Først vil vi se på de NTFS-tilladelser, som du kan indstille på en fil.

  1. Full Control giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og tage ejerskab af filen.
  2. Modificer giver dig mulighed for at læse, skrive, ændre, udføre og ændre filens attributter.
  3. Læs &Udfør vil give dig mulighed for at vise filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
  4. Læs giver dig mulighed for at åbne filen, se dens attributter, ejer og tilladelser.
  5. Skriv giver dig mulighed for at skrive data til filen, føje til filen og læse eller ændre dens attributter.

NTFS Tilladelser til mapper har lidt forskellige muligheder, så vi kan se dem.

  1. Fuld kontrol giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og tage ejerskab af mappen eller filerne indenfor.
  2. Ændre giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen og ændre attributter af mappen eller filerne indenfor.
  3. Læs &Udfør giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen.
  4. Liste Folder Indhold giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen.
  5. Læs giver dig mulighed for at vise filens data, attributter, ejer og tilladelser.
  6. Skriv giver dig mulighed for at skrive data til filen, tilføje filen og læse eller ændre dens attributter.

I Microsofts dokumentation hedder det også, at "List Folder Contents" vil lade dig udføre filer i mappen, men det skal du stadig aktivere "Read &Udfør "for at gøre det. Det er en meget forvirrende dokumenteret tilladelse.

Sammendrag

Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet SID( Security Identifier), Share og NTFS Tilladelser er bundet til disse SID'er. Del Tilladelser kontrolleres kun af LSSAS, når de åbnes via netværket, mens NTFS-tilladelser kun er gyldige på de lokale maskiner. Jeg håber, at du alle har en god forståelse for, hvordan fil- og mappesikkerhed i Windows 7 er implementeret. Hvis du har spørgsmål, er du velkommen til at lette af i kommentarerne.