7Jul

Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia

Oletko koskaan yrittänyt selvittää kaikki oikeudet Windowsissa? Osakeoikeuksia, NTFS-käyttöoikeuksia, kulunvalvontaluetteloita ja paljon muuta. Näin he työskentelevät yhdessä.

Turvatunniste

Windows-käyttöjärjestelmät käyttävät SID-tunnuksia kaikkien turvallisuusperiaatteiden esittämiseen. SID-tunnukset ovat vain muuttuvia pituisia aakkosnumeerisia merkkejä, jotka edustavat koneita, käyttäjiä ja ryhmiä.SID-tunnukset lisätään ACL-tiedostoihin( Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle luvan tiedostoon tai kansioon. Kohdan taustalla olevat SID-tiedot tallennetaan samalla tavoin kuin kaikki muut tietoobjektit ovat binaarissa. Kuitenkin, kun näet SID: n Windowsissa, se näkyy luettavamman syntaksin avulla. Usein ei ole tapana, että näet minkä tahansa SID-muodon Windowsissa, yleisimpiä skenaarioita on, kun annat jonkun resurssin luvan, sitten heidän käyttäjätunnuksensa poistetaan, ja se näkyy ACL: ssä SID: ksi. Joten voit tarkastella tyypillistä muotoa, jossa näet SID-osoitteet Windowsissa.

Huomautus, jonka näet, vie tietynlaisen syntaksin, alla on tämän merkinnän SID: n eri osat.

  1. S-etuliite
  2. Rakenteen tarkistusnumero
  3. 48-bittinen tunnistevirran arvo
  4. 32-bittisen alijärjestelmän tai suhteellisen tunnisteen( RID) arvojen muuttuva määrä

Alla olevan kuvan SID-tunnuksen avulla hajotamme eriosia saadakseen paremman käsityksen.

SID-rakenne:

'S' - SID: n ensimmäinen komponentti on aina 'S'.Tämä on etusijalla kaikkiin SID-osoitteisiin ja on olemassa tietoja Windowsille, että seuraava on SID.
'1' - SID: n toinen komponentti on SID-spesifikaation tarkistusnumero, jos SID-spesifikaation oli tarkoitus muuttaa se antaisi taaksepäin yhteensopivuuden. Windows 7: n ja Server 2008 R2: n mukaan SID-määritys on vielä ensimmäisessä versiossa.
'5' - SID: n kolmannen osan nimi on Identifier Authority. Tämä määrittelee, missä määrin SID on luotu. Mahdolliset arvot SID: n tämän osan osiin voivat olla:

  1. 0 - nollaviranomainen
  2. 1 - Maailman viranomainen
  3. 2 - paikallisviranomainen
  4. 3 - luojan viranomainen
  5. 4 - ei-ainutkertainen viranomainen
  6. 5 - NT-viranomainen

'21' -neljäsosa on auktoriteetti 1, arvoa "21" käytetään neljää kenttää määriteltäessä, että seuraavien alivaltioiden viranomaiset tunnistavat paikallisen koneen tai verkkotunnuksen.
'1206375286-251249764-2214032401' - Näitä kutsutaan alivaltaan 2,3 ja vastaavasti 4.Esimerkissämme käytetään paikallisen koneen tunnistamista, mutta se voi olla myös Domain-tunniste.
'1000' - Alivaltio 5 on SID: in viimeinen osa ja sitä kutsutaan RID( Relative Identifier), RID on suhteessa jokaiseen tietoturvaperiaatteeseen. Huomaa, että kaikki käyttäjän määrittelemät kohteet, joita ei ole lähetettyMicrosoftin RID-arvo on 1000 tai suurempi.

Turvallisuusperiaatteet

Turvallisuusperiaate on mikä tahansa, johon on liitetty SID, nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä.Turvallisuusperiaatteet voivat olla paikallisia tai olla verkkotunnuksen yhteydessä.Hallitset paikallisia turvallisuusperiaatteita paikallisten käyttäjien ja ryhmien napsauttamalla, tietokonehallinnan alla. Pääset oikeaan hiiren kakkospainikkeella tietokoneen pikavalintaan aloitusvalikossa ja valitse hallita.

Uuden käyttäjän tietoturvaperiaatteen lisäämiseksi voit siirtyä käyttäjien kansioon ja napsauttaa hiiren kakkospainiketta ja valita uuden käyttäjän.

Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehteen Security Groupiin.

Voit luoda uuden tietoturvaryhmän siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse uusi ryhmä.

Osakeoikeudet ja NTFS-käyttöoikeus

Windowsissa on kahdenlaisia ​​tiedosto- ja kansion käyttöoikeuksia, ensinnäkin käyttöoikeudet ja toisaalta NTFS-käyttöoikeuksia, joita kutsutaan myös suojauslupiksi. Huomaa, että kun olet jakanut kansion oletuksena, "Jokaiselle" -ryhmälle annetaan lukulupa. Kansioiden suojaus tehdään yleensä Share- ja NTFS-käyttöoikeuksien yhdistelmällä. Jos näin on, on tärkeää muistaa, että kaikkein rajoittavin koskee aina esimerkiksi, jos osakeoikeus on asetettu kohtaan Everyone = Read( joka on oletusarvo).mutta NTFS-käyttöoikeus antaa käyttäjille mahdollisuuden muuttaa tiedostoa, Osuusoikeus ottaa etusija ja käyttäjät eivät saa tehdä muutoksia. Kun määrität oikeudet, LSASS( Local Security Authority) valvoo pääsyn resurssiin. Kun kirjaudut sisään, saat käyttöoikeuskoodin SID: lläsi, kun käytät resurssia LSASS vertaa ACL: ään( Access Control List) lisätyn SID: n ja jos SID on ACL: llä, se määrittää, onkosallia tai estää pääsy. Riippumatta siitä, mitä käyttöoikeuksia käytätte, on eroja, jotta katsomme paremman käsityksen siitä, milloin meidän pitäisi käyttää mitä.

Osuusoikeudet:

  1. Käytetään vain käyttäjiin, jotka käyttävät resurssia verkon kautta. Ne eivät sovi, jos kirjaudut paikallisesti, esimerkiksi päätelaitteiden kautta.
  2. Se koskee kaikkia jaettuja tiedostoja ja kansioita. Jos haluat antaa rakeisempia rajoituksia, sinun on käytettävä NTFS-käyttöoikeutta jaetun lisenssin lisäksi.
  3. Jos sinulla on FAT- tai FAT32-tiedostomuotoja, tämä on ainoa käytettävissä oleva rajoitus, koska NTFS-käyttöoikeudet eivät olesaatavilla kyseisissä tiedostojärjestelmissä.

NTFS -oikeudet:

  1. NTFS-käyttöoikeuksien ainoa rajoitus on, että ne voidaan asettaa vain NTFS-tiedostojärjestelmälle
  2. -tiedostomuodolle. Muista, että NTFS on kumulatiivinen, mikä tarkoittaa, että käyttäjien todelliset käyttöoikeudet ovat seurausta käyttäjän yhdistämisestäoikeudet ja oikeudet mihin tahansa ryhmään, johon käyttäjä kuuluu.

Uudet käyttöoikeudet

Windows 7 osti uutta "helppoa" jakamismenetelmää.Vaihtoehdot muuttuvat luku-, muutos- ja täydellisestä valvonnasta kohteeseen. Lue ja Lue / Kirjoita. Ajatus oli osa koko kotiryhmän ajattelutapaa ja helpottaa jakamista kansioon, joka ei ole tietokoneella lukemattomia ihmisiä.Tämä tapahtuu kontekstivalikon kautta ja jakaa helposti kotiryhmän kanssa.

Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset. .." -vaihtoehdon. Mikä tuo esiin "enemmän" dialogia. Missä voit määrittää tietyn käyttäjän tai ryhmän.

Ainoastaan ​​kaksi lupaa on mainittu edellä, yhdessä ne tarjoavat kaikki tai ei mitään suojausmenetelmää kansioille ja tiedostoille.

  1. Lue -lupa on "look, do not touch" -vaihtoehto. Vastaanottajat voivat avata, mutta ei muokata tai poistaa tiedostoa.
  2. Read / Write on "tee mitään" vaihtoehto. Vastaanottajat voivat avata, muokata tai poistaa tiedoston.

