7Jul

Come comprendere i permessi di file / condivisione di Windows 7 che confondono

Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come lavorano tutti insieme.

Identificatore di sicurezza

I sistemi operativi Windows utilizzano SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL( Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro la scena i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati, in formato binario. Tuttavia quando vedi un SID in Windows verrà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere una qualsiasi forma di SID in Windows, lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi il loro account utente viene eliminato, verrà quindi visualizzato come SID nell'ACL.Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.

La notazione che vedrete richiede una certa sintassi, sotto sono le diverse parti di un SID in questa notazione.

  1. Un prefisso 'S'
  2. Numero di revisione della struttura
  3. Un valore dell'autorità di identificazione a 48 bit
  4. Un numero variabile di valori di sub-autorizzazione o identificatore( 32) RID

Utilizzando il mio SID nell'immagine seguente suddivideremo i diversisezioni per capire meglio

Struttura SID:

'S' - Il primo componente di un SID è sempre una 'S'.Questo è prefisso a tutti i SID ed è lì per informare Windows che quanto segue è un SID. '1' - Il secondo componente di un SID è il numero di revisione della specifica SID, se la specifica SID dovesse cambiare, fornirebbe la compatibilità all'indietro. A partire da Windows 7 e Server 2008 R2 la specifica SID è ancora nella prima revisione. '5' : la terza sezione di un SID è denominata autorità di identificazione. Questo definisce in quale ambito è stato generato il SID.I valori possibili per questa sezione del SID possono essere:

  1. 0 - Autorità null
  2. 1 - Autorità mondiale
  3. 2 - Autorità locale
  4. 3 - Autorità del creatore
  5. 4 - Autorità non univoca
  6. 5 - Autorità NT

'21' - Thela quarta componente è l'autorità secondaria 1, il valore "21" viene utilizzato nel quarto campo per specificare che le autorità secondarie che seguono identificano la macchina locale o il dominio.
'1206375286-251249764-2214032401' - Questi sono chiamati sub-authority 2,3 e 4 rispettivamente. Nel nostro esempio questo è usato per identificare la macchina locale, ma potrebbe anche essere l'identificatore di un dominio.
'1000' - L'autorità secondaria 5 è l'ultimo componente del nostro SID ed è chiamato RID( Relative Identifier), il RID è relativo a ciascun principio di sicurezza, si noti che tutti gli oggetti definiti dall'utente, quelli non speditida Microsoft avrà un RID di 1000 o superiore.

Principi di sicurezza

Un principio di sicurezza è tutto ciò a cui è collegato un SID, possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci fai clic con il pulsante destro del mouse sul collegamento del computer nel menu di avvio e scegli Gestisci.

Per aggiungere un nuovo principio di sicurezza dell'utente, è possibile accedere alla cartella degli utenti e fare clic con il tasto destro del mouse e scegliere un nuovo utente.

Se si fa doppio clic su un utente, è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.

Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fare clic con il tasto destro sullo spazio bianco e selezionare il nuovo gruppo.

Permessi di condivisione e autorizzazione NTFS

In Windows ci sono due tipi di permessi per file e cartelle, in primo luogo ci sono i permessi di condivisione e in secondo luogo ci sono permessi NTFS chiamati anche permessi di sicurezza. Prendi nota del fatto che quando si condivide una cartella per impostazione predefinita il gruppo "Tutti" riceve l'autorizzazione di lettura. La sicurezza delle cartelle viene solitamente effettuata con una combinazione di autorizzazione Condividi e NTFS, se questo è il caso, è fondamentale ricordare che il più restrittivo si applica sempre, ad esempio se l'autorizzazione di condivisione è impostata su Everyone = Read( che è l'impostazione predefinita),ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione di condivisione avrà la priorità e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS( Local Security Authority) controlla l'accesso alla risorsa. Quando si accede a un token di accesso con il SID su di esso, quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL( Access Control List) e se il SID si trova nell'ACL determina seconsentire o negare l'accesso. Non importa quali permessi usi ci sono differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa. Autorizzazioni di condivisione

:

  1. Si applicano solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
  2. Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire uno schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
  3. Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sonodisponibile su quei file system. Autorizzazioni NTFS

:

  1. L'unica limitazione per le autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
  2. Ricordare che NTFS è cumulativo che significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle assegnazioni dell'utenteautorizzazioni e le autorizzazioni di tutti i gruppi a cui appartiene l'utente.

