7Jul

Hoe u die verwarrende Windows 7-bestanden / gedeelde machtigingen kunt begrijpen

Heb je ooit geprobeerd alle rechten in Windows te achterhalen? Er zijn sharemachtigingen, NTFS-machtigingen, toegangscontrolelijsten en meer. Dit is hoe ze allemaal samenwerken.

De beveiligingsidentificatie

De Windows-besturingssystemen gebruiken SID's om alle beveiligingsprincipes weer te geven. SID's zijn gewoon variabele tekenreeksen van alfanumerieke tekens die machines, gebruikers en groepen vertegenwoordigen. SID's worden toegevoegd aan ACL's( Access Control Lists) telkens wanneer u een gebruiker of groep toestemming geeft voor een bestand of map. Achter de schermen worden SID's op dezelfde manier opgeslagen als alle andere gegevensobjecten, in binair formaat. Wanneer u echter een SID in Windows ziet, wordt deze weergegeven met een beter leesbare syntaxis. Het komt niet vaak voor dat u een vorm van SID ziet in Windows, het meest voorkomende scenario is wanneer u iemand toestemming verleent aan een resource, dan wordt hun gebruikersaccount verwijderd en verschijnt het als een SID in de ACL.Laten we dus eens kijken naar het typische formaat waarin u SID's in Windows ziet.

De notatie die u zult zien, heeft een bepaalde syntaxis, hieronder staan ​​de verschillende delen van een SID in deze notatie.

  1. Een 'S' voorvoegsel
  2. Structuur revisienummer
  3. Een 48-bits ID-machtigingswaarde
  4. Een variabel aantal 32-bits subbevoegdheid of relatieve identificator( RID) waarden

Met behulp van mijn SID in de afbeelding hieronder zullen we de verschillendesecties om een ​​beter begrip te krijgen.

De SID-structuur:

'S' - Het eerste onderdeel van een SID is altijd een 'S'.Dit is een voorvoegsel voor alle SID's en dient om Windows te informeren dat wat volgt een SID is.
'1' - Het tweede onderdeel van een SID is het revisienummer van de SID-specificatie, als de SID-specificatie zou veranderen, zou dit compatibiliteit met eerdere versies bieden. Vanaf Windows 7 en Server 2008 R2 bevindt de SID-specificatie zich nog in de eerste revisie.
'5' - Het derde deel van een SID wordt de Identifier Authority genoemd. Dit definieert in welk bereik de SID werd gegenereerd. Mogelijke waarden voor dit gedeelte van de SID kunnen zijn:

  1. 0 - NULL Authority
  2. 1 - World Authority
  3. 2 - Local Authority
  4. 3 - Creator Authority
  5. 4 - Niet-unieke autoriteit
  6. 5 - NT Authority

'21' - Thevierde component is subautoriteit 1, de waarde '21' wordt gebruikt in het vierde veld om aan te geven dat de subautoriteiten die volgen de lokale machine of het domein identificeren.
'1206375286-251249764-2214032401' - Deze worden respectievelijk sub-autoriteit 2,3 en 4 genoemd. In ons voorbeeld wordt dit gebruikt om de lokale machine te identificeren, maar het kan ook de identifier voor een domein zijn.
'1000' - Subautoriteit 5 is de laatste component in onze SID en wordt de RID( Relative Identifier) ​​genoemd, de RID staat in verhouding tot elk beveiligingsprincipe, houd er rekening mee dat alle door de gebruiker gedefinieerde objecten, degenen die niet worden verzondendoor Microsoft zal een RID van 1000 of hoger hebben.

Beveiligingsprincipes

Een beveiligingsprincipe is alles waaraan een SID is gekoppeld, dit kunnen gebruikers, computers en zelfs groepen zijn. Beveiligingsprincipes kunnen lokaal zijn of in de domeincontext zijn. U beheert de lokale beveiligingsprincipes via de module Lokale gebruikers en groepen, onder computerbeheer. Om daar te komen, klik met de rechtermuisknop op de snelkoppeling van de computer in het startmenu en kies beheren.

Om een ​​nieuw gebruikersbeveiligingsprincipe toe te voegen, gaat u naar de gebruikersmap en klikt u met de rechtermuisknop en kiest u een nieuwe gebruiker.

Als u dubbelklikt op een gebruiker, kunt u deze toevoegen aan een beveiligingsgroep op het tabblad Lid van.

Ga naar de map Groepen aan de rechterkant om een ​​nieuwe beveiligingsgroep te maken. Klik met de rechtermuisknop op de witte ruimte en selecteer een nieuwe groep.

