7Jul
Jeste li ikada pokušali shvatiti sve dozvole u sustavu Windows? Postoje dopuštenja za dijeljenje, dozvole za NTFS, popise za kontrolu pristupa i još mnogo toga. Evo kako oni rade zajedno.
Sigurnosni identifikator
Operacijski sustavi Windows koriste SID-ove za zastupanje svih sigurnosnih načela. SID-ovi su samo duljine dužine promjenjive dužine alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove( Popis za kontrolu pristupa) svaki put kada dodijelite korisniku ili grupi dopuštenje za datoteku ili mapu. Iza prizora SID se pohranjuju na isti način kao i svi ostali podatkovni objekti, u binarnom. Međutim, kada vidite SID u sustavu Windows, bit će prikazana pomoću čitljivije sintakse.Često nećete vidjeti bilo koji oblik SID-a u sustavu Windows, najčešći scenarij je kada dopustite nekome dopuštenje za resurs, a zatim se njihov korisnički račun briše, a zatim će se pojaviti kao SID u ACL-u. Tako možete pogledati tipičan format u kojemu ćete vidjeti SID-ove u sustavu Windows.
Zapis koji ćete vidjeti ima određenu sintaksu, ispod su različiti dijelovi SID-a u ovoj notaciji.
- Predbroj "S"
- Broj revizija strukture
- Vrijednost autentičnosti 48-bitnog broja identifikatora
- Varijabilni broj 32-bitnog pod-autoriteta ili relativne identifikatora( RID) vrijednosti
Pomoću SID-a na donjoj slici raznijeli smo različiteda biste bolje razumjeli.
SID struktura:
'S' - Prva komponenta SID-a je uvijek 'S'.Ovo je prefiksno za sve SID-ove i postoji li obavijestiti Windowse da ono što slijedi je SID. '1' - Druga komponenta SID-a je broj revizije specifikacije SID, ako je specifikacija SID trebala promijeniti, omogućila bi unatrag kompatibilnost. Od sustava Windows 7 i Server 2008 R2, specifikacija SID još uvijek je u prvoj reviziji.
'5' - Treći odjeljak SID-a se zove Identifier Authority. Ovo određuje u kojem je opsegu generiran SID.Moguće vrijednosti za ove sekcije SID-a mogu biti:
- 0 - Null Authority
- 1 - Svjetska nadležnost
- 2 - Lokalna uprava
- 3 - Tijelo za autore
- 4 - Jedinstvena nadležnost
- 5 - NT Autoritet
'21' -četvrta komponenta je pod-autoritet 1, vrijednost "21" koristi se u četvrtoj polju kako bi odredio da subautenti koji slijede identificiraju lokalni stroj ili domene.
'1206375286-251249764-2214032401' - To se naziva podređenost 2,3 i 4.U našem primjeru ovo se koristi za prepoznavanje lokalnog stroja, ali može biti i identifikator domene.
'1000' - Potvrda 5 je posljednja komponenta našeg SID-a i naziva se RID( relativni identifikator), RID je u odnosu na svaki princip sigurnosti, imajte na umu da svi korisnički definirani objekti, oni koji se ne isporučujuMicrosoft će imati RID od 1000 ili više. Sigurnosna načela
Načelo sigurnosti je sve što je priključeno na SID, to mogu biti korisnici, računala i čak i grupe. Načela sigurnosti mogu biti lokalna ili biti u kontekstu domene. Upravljajte lokalnim sigurnosnim načelima putem dodatka lokalnih korisnika i grupa, pod upravljanjem računalom. Da biste tamo stigli, desnom tipkom miša kliknite prečac na računalu u izborniku Start i odaberite Upravljanje.
Da biste dodali novi princip zaštite korisnika, možete otići do mape korisnika i desnim klikom i odabrati novi korisnik.
Ako dvaput kliknete na korisnika, možete ih dodati u sigurnosnu grupu na kartici Član.
Da biste stvorili novu sigurnosnu skupinu, idite do mape Grupe s desne strane. Desni klik na bijeli prostor i odaberite novu grupu.
