7Jul

Hogyan lehet megérteni azokat, akik zavarják a Windows 7-es fájlmegosztást?

Próbálta már kitalálni a Windows összes jogosultságát? Van megosztási jogosultságok, NTFS-engedélyek, hozzáférés-vezérlési listák és még sok más.Így működnek együtt együtt.

A biztonsági azonosító

A Windows operációs rendszerek SID-eket használnak az összes biztonsági alapelv bemutatására. A SID-ek csak olyan változó hosszúságú alfanumerikus karakterláncok, amelyek gépeket, felhasználókat és csoportokat képviselnek. A SID-ek az ACL-ekhez( Access Control Lists) kerülnek minden egyes alkalommal, amikor egy felhasználónak vagy egy csoportnak engedélyezi a fájlt vagy mappát. A jelenet mögött a SID-ek ugyanúgy tárolódnak, mint minden más adatobjektum binárisan. Azonban ha egy SID-t lát a Windows alatt, egy olvashatóbb szintaxis alkalmazásával fog megjelenni. Nem gyakran látja a SID bármely formáját a Windows rendszerben, a leggyakoribb eset az, amikor valaki engedélyt ad az erőforrásnak, majd a felhasználói fiókja törlődik, majd az SID-ként fog megjelenni az ACL-ben.Így nézze meg a tipikus formátumot, amelyen a SID-eket látja Windows alatt.

A jelzés, amelyet látni fog, egy bizonyos szintaxist tartalmaz, az alábbiakban a SID különböző részei ebben a jelölésben.

  2. 'S' előtag
  3. A 48 bites azonosító jogosultság értéke
  4. 32 bites alközponti vagy relatív azonosító( RID) értékek változó száma

Az alábbi képen lévő SID használatával feloszthatjuk a különbözőszakaszokat a jobb megértés érdekében.

A SID struktúra:

'S' - Az SID első komponense mindig 'S'.Ez minden SID-hez tartozik, és ott tájékoztatják a Windows-ot, hogy az alábbiak egy SID.
'1' - Az SID második összetevője a SID-specifikáció revíziószáma, ha a SID-specifikáció megváltoztatná, akkor visszafelé kompatibilis lenne. A Windows 7 és a Server 2008 R2 esetében az SID specifikáció még mindig az első változat.
'5' - Az SID harmadik szakaszát az azonosító hatóságnak hívják. Ez meghatározza, hogy a SID milyen tartományban jött létre. A SID ezen szakaszainak lehetséges értékei:

  1. 0 - érvénytelen hatóság
  2. 1 - nemzetközi hatóság
  3. 2 - helyi hatóság
  4. 3 - alkotói hatóság
  5. 4 - nem egyedi hatóság
  6. 5 - NT hatóság

'21' -A negyedik komponens az 1 alfelügyelet, a "21" értéket a negyedik mezőben használják annak meghatározására, hogy a későbbi hatóságok a helyi gépet vagy a tartományot azonosítják.
'1206375286-251249764-2214032401' - Ezek a 2.3. És 4. alpontok. Példánkban ez a helyi gép azonosítására szolgál, de lehet egy Domain azonosítója is.
'1000' - Az 5-ös alfalu az SID-ben szereplő utolsó összetevő és RID( Relative Identifier) ​​néven ismert, a RID az egyes biztonsági elvekre vonatkoztatva. Kérjük, vegye figyelembe, hogy a felhasználó által definiált objektumok,a Microsoftnak 1000 vagy annál nagyobb RID-értéke lesz.

Biztonsági alapelvek

A biztonsági elv minden olyan eszköz, amely SID-hez van csatolva, ezek lehetnek felhasználók, számítógépek és akár csoportok. A biztonsági alapelvek lehetnek helyiek vagy a tartományi környezetben lehetnek. A Helyi felhasználók és csoportok beépülő modul segítségével kezelheti a helyi biztonsági alapelveket a számítógépes kezelés alatt. Ahhoz, hogy odaérjünk, jobb gombbal kattintsunk a számítógép parancsikonjára a start menüben, és válasszuk a menüt.

Új felhasználói biztonsági elvek hozzáadásához léphet a felhasználók mappájába, és jobb klikkeléssel és új felhasználó kiválasztásával.

Ha duplán kattintasz egy felhasználóra, felveheti őket a Biztonsági csoportba a Tagok lapon.

Új biztonsági csoport létrehozásához keresse meg a jobb oldali Groups mappát. Jobb egérgombbal kattints a fehér területre, és válassz ki új csoportot.