Old School Way

Vanhalla osavalintaikkunalla oli enemmän vaihtoehtoja ja annettiin mahdollisuus jakaa kansio erilaisen aliaksen alla, minkä ansiosta voimme rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistin. Mikään näistä toiminnoista ei häviä Windows 7: ssä, vaan piilotetaan vaihtoehtoon "Advanced Sharing".Jos napsautat hiiren kakkospainikkeella kansiota ja siirtymällä sen ominaisuuksiin, näet nämä "Lisäasetukset" -asetukset jakamisen välilehdessä.

Jos napsautat "Lisäasetukset" -painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut aiemmissa Windows-versioissa.

Jos klikkaat käyttöoikeudet -painiketta, näet 3 asetusta, joista me kaikki tunnemme.

  1. Lue -käyttöoikeus voit tarkastella ja avata tiedostoja ja alihakemistoja sekä suorittaa sovelluksia. Se ei kuitenkaan salli mitään muutoksia.
  2. Muokkaa -lupaa voit tehdä mitä tahansa Read -oikeuden sallimalla, se myös lisää kykyä lisätä tiedostoja ja alihakemistoja, poistaa alikansioita ja muuttaa tiedostojen tietoja.
  3. Täydellinen hallinta on klassisten käyttöoikeuksien "tee mitään", koska sen avulla voit tehdä minkä tahansa aiemman käyttöoikeuden. Lisäksi se antaa sinulle kehittyneen NTFS-käyttöoikeuden, tämä koskee vain NTFS-kansioita.

NTFS-käyttöoikeudet

NTFS-käyttöoikeudet mahdollistavat erittäin rakeisen hallinnan tiedostoista ja kansioista. Siinä sanotaan, että rakeisuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet per tiedostoperusteisesti sekä per kansion perusteella. Jos haluat asettaa NTFS-tiedoston käyttöoikeuden, napsauta hiiren kakkospainikkeella ja siirry tiedostojen ominaisuuksiin, joihin sinun on mentävä suojausvälilehdelle.

Käyttäjän tai ryhmän NTFS-käyttöoikeuksien muokkaaminen napsauta muokkauspainiketta.

Kuten näet, NTFS-käyttöoikeudet ovat melko paljon, joten ne voidaan jakaa. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.

  1. Full Control : n avulla voit lukea, kirjoittaa, muokata, suorittaa, muuttaa attribuutteja, käyttöoikeuksia ja ottaa omistukseen tiedoston.
  2. Muokkaa avulla voit lukea, kirjoittaa, muokata, suorittaa ja muuttaa tiedoston ominaisuuksia.
  3. Lue &Suorita : n avulla voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet ja suorittaa tiedoston, jos sen ohjelma on.
  4. Lue avulla voit avata tiedoston, tarkastella sen ominaisuuksia, omistajan ja oikeuksia.
  5. Kirjoita : llä voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

NTFS Kansioiden käyttöoikeudet ovat hieman eri vaihtoehtoja, joten voit tarkastella niitä.

  1. Täydellinen hallinta : ssä voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja, muuttaa attribuutteja, käyttöoikeuksia ja ottaa omistukseen kansiossa tai tiedostoissa.
  2. Muokkaa : n avulla voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja ja muuttaa kansion tai tiedostojen ominaisuuksia.
  3. Lue &Suorita : llä voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä käyttää tiedostoja kansion sisällä.
  4. -luettelon kansion sisältö : n avulla voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet.
  5. Lue avulla voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet.
  6. Write : llä voit kirjoittaa tietoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

Microsoftin dokumentaatiossa todetaan myös, että "Luettelo-kansion sisällön" avulla voit suorittaa tiedostoja kansion sisällä, mutta sinun on edelleen otettava käyttöön "Luettu &Suorita "sen tekemiseksi. Se on hyvin hämmentävästi dokumentoitu lupa.

Yhteenveto

Yhteenvetona käyttäjätunnukset ja ryhmät ovat aakkosnumeerisen merkkijonon( SID)( Security Identifier) ​​kutsumia, Share ja NTFS-käyttöoikeudet on sidottu näihin SID-osoitteisiin. LSSAS tarkistaa oikeudet vain, kun niitä käytetään verkon kautta, kun taas NTFS-käyttöoikeudet ovat voimassa vain paikallisissa koneissa. Toivon, että teillä kaikilla on vankka käsitys siitä, miten Windows 7: n tiedostojen ja kansioiden suojaus toteutetaan. Jos sinulla on kysyttävää, voit kommentoida vapaasti.