-share-machtigingen en NTFS-toestemming

In Windows zijn er twee soorten bestands- en mapmachtigingen, ten eerste zijn er de Share-machtigingen en ten tweede zijn er NTFS-machtigingen, ook wel beveiligingsmachtigingen genoemd. Houd er rekening mee dat wanneer u een map standaard deelt, de groep "Iedereen" de leesrechten krijgt. Beveiliging van mappen wordt meestal gedaan met een combinatie van toestemming voor Delen en NTFS als dit het geval is, is het essentieel om te onthouden dat de meest beperkende altijd van toepassing is, bijvoorbeeld als de toestemming voor delen is ingesteld op Iedereen = Lezen( dit is de standaard),maar met de NTFS-machtiging kunnen gebruikers een wijziging in het bestand aanbrengen, krijgt de share-toestemming de voorkeur en mogen gebruikers geen wijzigingen aanbrengen. Wanneer u de machtigingen instelt, bepaalt de LSASS( Local Security Authority) de toegang tot de bron. Wanneer u zich aanmeldt, krijgt u een toegangstoken met uw SID erop. Wanneer u de resource opent, vergelijkt de LSASS de SID die u hebt toegevoegd aan de ACL( Access Control List) en als de SID zich op de ACL bevindt, bepaalt deze oftoegang toestaan ​​of weigeren. Het maakt niet uit welke toestemmingen je gebruikt, er zijn verschillen, dus laten we een kijkje nemen om een ​​beter begrip te krijgen van wanneer we zouden moeten gebruiken.

-shares:

  1. Alleen van toepassing op gebruikers die via het netwerk toegang tot de resource hebben. Ze zijn niet van toepassing als u zich lokaal aanmeldt, bijvoorbeeld via terminalservices.
  2. Het is van toepassing op alle bestanden en mappen in de gedeelde bron. Als u een gedetailleerder beperkingsschema wilt bieden, moet u NTFS-toestemming gebruiken naast de gedeelde machtigingen
  3. . Als u FAT- of FAT32-geformatteerde volumes hebt, is dit de enige vorm van beperking die voor u beschikbaar is, omdat NTFS-machtigingen niet zijnbeschikbaar op die bestandssystemen.

NTFS-machtigingen:

  1. De enige beperking op NTFS-machtigingen is dat ze alleen kunnen worden ingesteld op een volume dat is geformatteerd naar het NTFS-bestandssysteem
  2. Vergeet niet dat NTFS cumulatief zijn, wat betekent dat gebruikers effectieve machtigingen zijn als gevolg van het combineren van de toegewezen gebruikermachtigingen en de machtigingen van alle groepen waartoe de gebruiker behoort.

De nieuwe gedeelde machtigingen

Windows 7 kocht een nieuwe "gemakkelijke" deeltechniek. De opties zijn gewijzigd van Lezen, Wijzigen en Volledig beheer naar. Lezen en lezen / schrijven. Het idee maakte deel uit van de hele mentaliteit van de Home-groep en maakt het gemakkelijk om een ​​map te delen voor niet-computervaardige mensen. Dit gebeurt via het contextmenu en deelt eenvoudig met uw thuisgroep.

Als u wilt delen met iemand die niet in de thuisgroep is, kunt u altijd de optie "Specifieke mensen. .." kiezen. Dat zou een meer "uitgebreide" dialoog opleveren. Waar u een specifieke gebruiker of groep zou kunnen specificeren.

Er zijn slechts twee rechten zoals eerder vermeld, samen bieden ze een alles of niets beveiligingsschema voor uw mappen en bestanden.

  1. Lezen toestemming is de "kijk, raak niet aan" optie. Ontvangers kunnen een bestand openen, maar niet wijzigen of verwijderen.
  2. Lezen / schrijven is de "doe iets" optie. Ontvangers kunnen een bestand openen, wijzigen of verwijderen.

The Old School Way

De oude share-dialoog had meer opties en gaf ons de mogelijkheid om de map onder een andere alias te delen, het stelde ons in staat om het aantal gelijktijdige verbindingen te beperken en caching te configureren. Geen van deze functies gaat verloren in Windows 7, maar is eerder verborgen onder de optie 'Geavanceerd delen'.Als u met de rechtermuisknop op een map klikt en naar de eigenschappen ervan gaat, vindt u deze instellingen voor "Geavanceerd delen" op het tabblad Delen.

Als u op de knop "Geavanceerd delen" klikt, waarvoor lokale beheerdersreferenties nodig zijn, kunt u alle instellingen configureren die u in eerdere versies van Windows kende.

