21Aug
In questa installazione di Geek School, diamo un'occhiata a Folder Virtualization, SIDs and Permission e al file system crittografato.
Assicurati di controllare gli articoli precedenti in questa serie di Geek School su Windows 7:
- Presentazione di How-To Geek School
- Upgrade e migrazione
- Configurazione dei dispositivi
- Gestione dei dischi
- Gestione delle applicazioni
- Gestione di Internet Explorer
- Nozioni di base sull'indirizzamento IP
- Networking
- WirelessNetworking
- Windows Firewall
- Remote Administration
- Accesso remoto
- Monitoraggio, prestazioni e mantenimento di Windows aggiornati
E restate sintonizzati per il resto della serie per tutta questa settimana. Virtualizzazione delle cartelle
Windows 7 ha introdotto la nozione di librerie che consente di disporre di una posizione centralizzata da cui è possibile visualizzare le risorse che si trovano altrove sul computer. Più specificamente, la funzione librerie ti ha permesso di aggiungere cartelle da qualsiasi parte del tuo computer a una delle quattro librerie predefinite, Documenti, Musica, Video e Immagini, che sono facilmente accessibili dal pannello di navigazione di Windows Explorer.
Ci sono due cose importanti da notare sulla funzione della libreria:
- Quando si aggiunge una cartella in una libreria, la cartella stessa non si sposta, piuttosto viene creato un collegamento alla posizione della cartella.
- Al fine di aggiungere una condivisione di rete alle tue librerie, deve essere disponibile offline, sebbene tu possa utilizzare anche una soluzione utilizzando collegamenti simbolici.
Per aggiungere una cartella a una libreria, è sufficiente andare nella libreria e fare clic sul collegamento delle posizioni.
Quindi fare clic sul pulsante Aggiungi.
Ora individuare la cartella che si desidera includere nella libreria e fare clic sul pulsante Includi cartella.
Questo è tutto ciò che c'è da fare.
Identificatore di sicurezza
Il sistema operativo Windows utilizza SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL( Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro le quinte, i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati: in binario. Tuttavia, quando viene visualizzato un SID in Windows, verrà visualizzato utilizzando una sintassi più leggibile. Non capita spesso di vedere qualsiasi forma di SID in Windows;lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi elimina il loro account utente. Il SID verrà quindi visualizzato nell'ACL.Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.
La notazione che vedrai richiede una certa sintassi. Di seguito sono riportate le diverse parti di un SID.
- Un prefisso 'S'
- Numero di revisione della struttura
- Un valore dell'autorità di identificazione a 48 bit
- Un numero variabile di valori di sub-autorizzazione o identificatore( 32) RID
Utilizzando il mio SID nell'immagine seguente suddivideremo i diversisezioni per capire meglio
La struttura SID:
'S' - Il primo componente di un SID è sempre una 'S'.Questo è prefisso a tutti i SID ed è lì per informare Windows che quanto segue è un SID.
'1' - Il secondo componente di un SID è il numero di revisione della specifica SID.Se la specifica SID dovesse cambiare, fornirebbe la compatibilità all'indietro. A partire da Windows 7 e Server 2008 R2, la specifica SID è ancora nella prima revisione.
'5' - La terza sezione di un SID è denominata autorità di identificazione. Questo definisce in quale ambito è stato generato il SID.I valori possibili per questa sezione del SID possono essere:
- 0 - Autorità nulla
- 1 - Autorità mondiale
- 2 - Autorità locale
- 3 - Autorità del creatore
- 4 - Autorità non univoca
- 5 - Autorità NT
'21' - Il quarto componente è l'autorità secondaria 1. Il valore '21' viene utilizzato nel quarto campo per specificare che le sottoregioni che seguono identificano la macchina locale o il dominio.
'1206375286-251249764-2214032401' - Questi sono chiamati sub-authority 2,3 e 4 rispettivamente. Nel nostro esempio questo è usato per identificare la macchina locale, ma potrebbe anche essere l'identificatore di un dominio.
'1000' - L'autorità secondaria 5 è l'ultimo componente nel nostro SID e viene chiamato RID( identificativo relativo).Il RID è relativo a ciascun principio di sicurezza: si noti che tutti gli oggetti definiti dall'utente, quelli non spediti da Microsoft, avranno un RID di 1000 o superiore. Principi di sicurezza
Un principio di sicurezza è tutto ciò a cui è collegato un SID.Questi possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci, fai clic con il pulsante destro del mouse sul collegamento del computer nel menu di avvio e scegli Gestisci.