Dozvole za dijeljenje i dozvola NTFS
U sustavu Windows postoje dvije vrste dozvola za datoteke i mape: prvo postoje dozvole za dijeljenje, a drugo postoje dozvole za NTFS koje se nazivaju i dozvola za sigurnost. Imajte na umu da kada dijelite mapu prema zadanim postavkama, grupa "Svatko" dobiva dopuštenje za čitanje. Sigurnost na mapama obično se obavlja kombinacijom Dozvola za dijeljenje i NTFS, ako je to slučaj, važno je zapamtiti da se uvijek restriktivno uvijek primjenjuje, na primjer, ako je dopuštenje za dijeljenje postavljeno na Svatko = Čitanje( što je zadano)ali dozvola NTFS dopušta korisnicima da izvrše izmjenu datoteke, dozvola za dijeljenje će imati prednost i korisnicima neće biti dopušteno izvršiti promjene. Kada postavite dopuštenja, LSASS( Local Security Authority) kontrolira pristup resursu. Kada se prijavite, dobivate pristupni tok s vašim SID-om, kada pristupate resursu, LSASS uspoređuje SID koji ste dodali ACL-u( Popis kontrole pristupa) i ako je SID na ACL-u, određuje hoće lidopustiti ili odbiti pristup. Bez obzira na dozvole koje upotrebljavate postoje razlike pa omogućuje da pogledate kako bismo bolje razumjeli kada bismo trebali koristiti ono što.
Dijele dozvole:
- Primijenite samo korisnike koji pristupaju resursima putem mreže. Oni se ne primjenjuju ako se prijavite lokalno, na primjer putem terminalskih usluga.
- Primjenjuje se na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti više granularne vrste ograničenja shema, trebate koristiti NTFS Dopuštenje uz dijeljene dozvole
- Ako imate bilo koji oblikovani volumen FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan, budući da NTFS Dozvole nisudostupni na tim datotekama.
NTFS Dozvole:
- Jedino ograničenje dozvolama NTFS je da se mogu postaviti samo na volumen koji je formatiran u NTFS datotečni sustav
- Imajte na umu da su NTFS kumulativni, što znači da su učinkovite dozvole korisnika rezultat kombiniranja dodijeljenog korisnikadopuštenja i dopuštenja bilo koje grupe kojoj korisnik pripada.
Dopuštenja za nove dozvole
Windows 7 kupio je novu "jednostavnu" tehniku dijeljenja. Opcije su izmijenjene iz čitanja, izmjene i potpune kontrole u.Čitanje i čitanje / pisanje. Ideja je bila dio cijelog mentaliteta Home grupe i olakšava dijeljenje mape za osobe koje nisu pismene. To se vrši putem kontekstnog izbornika i jednostavno dijeli sa svojom kućnom grupom.
Ako želite podijeliti s nekim tko nije u kućnoj skupini, uvijek možete odabrati opciju "Specifični ljudi. ..".Što bi donijelo više "razrađen" dijalog. Gdje možete odrediti određenog korisnika ili grupe.
Postoji samo dva dopuštenja kao što je prethodno spomenuto, zajedno nude sve ili ništa zaštitne sheme za vaše mape i datoteke.
- Pročitajte dozvolu je opcija "izgled, ne dirajte".Primatelji mogu otvoriti, ali ne mijenjati ili izbrisati datoteku.
- Čitanje / pisanje je opcija "učiniti sve".Primatelji mogu otvoriti, mijenjati ili izbrisati datoteku.
Old School Way
Stari dijalog dijeljenja imao je više mogućnosti i omogućio nam dijeljenje mape pod drugim pseudonimom, omogućilo nam je ograničavanje broja istovremenih veza kao i konfiguriranje predmemoriranja. Nijedna od tih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje".Ako desnom tipkom miša kliknete mapu i prijeđete na njezina svojstva, možete pronaći ove postavke "Napredno dijeljenje" pod karticom za dijeljenje. Ako kliknete gumb "Napredno dijeljenje", koji zahtijeva vjerodajnice lokalnih administratora, možete konfigurirati sve postavke koje ste upoznali u prethodnim verzijama sustava Windows.
