21Aug
Nesta instalação da Geek School, damos uma olhada em Folder Virtualization, SIDs e Permissão, bem como o Sistema de Arquivos de Criptografia.
Certifique-se de verificar os artigos anteriores nesta série da Geek School no Windows 7:
- Introdução à How-To Geek School
- Atualizações e Migrações
- Configurando Dispositivos
- Gerenciando Discos
- Gerenciando Aplicativos
- Gerenciando o Internet Explorer
- Fundamentos de Endereçamento IP
- Networking
- WirelessRede
- Firewall do Windows
- Administração remota
- Acesso remoto
- Monitoramento, desempenho e manutenção do Windows até à data
E fique atento para o resto da série toda esta semana.
Folder Virtualization
O Windows 7 introduziu a noção de bibliotecas que permitiu que você tenha uma localização centralizada a partir da qual você pudesse visualizar recursos localizados em outro lugar em seu computador. Mais especificamente, o recurso de bibliotecas permitiu que você adicionasse pastas de qualquer lugar do seu computador a uma das quatro bibliotecas, documentos, música, vídeos e imagens padrão que são facilmente acessíveis a partir do painel de navegação do Windows Explorer.
Há duas coisas importantes a serem observadas sobre o recurso da biblioteca:
- Quando você adiciona uma pasta a uma biblioteca, a pasta em si não se move, em vez disso, um link é criado na localização da pasta.
- Para adicionar um compartilhamento de rede às suas bibliotecas, ele deve estar disponível off-line, embora você também possa usar um trabalho usando links simbólicos.
Para adicionar uma pasta a uma biblioteca, basta entrar na biblioteca e clicar no link de locais.
Em seguida, clique no botão Adicionar.
Agora localize a pasta que deseja incluir na biblioteca e clique no botão Incluir pasta.
Isso é tudo aí.
O identificador de segurança
O sistema operacional Windows usa SIDs para representar todos os princípios de segurança. SIDs são apenas cordas de comprimento variável de caracteres alfanuméricos que representam máquinas, usuários e grupos. SIDs são adicionados às ACLs( listas de controle de acesso) toda vez que você concede permissão de usuário ou grupo a um arquivo ou pasta. Por trás das cenas, os SIDs são armazenados da mesma maneira que todos os outros objetos de dados são: em binário. No entanto, quando você vê um SID no Windows, ele será exibido usando uma sintaxe mais legível. Não é frequente que você veja qualquer forma de SID no Windows;o cenário mais comum é quando você concede permissão a um recurso e, em seguida, exclua sua conta de usuário. O SID aparecerá no ACL.Então, vamos dar uma olhada no formato típico no qual você verá SIDs no Windows.
A notação que você verá terá uma certa sintaxe. Abaixo estão as diferentes partes de um SID.
- Um prefixo 'S'
- Número de revisão da estrutura
- Um valor de autoridade do identificador de 48 bits
- Um número variável de valores de sub-autoridade ou de identificador relativo de 32 bits( RID)
Usando o meu SID na imagem abaixo, vamos dividir os diferentesseções para obter uma melhor compreensão.
Estrutura SID:
'S' - O primeiro componente de um SID é sempre um 'S'.Este é prefixado para todos os SIDs e está lá para informar o Windows que o que se segue é um SID.
'1' - O segundo componente de um SID é o número de revisão da especificação SID.Se a especificação SID fosse para mudar, isso proporcionaria compatibilidade com versões anteriores. A partir do Windows 7 e Server 2008 R2, a especificação SID ainda está na primeira revisão.
'5' - A terceira seção de um SID é chamada de Autoridade Identificadora. Isso define em qual escopo o SID foi gerado. Os valores possíveis para estas seções do SID podem ser:
- 0 - Autoridade Nula
- 1 - Autoridade Mundial
- 2 - Autoridade Local
- 3 - Autoridade do Criador
- 4 - Autoridade não exclusiva
- 5 - Autoridade NT
'21' - O quarto componente é sub-autoridade 1. O valor '21' é usado no quarto campo para especificar que as sub-autoridades a seguir identificam a Máquina Local ou o Domínio.
'1206375286-251249764-2214032401' - Estes são chamados de sub-autoridade 2,3 e 4, respectivamente. No nosso exemplo, isso é usado para identificar a máquina local, mas também pode ser o identificador de um domínio.
'1000' - A sub-autoridade 5 é o último componente em nosso SID e é chamado de RID( Identificador Relativo).O RID é relativo a cada princípio de segurança: observe que quaisquer objetos definidos pelo usuário, que não são enviados pela Microsoft, terão um RID de 1000 ou superior.
Princípios de segurança
Um princípio de segurança é qualquer coisa que tenha um SID anexado a ele. Estes podem ser usuários, computadores e até grupos. Os princípios de segurança podem ser locais ou estar no contexto do domínio. Você administra os princípios de segurança locais através do snap-in Local Users and Groups, sob gerenciamento de computadores. Para chegar lá, clique com o botão direito do mouse no atalho do computador no menu Iniciar e escolha gerenciar.