Als u op de toestemmingenknop klikt, krijgt u de 3 instellingen te zien die we allemaal kennen.

  1. Lezen met de machtiging kunt u bestanden en submappen bekijken en openen en toepassingen uitvoeren. Het laat echter geen wijzigingen toe.
  2. Wijzigen van de machtiging stelt u in staat om alles te doen wat Lezen toestemming toestaat, het voegt ook de mogelijkheid toe om bestanden en submappen toe te voegen, submappen te verwijderen en gegevens in de bestanden te wijzigen.
  3. Volledig beheer is het "alles doen" van de klassieke rechten, omdat het u toestaat om alle voorgaande permissies te doen. Bovendien geeft het u de geavanceerde veranderende NTFS-machtiging, dit is alleen van toepassing op NTFS-mappen

NTFS Machtigingen

NTFS Toestemming staat voor zeer gedetailleerde controle over uw bestanden en mappen toe. Met dat gezegd dat de hoeveelheid granularity kan ontmoedigend zijn om een ​​nieuwkomer. U kunt ook NTFS-rechten per bestand en per map instellen. Als u NTFS-machtiging voor een bestand wilt instellen, klikt u met de rechtermuisknop en gaat u naar de bestandseigenschappen waar u naar het tabblad Beveiliging moet gaan.

Klik op de knop Bewerken om de NTFS-machtigingen voor een gebruiker of groep te bewerken.

Zoals je misschien ziet zijn er nogal wat NTFS-machtigingen, dus laten we ze opsplitsen. Eerst zullen we de NTFS-machtigingen bekijken die u in een bestand kunt instellen.

  1. Volledig beheer Met kunt u lezen, schrijven, wijzigen, uitvoeren, kenmerken wijzigen, rechten verlenen en het bestand in eigendom nemen.
  2. Wijzigen stelt u in staat de kenmerken van het bestand te lezen, te schrijven, aan te passen, uit te voeren en te veranderen.
  3. Lees &Execute biedt u de mogelijkheid om de gegevens, attributen, eigenaar en machtigingen van het bestand weer te geven en het bestand uit te voeren als het een programma is.
  4. Lezen biedt u de mogelijkheid om het bestand te openen, de kenmerken, eigenaar en machtigingen te bekijken.
  5. Schrijven stelt u in staat om gegevens naar het bestand te schrijven, toe te voegen aan het bestand en de kenmerken ervan te lezen of te wijzigen.

NTFS Toestemmingen voor mappen hebben enigszins verschillende opties, dus laten we deze eens bekijken.

  1. Volledig beheer stelt u in staat bestanden in de map te lezen, te schrijven, aan te passen en uit te voeren, kenmerken te wijzigen, rechten toe te wijzen en de map of bestanden in de map te bezitten.
  2. Wijzigen stelt u in staat bestanden in de map te lezen, te schrijven, aan te passen en uit te voeren, en de kenmerken van de map of bestanden in die map te wijzigen.
  3. Lees &Voer uit om de inhoud van de map weer te geven en de gegevens, attributen, eigenaar en machtigingen voor bestanden in de map weer te geven en om bestanden in de map uit te voeren.
  4. Inhoud van mapinhoud biedt u de mogelijkheid om de inhoud van de map weer te geven en de gegevens, kenmerken, eigenaar en machtigingen voor bestanden in de map weer te geven.
  5. Lezen stelt u in staat de gegevens, attributen, eigenaar en machtigingen van het bestand weer te geven.
  6. Schrijven stelt u in staat om gegevens naar het bestand te schrijven, aan het bestand toe te voegen en de kenmerken ervan te lezen of te wijzigen.

In de documentatie van Microsoft staat ook dat "List Folder Contents" u de mogelijkheid biedt om bestanden binnen de map uit te voeren, maar u moet dan wel "Read &Uitvoeren "om dit te doen. Het is een zeer verwarrend gedocumenteerde toestemming.

Samenvatting

Samenvattend zijn gebruikersnamen en groepen representaties van een alfanumerieke tekenreeks genaamd een SID( Security Identifier), Share en NTFS Permissions zijn gebonden aan deze SID's. Machtigingen voor delen worden alleen gecontroleerd door LSSAS wanneer ze via het netwerk worden gebruikt, terwijl NTFS-machtigingen alleen geldig zijn op de lokale computers. Ik hoop dat jullie allemaal een goed begrip hebben van hoe bestands- en mapbeveiliging in Windows 7 geïmplementeerd is. Als je vragen hebt, voel je dan vrij om in de comments te klinken.