Per aggiungere un nuovo principio di sicurezza dell'utente, è possibile accedere alla cartella Utenti e fare clic con il tasto destro del mouse e scegliere Nuovo utente.
Se si fa doppio clic su un utente, è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.
Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fare clic con il tasto destro sullo spazio bianco e selezionare Nuovo gruppo. Autorizzazioni di condivisione
e autorizzazione NTFS
In Windows esistono due tipi di autorizzazioni per file e cartelle. In primo luogo, ci sono i permessi di condivisione. In secondo luogo, ci sono permessi NTFS, che sono anche chiamati permessi di sicurezza. La protezione delle cartelle condivise viene in genere eseguita con una combinazione di autorizzazioni Condivisione e NTFS.Poiché questo è il caso, è fondamentale ricordare che l'autorizzazione più restrittiva si applica sempre. Ad esempio, se l'autorizzazione di condivisione dà il permesso di lettura del principio di sicurezza Everyone, ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione della condivisione avrà la precedenza e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS( Local Security Authority) controlla l'accesso alla risorsa. Quando si accede, viene fornito un token di accesso con il SID su di esso. Quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL( Access Control List).Se il SID si trova nell'ACL, determina se consentire o negare l'accesso. Non importa quali permessi usi, ci sono delle differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa. Autorizzazioni di condivisione
:
- Si applicano solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
- Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire uno schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
- Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sonodisponibile su quei file system. Autorizzazioni NTFS
:
- L'unica restrizione sulle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
- Ricordare che le autorizzazioni NTFS sono cumulative. Ciò significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate dall'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.
Le nuove autorizzazioni di condivisione
Windows 7 acquistato con una nuova tecnica di condivisione "facile".Le opzioni sono cambiate da lettura, modifica e controllo completo a lettura e lettura / scrittura. L'idea faceva parte dell'intera mentalità di Homegroup e semplifica la condivisione di una cartella per persone non alfabetizzate. Ciò avviene tramite il menu di scelta rapida e condivide facilmente il tuo gruppo Home.
Se si desidera condividere con qualcuno che non fa parte del gruppo Home, è sempre possibile scegliere l'opzione "Persone specifiche. ..".Il che farebbe apparire una finestra di dialogo più "elaborata" in cui potresti specificare un utente o un gruppo.
Ci sono solo due autorizzazioni, come accennato in precedenza. Insieme offrono uno schema di protezione tutto o niente per cartelle e file.
- Read permission è l'opzione "look, do not touch".I destinatari possono aprire, ma non modificare o eliminare un file.
- Lettura / Scrittura è l'opzione "fai qualcosa".I destinatari possono aprire, modificare o eliminare un file.
The Old School Permission
La vecchia finestra di dialogo condivisa aveva più opzioni, come l'opzione per condividere la cartella con un alias diverso. Ci ha permesso di limitare il numero di connessioni simultanee e di configurare il caching. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata".Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.
Se si fa clic sul pulsante "Condivisione avanzata", che richiede le credenziali dell'amministratore locale, è possibile configurare tutte le impostazioni che erano familiari con le versioni precedenti di Windows.
Se fai clic sul pulsante delle autorizzazioni, ti verranno presentate le 3 impostazioni che tutti conosciamo.
- Leggi l'autorizzazione consente di visualizzare e aprire file e sottodirectory nonché di eseguire applicazioni. Tuttavia non consente di apportare modifiche.
- Modifica L'autorizzazione ti consente di fare tutto ciò che consente l'autorizzazione Read, e aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e modificare i dati nei file.
- Full Control è il "do anything" delle autorizzazioni classiche, in quanto consente di eseguire tutte le autorizzazioni precedenti. Inoltre, ti dà il permesso di modifica NTFS avanzato, ma questo si applica solo alle cartelle NTFS
Autorizzazioni NTFS
Le autorizzazioni NTFS consentono un controllo molto granulare su file e cartelle. Detto questo, la quantità di granularità può essere scoraggiante per un nuovo arrivato.È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà del file, quindi accedere alla scheda Sicurezza.
Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante Modifica.
Come puoi vedere, ci sono un sacco di permessi NTFS, quindi analizziamoli. In primo luogo, daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.
- Controllo completo consente di leggere, scrivere, modificare, eseguire, modificare attributi, autorizzazioni e assumere la proprietà del file.