Para adicionar um novo princípio de segurança do usuário, você pode acessar a pasta Usuários e clicar com o botão direito do mouse e escolher Novo Usuário.
Se você clicar duas vezes em um usuário, pode adicioná-los a um Grupo de segurança na guia Membro de.
Para criar um novo grupo de segurança, navegue até a pasta Grupos do lado direito. Clique com o botão direito do mouse no espaço em branco e selecione Novo grupo.
permissões de compartilhamento e permissão NTFS
No Windows existem dois tipos de permissões de arquivos e pastas. Em primeiro lugar, existem as permissões de compartilhamento. Em segundo lugar, existem permissões NTFS, que também são chamadas de permissões de segurança. Proteger pastas compartilhadas geralmente é feito com uma combinação de permissões de compartilhamento e NTFS.Como este é o caso, é essencial lembrar que a permissão mais restritiva sempre se aplica. Por exemplo, se a permissão de compartilhamento conceder permissão de leitura do princípio de segurança Todo mundo, mas a permissão NTFS permite que os usuários façam uma alteração no arquivo, a permissão de compartilhamento terá precedência e os usuários não terão permissão para fazer alterações. Quando você define as permissões, o LSASS( Local Security Authority) controla o acesso ao recurso. Quando você faz logon, você recebe um token de acesso com o seu SID.Quando você acessa o recurso, o LSASS compara o SID que você adicionou à ACL( Lista de Controle de Acesso).Se o SID estiver na ACL, ele determina se deseja permitir ou negar o acesso. Não importa quais permissões você usa, há diferenças, então vamos dar uma olhada para entender melhor quando devemos usar o quê.Permissões de compartilhamento
:
- Aplicam somente aos usuários que acessam o recurso através da rede. Eles não se aplicam se você logar localmente, por exemplo, através de serviços de terminal.
- Aplica-se a todos os arquivos e pastas no recurso compartilhado. Se você quiser fornecer um esquema de restrição mais granular, você deve usar permissão NTFS além das permissões compartilhadas
- Se você tiver algum volume formatado FAT ou FAT32, esta será a única forma de restrição disponível para você, pois as permissões NTFS não sãodisponível nos sistemas de arquivos.
NTFS Permissões:
- A única restrição nas permissões NTFS é que eles só podem ser configurados em um volume formatado para o sistema de arquivos NTFS
- Lembre-se de que as permissões NTFS são cumulativas. Isso significa que as permissões efetivas de um usuário são o resultado de combinar as permissões atribuídas pelo usuário e as permissões de qualquer grupo ao qual o usuário pertence.
As novas permissões de compartilhamento
O Windows 7 comprou ao longo de uma nova técnica de compartilhamento "fácil".As opções mudaram de leitura, mudança e controle total para leitura e leitura / gravação. A idéia era parte de toda a mentalidade do Homegroup e facilita a partilha de uma pasta para pessoas não alfabetizadas em informática. Isso é feito através do menu de contexto e compartilha facilmente com seu grupo doméstico.
Se você queria compartilhar com alguém que não está no grupo inicial, você sempre pode escolher a opção "Pessoas específicas. ..".O que trazria um diálogo mais "elaborado" onde você poderia especificar um usuário ou grupo.
Existem apenas duas permissões, como mencionado anteriormente. Juntos, eles oferecem um esquema de proteção tudo ou nada para suas pastas e arquivos.
- Read permissão é a opção "look, do not touch".Os destinatários podem abrir, mas não modificar ou excluir um arquivo.
- Leitura / Gravação é a opção "fazer qualquer coisa".Os destinatários podem abrir, modificar ou excluir um arquivo.
Permissão da Escola Velha
O diálogo de compartilhamento antigo tinha mais opções, como a opção de compartilhar a pasta sob um alias diferente. Isso nos permitiu limitar o número de conexões simultâneas, bem como configurar o armazenamento em cache. Nenhuma dessas funcionalidades é perdida no Windows 7, mas sim está escondida sob uma opção chamada "Compartilhamento Avançado".Se você clicar com o botão direito do mouse em uma pasta e acessar suas propriedades, você pode encontrar essas configurações de "Compartilhamento avançado" na guia Compartilhamento.
Se você clicar no botão "Compartilhamento avançado", que requer credenciais de administrador local, você pode configurar todas as configurações que você conhecia nas versões anteriores do Windows.
Se você clicar no botão de permissões, você receberá as 3 configurações que todos conhecemos.
- Leia permissão permite visualizar e abrir arquivos e subdiretórios, bem como executar aplicativos. No entanto, não permite que sejam feitas alterações.
- Modificar permissão permite que você faça tudo o que Leia permissão permite, e também adicionar a capacidade de adicionar arquivos e subdiretórios, excluir subpastas e alterar dados nos arquivos.
- Controle total é o "fazer qualquer coisa" das permissões clássicas, pois permite que você faça todas e todas as permissões anteriores. Além disso, ele fornece permissão NTFS de alteração avançada, mas isso só se aplica às pastas NTFS
Permissões NTFS
As permissões NTFS permitem um controle muito granular sobre seus arquivos e pastas. Com isso dito, a quantidade de granularidade pode ser assustadora para um recém-chegado. Você também pode definir a permissão NTFS em uma base por arquivo, bem como uma base por pasta. Para definir Permissão NTFS em um arquivo, você deve clicar com o botão direito e ir às propriedades do arquivo, então vá para a guia de segurança.
