7Jul

Como entender aqueles que confundem o Windows 7 Permissões de arquivo / compartilhamento

Alguma vez você tentou descobrir todas as permissões no Windows? Existem permissões compartilhadas, permissões NTFS, listas de controle de acesso e muito mais. Veja como todos eles trabalham juntos.

O identificador de segurança

Os sistemas operacionais Windows usam SIDs para representar todos os princípios de segurança. SIDs são apenas cordas de comprimento variável de caracteres alfanuméricos que representam máquinas, usuários e grupos. SIDs são adicionados às ACLs( listas de controle de acesso) toda vez que você concede permissão de usuário ou grupo a um arquivo ou pasta. Atrás do cenário, os SIDs são armazenados da mesma maneira que todos os outros objetos de dados são, em binário. No entanto, quando você vê um SID no Windows, ele será exibido usando uma sintaxe mais legível. Não é frequente que você veja qualquer forma de SID no Windows, o cenário mais comum é quando você concede permissão a um recurso e, em seguida, sua conta de usuário é excluída, ele aparecerá como um SID na ACL.Então, vamos dar uma olhada no formato típico no qual você verá SIDs no Windows.

A notação que você verá terá uma certa sintaxe, abaixo são as diferentes partes de um SID nesta notação.

  1. Um prefixo 'S'
  2. Número de revisão da estrutura
  3. Um valor de autoridade do identificador de 48 bits
  4. Um número variável de valores de identificador relativo( RID) de 32 bits

Usando o meu SID na imagem abaixo, vamos dividir os diferentesseções para obter uma melhor compreensão.

Estrutura SID:

'S' - O primeiro componente de um SID é sempre um 'S'.Este é prefixado para todos os SIDs e está lá para informar o Windows que o que se segue é um SID.
'1' - O segundo componente de um SID é o número de revisão da especificação SID, se a especificação SID fosse para modificá-lo proporcionaria compatibilidade com versões anteriores. A partir do Windows 7 e Server 2008 R2, a especificação SID ainda está na primeira revisão.
'5' - A terceira seção de um SID é chamada de Autoridade de Identificador. Isso define em qual escopo o SID foi gerado. Os valores possíveis para estas seções do SID podem ser:

  1. 0 - Autoridade Nula
  2. 1 - Autoridade Mundial
  3. 2 - Autoridade Local
  4. 3 - Autoridade do Criador
  5. 4 - Autoridade não exclusiva
  6. 5 - Autoridade NT

'21' - AO próximo componente é a sub-autoridade 1, o valor '21' é usado no próximo campo para especificar que as sub-autoridades a seguir identificam a Máquina Local ou o Domínio.
'1206375286-251249764-2214032401' - Estes são chamados de sub-autoridade 2,3 e 4, respectivamente. No nosso exemplo, isso é usado para identificar a máquina local, mas também pode ser o identificador de um domínio.
'1000' - A sub-autoridade 5 é o último componente em nosso SID e é chamado de RID( Identificador Relativo), o RID é relativo a cada princípio de segurança, observe que quaisquer objetos definidos pelo usuário, aqueles que não são enviadosA Microsoft terá um RID de 1000 ou superior.

Princípios de segurança

Um princípio de segurança é qualquer coisa que tenha um SID anexado a ele, estes podem ser usuários, computadores e até grupos. Os princípios de segurança podem ser locais ou estar no contexto do domínio. Você administra os princípios de segurança locais através do snap-in Local Users and Groups, sob gerenciamento de computadores. Para chegar lá clique com o botão direito do mouse no atalho do computador no menu Iniciar e escolha gerenciar.

Para adicionar um novo princípio de segurança do usuário, você pode ir para a pasta de usuários e clicar com o botão direito do mouse e escolher um novo usuário.

Se você clicar duas vezes em um usuário, pode adicioná-los a um Grupo de segurança na guia Membro de.

Para criar um novo grupo de segurança, navegue até a pasta Grupos do lado direito. Clique com o botão direito no espaço em branco e selecione um novo grupo. Permissões de compartilhamento

e permissão NTFS

No Windows existem dois tipos de permissões de arquivos e pastas, em primeiro lugar há as permissões de compartilhamento e, em segundo lugar, existem permissões NTFS também chamadas de permissões de segurança. Tome nota que, quando você compartilha uma pasta por padrão, o grupo "Todos" recebe a permissão de leitura. A segurança nas pastas geralmente é feita com uma combinação de permissão Share e NTFS se este for o caso, é essencial lembrar que o mais restritivo sempre se aplica, por exemplo, se a permissão de compartilhamento estiver definida como Todos = Read( que é o padrão),mas a Permissão NTFS permite que os usuários façam uma alteração no arquivo, a permissão de compartilhamento terá preferência e os usuários não poderão fazer alterações. Quando você define as permissões, o LSASS( Local Security Authority) controla o acesso ao recurso. Quando você efetua o logon, você recebe um token de acesso com o seu SID, quando você acessa o recurso, o LSASS compara o SID que você adicionou à ACL( Access Control List) e se o SID estiver na ACL, ele determina sepermitir ou negar o acesso. Não importa quais permissões você usa, há diferenças, então vamos dar uma olhada para entender melhor quando devemos usar o quê.Permissões de compartilhamento

:

  1. Aplicam somente para usuários que acessam o recurso através da rede. Eles não se aplicam se você logar localmente, por exemplo, através de serviços de terminal.
  2. Aplica-se a todos os arquivos e pastas no recurso compartilhado. Se você quiser fornecer um esquema de restrição mais granular, você deve usar a permissão NTFS além das permissões compartilhadas
  3. Se você tiver algum volume formatado FAT ou FAT32, esta será a única forma de restrição disponível para você, já que as permissões NTFS não sãodisponível nos sistemas de arquivos.