- Modifica consente di leggere, scrivere, modificare, eseguire e modificare gli attributi del file.
- Leggi &Esegui ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni e di eseguire il file se si tratta di un programma.
- Leggi ti consentirà di aprire il file, visualizzarne gli attributi, il proprietario e le autorizzazioni.
- Write consente di scrivere dati nel file, aggiungere al file e leggere o modificare i suoi attributi.
Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.
- Controllo completo consente di leggere, scrivere, modificare ed eseguire file nella cartella, modificare attributi, autorizzazioni e assumere la proprietà della cartella o dei file all'interno.
- Modifica consente di leggere, scrivere, modificare ed eseguire i file nella cartella e modificare gli attributi della cartella o dei file all'interno.
- Leggi &Esegui ti consentirà di visualizzare i contenuti della cartella e visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella ed eseguire i file all'interno della cartella. Contenuti della cartella dell'elenco
- consente di visualizzare i contenuti della cartella e di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella ed eseguire i file all'interno della cartella
- Leggi ti permetterà di visualizzare i dati del file, attributi,proprietario e autorizzazioni.
- Write consente di scrivere dati nel file, aggiungere al file e leggere o modificare i suoi attributi. Riepilogo
In sintesi, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID( Security Identifier).Le autorizzazioni di condivisione e NTFS sono legate a questi SID.Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono combinate con le autorizzazioni di condivisione per consentire un livello più granulare di sicurezza per le risorse a cui si accede tramite la rete e localmente.
Accesso a una risorsa condivisa
Ora che abbiamo imparato a conoscere i due metodi che possiamo usare per condividere il contenuto sui nostri PC, come si fa ad accedere alla rete?È molto sempliceBasta digitare quanto segue nella barra di navigazione.
\\ nomecomputer \ sharename
Nota: Ovviamente è necessario sostituire computername per il nome del PC che ospita la condivisione e il nome di condivisione per il nome della condivisione.
Questo è ottimo per le connessioni una tantum, ma in un ambiente aziendale più ampio? Sicuramente non devi insegnare ai tuoi utenti come connettersi a una risorsa di rete usando questo metodo. Per aggirare questo problema, è necessario mappare un'unità di rete per ciascun utente, in questo modo è possibile consigliarli di memorizzare i propri documenti sull'unità "H", anziché cercare di spiegare come connettersi a una condivisione. Per mappare un'unità, aprire Computer e fare clic sul pulsante "Connetti unità di rete".
Quindi digitare semplicemente il percorso UNC della condivisione.
Probabilmente ti starai chiedendo se devi farlo su ogni PC, e fortunatamente la risposta è no. Piuttosto, è possibile scrivere uno script batch per mappare automaticamente le unità per gli utenti all'accesso e distribuirlo tramite Criteri di gruppo.
Se si analizza il comando:
- Usiamo il comando net per mappare l'unità.
- Usiamo * per indicare che vogliamo usare la prossima lettera di unità disponibile.
- Infine specifica la condivisione su cui vogliamo mappare l'unità.Si noti che abbiamo usato virgolette perché il percorso UNC contiene spazi.
Crittografia dei file tramite il file system crittografato
Windows include la possibilità di crittografare i file su un volume NTFS.Ciò significa che solo tu sarai in grado di decodificare i file e visualizzarli. Per crittografare un file, è sufficiente fare clic con il pulsante destro del mouse su di esso e selezionare Proprietà dal menu di scelta rapida.
Quindi fare clic su Avanzate.
Ora seleziona la casella di controllo Crittografa contenuto per proteggere i dati, quindi fai clic su OK.
Ora vai avanti e applica le impostazioni.
Abbiamo solo bisogno di crittografare il file, ma hai anche la possibilità di crittografare la cartella principale.
Prendere nota che una volta crittografato il file diventa verde.
Ora noterai che solo tu sarai in grado di aprire il file e che gli altri utenti sullo stesso PC non saranno in grado di farlo. Il processo di crittografia utilizza la crittografia a chiave pubblica, quindi tieni al sicuro le tue chiavi di crittografia. Se li perdi, il tuo file è sparito e non c'è modo di recuperarlo.
Homework
- Ulteriori informazioni sull'ereditarietà delle autorizzazioni e le autorizzazioni effettive.
- Leggi questo documento Microsoft.
- Scopri perché vorresti utilizzare BranchCache.
- Scopri come condividere le stampanti e perché desideri.