Megosztási jogosultságok és NTFS engedélyek

A Windows-ban kétféle fájl- és mappaengedély létezik, először léteznek a Share Permissions( Megosztás engedélyek) és másodlagosan az NTFS jogosultságok is( Security Permissions) néven. Vegye figyelembe, hogy ha alapértelmezés szerint megoszt egy mappát, a "Mindenki" csoport megkapja az olvasási engedélyt. A mappák biztonsága általában a Share és NTFS Engedélyezés kombinációjával történik, ha ez a helyzet, akkor feltétlenül fontos megjegyezni, hogy a legszigorúbbak mindig érvényesek, például ha a megosztás engedélye a Mindenki = Read( amely az alapértelmezett),de az NTFS engedély lehetővé teszi a felhasználók számára, hogy változtassanak a fájlon, a Share Permission preferenciát vállal, és a felhasználóknak nem szabad változtatni. Az engedélyek beállításakor az LSASS( Helyi Biztonsági Hatóság) vezérli az erőforráshoz való hozzáférést. Amikor bejelentkezik, hozzáférési tokennel rendelkezik az Ön SID-jével, amikor megkeresi az erőforrást, az LSASS összehasonlítja az ACL-hez( Access Control List) hozzáadott SID-ot, és ha az SID az ACL-n van, meghatározza, hogyengedélyezni vagy megtagadni a hozzáférést. Nem számít, milyen jogosultságokat használsz ott a különbségek, így nézd meg, hogy jobban megértsd, mikor kell használni.

Megosztási jogosultságok:

  1. Csak azokra a felhasználókra vonatkoznak, akik hozzáférnek az erőforráshoz a hálózaton keresztül. Nem érvényesek, ha helyi bejelentkezést végeznek, például terminálszolgáltatásokon keresztül.
  2. A megosztott erőforrások összes fájljára és mappájára vonatkozik. Ha nagyobb részletességű korlátozási sémát szeretne megadni, akkor az NTFS engedélyt kell használnia a megosztott jogosultságok mellett
  3. Ha van valamilyen FAT vagy FAT32 formátumú kötet, akkor ez lesz az egyetlen korlátozás az Ön számára, mivel az NTFS engedélyek nemelérhető ezeken a fájlrendszereken.

NTFS engedélyek:

  1. Az NTFS engedélyek egyetlen korlátozása az, hogy csak az NTFS fájlrendszerre formázott kötetre állíthatók be
  2. Ne feledje, hogy az NTFS halmozott, ami azt jelenti, hogy a felhasználók tényleges jogosultságai a felhasználó hozzárendeltengedélyeket és bármely olyan csoport jogosultságait, amelyekhez a felhasználó tartozik.

Az új megosztási jogosultságok

A Windows 7 egy új "könnyű" megosztási technikával vásárolt. Az opciók az Olvasás, a Módosítás és a Teljes vezérlés opcióból változnak. Olvasás és Olvasás / Írás. Az ötlet része volt az egész Home csoport mentalitásnak és megkönnyíti a nem számítógéptudású emberek mappájának megosztását. Ez a helyi menüből történik, és egyszerűen megosztja otthoni csoportjával.

Ha meg akart osztani valakivel, aki nem az otthoni csoportban van, mindig választhatja a "Specifikus emberek. .." opciót. Amely egy "bonyolultabb" párbeszédet hozna létre. Hol adhat meg egy adott felhasználót vagy csoportot.

Az előzőekben említett két engedély csak együttesen vagy semmi védelmi sémát kínál a mappákhoz és fájlokhoz.

  1. Az olvasás engedélye a "look, do not touch" lehetőség. A címzett megnyithatja, de nem módosítja vagy törli a fájlt.
  2. Az olvasása / írása a "mindent megtesz" lehetőség. A címzett megnyithatja, módosíthatja vagy törölheti a fájlt.

Az Old School Way

A régi megosztás párbeszédablakban több lehetőség volt, és megadta nekünk a lehetőséget, hogy megoszthassuk a mappát egy másik alias alatt, lehetővé tette számunkra az egyidejű kapcsolatok számának korlátozását, valamint a gyorsítótár beállítását. A Windows 7 operációs rendszer egyetlen funkcióját sem veszíti el, hanem egy "Speciális megosztás" opciót rejt. Ha jobb egérgombbal kattintunk egy mappára, és meglátogatjuk annak tulajdonságait, megtalálhatjuk ezeket a "Haladó megosztás" beállításokat a megosztási lapon.