NTFS Permissões:

  1. A única restrição nas permissões de NTFS é que eles só podem ser configurados em um volume formatado para o sistema de arquivos NTFS.
  2. Lembre-se de que o NTFS é cumulativo, o que significa que as permissões efetivas de um usuário são o resultado da combinação do usuário atribuídopermissões e as permissões de qualquer grupo ao qual o usuário pertence.

As novas permissões de compartilhamento

O Windows 7 comprou ao longo de uma nova técnica de compartilhamento "fácil".As opções mudaram de Read, Change e Full Control para. Leia e Leia / Escreva. A idéia fazia parte de toda a mentalidade do grupo Home e facilita a partilha de uma pasta para pessoas que não são informáticas. Isso é feito através do menu de contexto e compartilha facilmente com seu grupo de residência.

Se você queria compartilhar com alguém que não está no grupo de origem, você sempre pode escolher a opção "Pessoas específicas. ..".O que trazria um diálogo mais "elaborado".Onde você poderia especificar um usuário ou grupo específico.

Há apenas duas permissões como mencionado anteriormente, juntas elas oferecem um esquema de proteção tudo ou nada para suas pastas e arquivos.

  1. Read permissão é a opção "look, do not touch".Os destinatários podem abrir, mas não modificar ou excluir um arquivo.
  2. Leitura / gravação é a opção "fazer qualquer coisa".Os destinatários podem abrir, modificar ou excluir um arquivo.

O Old School Way

O diálogo de compartilhamento antigo teve mais opções e nos deu a opção de compartilhar a pasta sob um alias diferente, permitiu-nos limitar o número de conexões simultâneas, bem como configurar o armazenamento em cache. Nenhuma dessas funcionalidades é perdida no Windows 7, mas sim está escondida sob uma opção chamada "Compartilhamento Avançado".Se você clicar com o botão direito do mouse em uma pasta e acessar suas propriedades, você pode encontrar essas configurações de "Compartilhamento avançado" na guia Compartilhamento.

Se você clicar no botão "Compartilhamento avançado", que requer credenciais de administrador local, você pode configurar todas as configurações que você conhecia nas versões anteriores do Windows.

Se você clicar no botão de permissões, você receberá as 3 configurações que todos conhecemos.

A
  1. Read permite-lhe visualizar e abrir arquivos e subdiretórios, bem como executar aplicativos. No entanto, não permite que sejam feitas alterações.
  2. Modificar permissão permite que você faça tudo o que Leia permissão permite, ele também adiciona a capacidade de adicionar arquivos e subdiretórios, excluir subpastas e alterar dados nos arquivos.
  3. Controle total é o "fazer qualquer coisa" das permissões clássicas, pois permite que você faça todas e todas as permissões anteriores. Além disso, você fornece permissão NTFS de alteração avançada, isso só se aplica às pastas NTFS

Permissões NTFS

Permissão NTFS permite um controle muito granular sobre seus arquivos e pastas. Com isso dito, a quantidade de granularidade pode ser assustadora para um recém-chegado. Você também pode definir a permissão NTFS em uma base por arquivo, bem como uma base por pasta. Para definir Permissão NTFS em um arquivo, você deve clicar com o botão direito e ir para as propriedades dos arquivos onde você precisará acessar a guia de segurança.

Para editar as permissões NTFS para um usuário ou grupo, clique no botão Editar.

Como você pode ver, existem muitas Permissões NTFS para que elas as quebram. Primeiro, veremos as permissões NTFS que você pode configurar em um arquivo.

  1. Controle total permite ler, escrever, modificar, executar, alterar atributos, permissões e se apropriar do arquivo.
  2. Modificar permite que você leia, escreva, modifique, execute e altere os atributos do arquivo.
  3. Read &O Execute permitirá que você exiba os dados, os atributos, o proprietário e as permissões do arquivo, e execute o arquivo se for um programa.
  4. Read permitirá que você abra o arquivo, veja seus atributos, proprietário e permissões.
  5. Write permitirá que você escreva dados no arquivo, anexe ao arquivo e leia ou altere seus atributos.

NTFS As permissões para pastas têm opções ligeiramente diferentes, então vamos dar uma olhada nelas.

  1. Controle total permite ler, escrever, modificar e executar arquivos na pasta, alterar atributos, permissões e se apropriar da pasta ou arquivos dentro.
  2. Modificar permite que você leia, escreva, modifique e execute arquivos na pasta e altere atributos da pasta ou arquivos dentro.
  3. Read &O Execute permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta e execute arquivos dentro da pasta. Conteúdo da pasta da lista
  4. O permitirá que você exiba o conteúdo da pasta e exiba os dados, os atributos, o proprietário e as permissões para os arquivos dentro da pasta.
  5. Read permitirá que você exiba os dados, os atributos, o proprietário e as permissões do arquivo.
  6. Write permitirá que você escreva dados no arquivo, anexe ao arquivo e leia ou altere seus atributos.

A documentação da Microsoft também afirma que "List Folder Contents" permitirá que você execute arquivos dentro da pasta, mas você ainda precisará habilitar "Read &Execute "para fazê-lo.É uma permissão muito confusamente documentada.

Resumo

Em resumo, nomes de usuários e grupos são representações de uma seqüência alfanumérica chamada SID( Security Identifier), Share e NTFS Permissões estão vinculados a esses SIDs. As permissões de compartilhamento são verificadas pelo LSSAS somente ao serem acessadas pela rede, enquanto as permissões NTFS são válidas apenas nas máquinas locais. Espero que todos tenham um bom entendimento de como a segurança de arquivos e pastas no Windows 7 é implementada. Se você tiver dúvidas, sinta-se à vontade para tocar nos comentários.