7Jul
Har du någonsin försökt att räkna ut alla behörigheter i Windows? Det finns delbehörigheter, NTFS-behörigheter, åtkomstkontrolllistor och mer. Så här fungerar de tillsammans.
Säkerhetsidentifieraren
Windows operativsystem använder SID för att representera alla säkerhetsprinciper. SID: er är bara strängar med variabel längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID läggs till ACL( Access Control Lists) varje gång du beviljar en användare eller gruppbehörighet till en fil eller mapp. Bakom scenen lagras SID-filer på samma sätt som alla andra dataobjekt, i binära. Men när du ser ett SID i Windows visas det med en mer läsbar syntax. Det är inte ofta att du ser någon form av SID i Windows, det vanligaste scenariot är när du beviljar någon behörighet till en resurs, då tas deras användarkonto bort, det visas sedan som ett SID i ACL.Så kan vi titta på det typiska formatet där du kommer att se SID i Windows.
Notationen som du ser kommer att ha en viss syntax, nedan är de olika delarna av ett SID i denna notation.
- Ett prefix för
- Strukturrevisionsnummer
- Ett 48-bitars identifieringsmyndighetsvärde
- Ett variabelt antal 32-bitars undermyndighet eller relativa identifieringsvärden(
) Med mitt SID i bilden nedan kommer vi att bryta upp de olikasektioner för att få en bättre förståelse.
SID-strukturen:
'S' - Den första komponenten i ett SID är alltid en 'S'.Detta är prefixed till alla SIDs och är där för att informera Windows att det som följer är ett SID.
'1' - Den andra komponenten i ett SID är revisionsnumret för SID-specifikationen, om SID-specifikationen skulle ändras skulle den tillhandahålla bakåtkompatibilitet. I Windows 7 och Server 2008 R2 finns SID-specifikationen fortfarande i den första versionen.
'5' - Den tredje delen av ett SID kallas Identifier Authority. Detta definierar i vilken omfattning SID genererades. Möjliga värden för dessa delar av SID kan vara:
- 0 - Null Authority
- 1 - Världsmyndighet
- 2 - Lokal myndighet
- 3 - Skaparmyndighet
- 4 - Ej unik myndighet
- 5 - NT Authority
'21' - Denföregående komponent är undermyndighet 1, används värdet "21" i det föregående fältet för att ange att de undermyndigheter som följer identifierar den lokala maskinen eller domänen.
'1206375286-251249764-2214032401' - Dessa kallas undermyndighet 2,3 respektive 4.I vårt exempel används det för att identifiera den lokala maskinen, men kan också vara identifieraren för en domän.
'1000' - Delmyndighet 5 är den sista komponenten i vårt SID och heter RID( Relative Identifier), RID är i förhållande till varje säkerhetsprincip. Observera att alla användardefinierade objekt, de som inte skickasav Microsoft kommer att ha en RID på 1000 eller högre.
Säkerhetsprinciper
En säkerhetsprincip är vad som helst som har ett SID kopplat till det, det kan vara användare, datorer och jämnt grupper. Säkerhetsprinciper kan vara lokala eller vara i domänkontexten. Du hanterar lokala säkerhetsprinciper genom snapin-programmet Local Users and Groups, under datorhantering. För att komma dit högerklicka på datorns genväg i startmenyn och välj hantera.
För att lägga till en ny användarsäkerhetsprincip kan du gå till användarmappen och högerklicka och välja ny användare.
Om du dubbelklickar på en användare kan du lägga till dem i en säkerhetsgrupp på fliken Medlem i.
För att skapa en ny säkerhetsgrupp, navigera till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj ny grupp.
Dela Tillstånd och NTFS Tillstånd
I Windows finns det två typer av fil- och mappbehörigheter, för det första finns det delbehörigheter och för det andra finns det NTFS-behörigheter även kallade säkerhetsbehörigheter. Observera att när du delar en mapp som standard får "Alla" gruppen läsbehörigheten. Säkerhet på mappar görs vanligtvis med en kombination av Share och NTFS-tillstånd om det är så viktigt att komma ihåg att den mest restriktiva alltid gäller, till exempel om delbehörigheten är inställd på Alla = Läs( som är standard)men med NTFS-tillstånd tillåter användare att ändra på filen, kommer delbehörigheten att föredra och användarna får inte göra ändringar. När du anger behörigheterna kontrollerar LSASS( Local Security Authority) åtkomst till resursen. När du loggar in får du en åtkomsttoken med ditt SID på den, när du går åt till resursen jämför LSASS det SID som du lade till i ACL( Access Control List) och om SID är på ACL bestämmer du om du villtillåta eller neka åtkomst. Oavsett vilka behörigheter du använder finns skillnader så vi kan ta en titt för att få en bättre förståelse när vi ska använda vad.
Delbehörigheter:
- Gäller bara för användare som har tillgång till resursen över nätverket. De gäller inte om du loggar in lokalt, till exempel via terminaltjänster.