Para editar as Permissões NTFS para um Usuário ou Grupo, clique no botão de edição.
Como você pode ver, existem muitas Permissões NTFS, então vamos quebrá-las. Primeiro, veremos as Permissões NTFS que você pode configurar em um arquivo.
- Controle total permite ler, escrever, modificar, executar, alterar atributos, permissões e se apropriar do arquivo.
- Modificar permite que você leia, escreva, modifique, execute e altere os atributos do arquivo.
- Read &O Execute permitirá que você exiba os dados, os atributos, o proprietário e as permissões do arquivo e execute o arquivo se for um programa.
- Leia permitirá que você abra o arquivo, visualize seus atributos, proprietário e permissões.
- Write permitirá que você escreva dados no arquivo, anexe ao arquivo e leia ou altere seus atributos.
NTFS As permissões para pastas têm opções ligeiramente diferentes, então vamos examiná-las.
- Controle total permitirá que você leia, escreva, modifique e execute arquivos na pasta, altere atributos, permissões e adote a pasta ou arquivos dentro.
- Modificar permitirá que você leia, escreva, modifique e execute arquivos na pasta e altere os atributos da pasta ou arquivos dentro.
- Read &Execute o permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta e execute arquivos dentro da pasta.
- Lista Conteúdo da pasta permitirá que você exiba o conteúdo da pasta e exiba os dados, os atributos, o proprietário e as permissões para os arquivos dentro da pasta e execute arquivos dentro da pasta
- Leia permitirá que você exiba os dados, atributos,proprietário e permissões.
- Write permitirá que você escreva dados no arquivo, anexe ao arquivo e leia ou altere seus atributos.
Resumo
Em resumo, nomes de usuários e grupos são representações de uma string alfanumérica chamada SID( Security Identifier).As permissões de compartilhamento e NTFS estão vinculadas a esses SIDs. As permissões de compartilhamento são verificadas pelo LSSAS somente quando acessadas pela rede, enquanto permissões NTFS são combinadas com as permissões de compartilhamento para permitir um nível de segurança mais granular para recursos acessados pela rede e localmente.
Acessando um recurso compartilhado
Então, agora que aprendemos sobre os dois métodos que podemos usar para compartilhar conteúdo em nossos PCs, como você realmente consegue acessá-lo através da rede?É muito simples. Basta digitar o seguinte na barra de navegação.
\\ computername \ sharename
Nota: Obviamente, você precisará substituir o nome do computador pelo nome do PC que hospeda o compartilhamento e o nome de compartilhamento para o nome do compartilhamento.
Isso é ótimo para conexões uma vez, mas e em um ambiente corporativo maior? Certamente, você não precisa ensinar seus usuários a se conectar a um recurso de rede usando este método. Para contornar isso, você quer mapear uma unidade de rede para cada usuário, desta forma você pode aconselhá-los a armazenar seus documentos na unidade "H", em vez de tentar explicar como se conectar a um compartilhamento. Para mapear uma unidade, abra o Computador e clique no botão "Map network drive".
Em seguida, digite simplesmente o caminho UNC do compartilhamento.
Provavelmente você está se perguntando se você tem que fazer isso em todos os PCs e, felizmente, a resposta é não. Em vez disso, você pode escrever um script em lote para mapear automaticamente as unidades para seus usuários no logon e implantá-lo através da Diretiva de Grupo.
Se dissecamos o comando:
- Estamos usando o comando net use para mapear a unidade.
- Usamos o * para indicar que queremos usar a próxima letra de unidade disponível.
- Finalmente nós especificamos o compartilhamento para o qual queremos mapear a unidade. Observe que usamos aspas porque o caminho UNC contém espaços.
Criptografia de arquivos usando o sistema de arquivos de criptografia
O Windows inclui a capacidade de criptografar arquivos em um volume NTFS.Isso significa que somente você poderá descriptografar os arquivos e visualizá-los. Para criptografar um arquivo, basta clicar com o botão direito do mouse sobre ele e selecionar propriedades no menu de contexto.
Em seguida, clique em avançado.
Agora marque a caixa de verificação Criptografar conteúdo para proteger dados e clique em OK.
Agora vá em frente e aplique as configurações.
Precisamos apenas criptografar o arquivo, mas você também tem a opção de criptografar a pasta pai.
Tome nota que, uma vez que o arquivo está criptografado, fica verde.
Você notará agora que somente você poderá abrir o arquivo e que outros usuários no mesmo PC não poderão. O processo de criptografia usa criptografia de chave pública, portanto mantenha suas chaves de criptografia seguras. Se você os perder, seu arquivo desapareceu e não há como recuperá-lo.
Trabalho de casa
- Saiba mais sobre a herança de permissão e permissões efetivas.
- Leia este documento da Microsoft.
- Saiba por que você gostaria de usar o BranchCache.
- Saiba como compartilhar impressoras e por que você deseja.