Le nuove autorizzazioni di condivisione

Windows 7 acquistato con una nuova tecnica di condivisione "facile".Le opzioni sono cambiate da Leggi, Cambia e Controllo completo a. Leggi e leggi / scrivi. L'idea faceva parte dell'intera mentalità del gruppo Home e semplifica la condivisione di una cartella per le persone non alfabetizzate al computer. Questo viene fatto tramite il menu di scelta rapida e condivide facilmente il tuo gruppo Home.

Se si desidera condividere con qualcuno che non fa parte del gruppo di casa, è sempre possibile scegliere l'opzione "Persone specifiche. ..".Il che aprirebbe un dialogo più "elaborato".Dove puoi specificare un utente o un gruppo specifico.

Ci sono solo due permessi come precedentemente menzionato, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.

  1. Read permission è l'opzione "look, do not touch".I destinatari possono aprire, ma non modificare o eliminare un file.
  2. Read / Write è l'opzione "fai qualcosa".I destinatari possono aprire, modificare o eliminare un file.

The Old School Way

La vecchia finestra di dialogo condivisa aveva più opzioni e ci ha dato la possibilità di condividere la cartella con un alias diverso, ci permetteva di limitare il numero di connessioni simultanee e di configurare la memorizzazione nella cache. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata".Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.

Se si fa clic sul pulsante "Condivisione avanzata", che richiede le credenziali dell'amministratore locale, è possibile configurare tutte le impostazioni che erano familiari con le versioni precedenti di Windows.

Se fai clic sul pulsante delle autorizzazioni ti verranno presentate le 3 impostazioni che tutti conosciamo.

  1. Lettura dell'autorizzazione consente di visualizzare e aprire file e sottodirectory nonché di eseguire applicazioni. Tuttavia non consente di apportare modifiche.
  2. Modifica L'autorizzazione ti consente di fare tutto ciò che consente l'autorizzazione Read , aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e modificare i dati nei file.
  3. Full Control è il "do anything" delle autorizzazioni classiche, in quanto consente di eseguire qualsiasi e tutte le autorizzazioni precedenti. Inoltre ti dà il permesso di modifica avanzata NTFS, questo si applica solo alle cartelle NTFS

Autorizzazioni NTFS

NTFS L'autorizzazione consente un controllo molto granulare su file e cartelle. Detto ciò, la quantità di granularità può essere scoraggiante per un nuovo arrivato.È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà dei file in cui è necessario accedere alla scheda di sicurezza.

Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante di modifica.

Come puoi vedere, ci sono un sacco di permessi NTFS, quindi lasciali abbattere. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.

  1. Full Control consente di leggere, scrivere, modificare, eseguire, modificare attributi, autorizzazioni e assumere la proprietà del file.
  2. Modifica consente di leggere, scrivere, modificare, eseguire e modificare gli attributi del file.
  3. Leggi &Esegui ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni e di eseguire il file se è un programma.
  4. Leggi ti consentirà di aprire il file, visualizzarne gli attributi, il proprietario e le autorizzazioni.
  5. Write consente di scrivere dati nel file, aggiungere al file e leggere o modificare i suoi attributi.

Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.

  1. Controllo completo consente di leggere, scrivere, modificare ed eseguire file nella cartella, modificare attributi, autorizzazioni e assumere la proprietà della cartella o dei file all'interno.
  2. Modifica consente di leggere, scrivere, modificare ed eseguire file nella cartella e modificare gli attributi della cartella o dei file all'interno.
  3. Leggi &Esegui ti consentirà di visualizzare i contenuti della cartella e visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella ed eseguire i file all'interno della cartella. Contenuti della cartella dell'elenco
  4. consente di visualizzare i contenuti della cartella e di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella.
  5. Leggi ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni.
  6. Write consente di scrivere dati nel file, aggiungere al file e leggere o modificare i suoi attributi.

La documentazione di Microsoft afferma anche che "Elenco contenuto cartella" consente di eseguire i file all'interno della cartella, ma sarà comunque necessario abilitare "Leggi &Esegui "per farlo.È un permesso documentato in modo molto confuso. Riepilogo

In sintesi, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID( Identificatore sicurezza), Condivisione e Autorizzazioni NTFS legate a questi SID.Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono valide solo sulle macchine locali. Spero che tutti voi abbiate una buona conoscenza di come la sicurezza di file e cartelle in Windows 7 sia implementata. Se avete domande sentitevi liberi di suonare nei commenti.