- Den gäller alla filer och mappar i den delade resursen. Om du vill tillhandahålla ett mer granulärt slags begränsningsschema bör du använda NTFS-behörighet utöver delade behörigheter
- Om du har några formaterade FAT- eller FAT32-volymer kommer det att vara den enda begränsningsformen som finns tillgänglig, eftersom NTFS-tillstånd inte ärtillgängligt på dessa filsystem.
NTFS-behörigheter:
- Den enda begränsningen för NTFS-behörigheter är att de endast kan ställas in på en volym som är formaterad till NTFS-filsystemet
- Kom ihåg att NTFS är kumulativa vilket innebär att användarnas effektiva behörigheter är resultatet av att man kombinerar användarens tilldeladebehörigheter och behörigheterna för alla grupper som användaren tillhör.
Nya delbehörigheter
Windows 7 köpte tillsammans med en ny "enkel" delteknik. Alternativen ändrades från Läs, Ändra och Full kontroll till. Läs och läs / skriv. Tanken var en del av hela gruppens mentalitet och gör det enkelt att dela en mapp för icke-datorlitterat folk. Detta görs via snabbmenyn och delar enkelt med din hemgrupp.
Om du ville dela med någon som inte är hemmahörande kan du alltid välja alternativet "Specifikt folk. ..".Vilket skulle ge en mer "utarbetad" dialog. Där kan du ange en specifik användare eller grupp.
Det finns bara två tillstånd som tidigare nämnts, tillsammans erbjuder de ett helt eller inget skyddsschema för dina mappar och filer.
- Läs tillståndet är "look, touch inte" alternativet. Mottagare kan öppna, men inte ändra eller ta bort en fil.
- Läs / Skriv är alternativet "gör någonting".Mottagare kan öppna, ändra eller ta bort en fil.
Den gamla skolvägen
Den gamla delningsdialogren hade fler alternativ och gav oss möjlighet att dela mappen under ett annat alias, det gjorde att vi kunde begränsa antalet samtidiga anslutningar samt konfigurera caching. Ingen av denna funktionalitet går förlorad i Windows 7 men är dolt under ett alternativ som heter "Advanced Sharing".Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa "Advanced Sharing" -inställningar under fliken Dela.
Om du klickar på knappen "Advanced Sharing", som kräver lokala administratörsuppgifter, kan du konfigurera alla inställningar som du kände till i tidigare versioner av Windows.
Om du klickar på behörighetsknappen presenteras de 3 inställningarna som vi alla är bekanta med.
- Läs -behörighet så att du kan visa och öppna filer och underkataloger såväl som exekvera program. Men det tillåter inte några ändringar.
- Ändra -behörighet tillåter dig att göra allt som Läs -behörighet tillåter, det lägger också till möjligheten att lägga till filer och underkataloger, ta bort undermappar och ändra data i filerna.
- Full Control är "gör någonting" av de klassiska behörigheterna, eftersom det tillåter dig att göra alla tidigare behörigheter. Dessutom ger det dig den avancerade ändras NTFS-tillståndet, detta gäller bara för NTFS-mappar
NTFS-behörigheter
NTFS-tillstånd tillåter mycket granulär kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nykomling. Du kan också ställa in NTFS-behörighet per fil och per mappbasis. För att ställa in NTFS-behörighet på en fil bör du högerklicka och gå till filegenskaperna där du måste gå till fliken Sekretess.
För att redigera NTFS-behörigheterna för en användare eller grupp klickar du på redigeringsknappen.
Som du kan se finns det ganska många NTFS-tillstånd, så att vi kan bryta ner dem. Först kommer vi att titta på de NTFS-behörigheter som du kan ställa in på en fil.
- Full Control låter dig läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätten till filen.
- Ändra låter dig läsa, skriva, ändra, exekvera och ändra filens attribut.
- Läs &Genomför kan du visa filens data, attribut, ägare och behörigheter och köra filen om det är ett program.
- Läs låter dig öppna filen, visa dess attribut, ägare och behörigheter.
- Skriv låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.
NTFS Tillstånd för mappar har lite olika alternativ så vi kan titta på dem.
- Full Control låter dig läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätt till mappen eller filerna inom.
- Ändra låter dig läsa, skriva, ändra och exekvera filer i mappen och ändra attribut av mappen eller filerna inom.
- Läs &Genomför kan du visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen.
- Lista mappinnehåll låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen.
- Läs kan du visa filens data, attribut, ägare och behörigheter.
- Skriv låter dig skriva data till filen, lägga till filen och läsa eller ändra dess attribut.
I Microsofts dokumentation anges också att "List Folder Contents" låter dig utföra filer i mappen, men det måste du fortfarande aktivera "Read &Utför "för att göra det. Det är ett mycket förvirrande dokumentat tillstånd.
Sammanfattning
Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som heter SID( Säkerhetsidentifierare), Share och NTFS-behörigheter är knutna till dessa SID.Delbehörigheter kontrolleras endast av LSSAS när de öppnas över nätverket, medan NTFS-behörigheter endast gäller på de lokala maskinerna. Jag hoppas att du alla har en bra förståelse för hur fil och mappsäkerhet i Windows 7 implementeras. Om du har några frågor kan du ljuga av i kommentarerna.