Ako kliknete gumb dopuštenja, prikazat će se 3 postavke za koje svi znamo.
- Čitanje dozvole omogućuje pregled i otvaranje datoteka i poddirektorija te izvršavanje aplikacija. Međutim, ne dopušta nikakve izmjene.
- Izmjena dozvola omogućuje vam da učinite sve što Read dozvola dopušta, ona također dodaje mogućnost dodavanja datoteka i poddirektorija, brisanje podmapa i promjenu podataka u datotekama.
- potpuna kontrola je "učinite sve" klasičnih dopuštenja, jer vam omogućuje da učinite bilo koju i prethodnu dozvolu. Osim toga daje vam naprednu promjenu NTFS dopuštenja, to se odnosi samo na NTFS mape
NTFS Dozvole
NTFS dozvola dopuštaju vrlo granularnu kontrolu nad datotekama i mapama. Uz to, rekao je da se količina granularnosti može obeshrabriti novom korisniku. Također možete postaviti dozvolu NTFS po bazama podataka, kao i po mapi osnovi. Da biste postavili NTFS Dozvolu na datoteku, trebali biste kliknuti desnom tipkom miša i otići do svojstava datoteka na kojima ćete morati prijeći na sigurnosnu karticu.
Za uređivanje dozvola NTFS za korisnika ili grupu kliknite gumb za uređivanje.
Kao što vidite, postoje dosta dozvola NTFS-a, tako da ih možete slomiti. Najprije ćemo pogledati dozvole NTFS koje možete postaviti u datoteci.
- potpuna kontrola omogućuje čitanje, pisanje, izmjenu, izvršavanje, promjenu atributa, dopuštenja i preuzimanje vlasništva nad datotekom.
- Modify omogućuje čitanje, pisanje, izmjenu, izvršavanje i promjenu atributa datoteke.
- Read &Izvrši omogućit će vam prikaz podataka, atributa, vlasnika i dopuštenja datoteke i pokretanje datoteke ako je njegov program.
- Pročitajte će vam omogućiti da otvorite datoteku, pogledate njegove atribute, vlasnika i dopuštenja.
- Write omogućit će vam pisanje podataka u datoteku, dodavanje u datoteku i čitanje ili promjenu atributa.
NTFS Dozvole za mape imaju blago različite opcije pa ih možete pogledati.
- Full Control omogućuje čitanje, pisanje, mijenjanje i izvršavanje datoteka u mapi, promjenu atributa, dopuštenja i preuzimanje vlasništva nad mapom ili datotekama.
- Modify omogućuje čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi i promjenu atributa mape ili datoteka unutar.
- Read &Izvrši omogućit će vam prikaz sadržaja i prikaz podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape i pokretanje datoteka unutar mape. Sadržaj mape Sadržaj će vam omogućiti prikaz sadržaja mape i prikaz podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape.
- Pročitajte omogućit će vam prikaz podataka, atributa, vlasnika i dozvola datoteke.
- Write će vam omogućiti da zapišete podatke u datoteku, dodate u datoteku i pročitate ili promijenite njegove atribute.
Microsoftova dokumentacija također navodi da će "Sadržaj mape popisa" omogućiti izvršavanje datoteka unutar mape, ali ćete i dalje morati omogućiti "Read &Izvršite "kako biste to učinili. To je vrlo konfuzno dokumentirano dopuštenje.
Sažetak
U sažetku, korisnička imena i skupine predstavljaju alfanumerički niz nazvan SID( Security Identifier), Dijele i NTFS Dozvole su vezane za te SID-ove. Dozvole za dijeljenje provjerava LSSAS samo kada se pristupa preko mreže, dok su dozvole za NTFS valjane samo na lokalnim računalima. Nadam se da svi dobro razumijete kako se implementira sigurnosna zaštita datoteka i mapa u sustavu Windows 7.Ako imate bilo kakvih pitanja slobodno zvučite u komentarima.