Ha a "Helyi megosztás" gombra kattint, amely helyi rendszergazdai hitelesítő adatokat igényel, konfigurálhatja a Windows korábbi verzióiban ismerős beállításokat.

Ha rákattint az engedélyek gombra, megjelenik a 3 beállítás, amelyekkel mindannyian ismerjük.

  1. Olvasás Az engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások futtatását. Ez azonban nem teszi lehetővé a változtatásokat.
  2. Az engedély módosítása lehetővé teszi, hogy bármit megtegyen, amit az Read engedély engedélyez, hozzáadhatja a fájlok és alkönyvtárak hozzáadásának képességét, törölheti az almappákat és módosíthatja az adatokat a fájlokban.
  3. Full Control Az a klasszikus engedélyek "mindent megtesz", mivel lehetővé teszi az előző engedélyek bármelyikét. Ezenkívül megadja a fejlett NTFS-engedélyt is, ez csak az NTFS-fájlok esetében érvényes.

Az NTFS engedélyek

Az NTFS engedélyek lehetővé teszik a fájlok és mappák nagyon szemcsés vezérlését. Ezzel azt mondják, hogy a granularitás mennyisége ijesztő lehet az újonc számára. NTFS engedélyt is megadhat fájlok alapján, valamint mappánként. Az NTFS-fájl engedélyezéséhez kattintson a jobb egérgombbal, és menjen a fájlok tulajdonságaihoz, ahol a biztonsági lapra kell lépnie.

Egy felhasználó vagy csoport NTFS jogosultságainak szerkesztéséhez kattintson a szerkesztő gombra.

Mint látható, elég sok NTFS jogosultság van, így letörölheti őket. Először nézzük meg az NTFS engedélyeket, amelyeket beállíthat egy fájlban.

  1. Teljes vezérlés Az lehetővé teszi a fájlok olvasását, írását, módosítását, végrehajtását, módosítását, engedélyezését és átvételét.
  2. Az módosítása lehetővé teszi a fájl attribútumainak olvasását, írását, módosítását, végrehajtását és módosítását.
  3. Read &Az végrehajtása lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosait és engedélyeit, és futtassa a fájlt, ha egy program.
  4. Az olvasása lehetővé teszi a fájl megnyitását, attribútumainak, tulajdonosainak és jogosultságainak megtekintését.
  5. Write lehetővé teszi, hogy adatokat írjon a fájlra, csatoljon a fájlhoz, és olvassa el vagy változtassa meg az attribútumait.

NTFS A mappákhoz tartozó jogosultságok kissé eltérőek, így megtekintheti őket.

  1. Teljes vezérlés Az lehetővé teszi a mappában levő fájlok olvasását, írását, módosítását és végrehajtását, az attribútumok megváltoztatását, a jogosultságokat és a tulajdonjogot a mappában vagy a fájlokban.
  2. Az módosítása lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappák vagy fájlok attribútumainak módosítását.
  3. Read &Az végrehajtása lehetővé teszi a mappa tartalmának megjelenítését és a fájlon belüli fájlok, attribútumok, tulajdonosok és jogosultságok megjelenítését, valamint fájlok futtatását a mappában.
  4. A mappa tartalmának listája Az lehetővé teszi a mappa tartalmának megjelenítését és a fájlon belüli fájlok, attribútumok, tulajdonosok és jogosultságok megjelenítését.
  5. Az olvasás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosainak és jogosultságainak megjelenítését.
  6. Write lehetővé teszi, hogy adatokat írjon a fájlra, csatoljon a fájlhoz, és olvassa el vagy változtassa meg az attribútumait.

A Microsoft dokumentációja azt is kimondja, hogy a "Listamappa-tartalom" lehetővé teszi a fájlok futtatását a mappán belül, de a "Read &Végezze el "ezt a műveletet. Ez egy zavaróan dokumentált engedély.Összefoglaló

Összefoglalva, a felhasználónevek és a csoportok egy alfanumerikus sztringnek( SID)( Security Identifier) ​​nevezett ábrázolásai, a Share és NTFS jogosultságok kapcsolódnak ezekhez a SID-ekhez. A jogosultságok megosztását az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül érkeznek, míg az NTFS jogosultságok csak a helyi gépeken érvényesek. Remélem, mindenkinek alapos megértése van arról, hogyan valósul meg a fájlok és a mappák biztonsága a Windows 7 rendszerben. Ha bármilyen kérdése van, nyugodtan szólaljon meg a megjegyzésekben.