Jak porozumět těmto zmateným oprávněním souborů / oprávnění pro systém Windows 7
Pokusili jste se někdy zjistit všechna oprávnění v systému Windows? K dispozici jsou oprávnění ke sdílení, oprávnění NTFS, seznamy řízení přístupu a další. Zde je, jak všichni společně pracují.
Identifikátor zabezpečení
Operační systémy Windows používají znaky SID, které představují všechny bezpečnostní zásady. SID jsou pouze řetězce s proměnnou délkou alfanumerických znaků, které představují stroje, uživatele a skupiny. SID jsou přidávány do seznamu ACL (Seznamy řízení přístupu) pokaždé, když udělíte uživateli nebo skupinovému oprávnění souboru nebo složce. Za scénou jsou SID uloženy stejně jako všechny ostatní datové objekty v binárním formátu. Pokud však uvidíte SID v systému Windows, zobrazí se pomocí srozumitelnější syntaxe. Není časté, že v systému Windows uvidíte jakoukoli formu SID, nejčastějším scénářem je, když udělíte někoho oprávnění k prostředku, pak jeho uživatelský účet bude smazán, poté se v ACL zobrazí jako SID. Takže se podívejte na typický formát, ve kterém uvidíte SID v systému Windows.
Označení, které uvidíte, má určitou syntaxi, níže jsou různé části SID v tomto zápisu.
- Předpona 'S'
- Číslo revize struktury
- Hodnota autority 48bitového identifikátoru
- Proměnné množství 32-bitových podřízenců nebo relativních identifikátorů (RID)
Použitím svého SID na obrázku níže rozdělíme jednotlivé sekce, abychom získali lepší pochopení.
Struktura SID:
'S' - První složka SID je vždy "S". To je předznačeno všem SID a je zde informovat systém Windows, že následuje SID.
'1' - Druhou složkou SID je číslo revize specifikace SID, pokud by specifikace SID změnila, poskytne zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
'5' - Třetí část identifikátoru SID se nazývá identifikační autorita. Toto definuje, v jakém rozsahu byl generován SID. Možné hodnoty pro tyto části SID mohou být:
- 0 - Null Authority
- 1 - Světový úřad
- 2 - Místní úřad
- 3 - autorita tvůrce
- 4 - Nezávislý úřad
- 5 - úřad NT
'21' - Čtvrtou složkou je sub-autorita 1, hodnota "21" se používá ve čtvrtém poli pro specifikaci, že následující sub-autority identifikují místní počítač nebo doménu.
'1206375286-251249764-2214032401' - Tito se nazývají sub-autorita 2,3 a 4. V našem příkladu se používá k identifikaci lokálního počítače, ale může být také identifikátorem domény.
'1000' - Sub-authority 5 je poslední součástí našeho SID a nazývá se RID (relativní identifikátor), RID je relativní vůči každému principu zabezpečení. Vezměte prosím na vědomí, že všechny objekty definované uživatelem, které nejsou dodány společností Microsoft, budou mít RID 1000 nebo vyšší.
Bezpečnostní zásady
Zásada zabezpečení je něco, co je k němu připojeno, mohou to být uživatelé, počítače a dokonce i skupiny. Zásady zabezpečení mohou být lokální nebo mohou být v kontextu domény. Spravujete zásady místní bezpečnosti pomocí modulu snap-in Místní uživatelé a skupiny pod správou počítače. Chcete-li se dostat tam pravým tlačítkem myši na zástupce počítače v nabídce Start a zvolte správu.
Chcete-li přidat nový princip zabezpečení uživatelů, můžete přejít do složky uživatelů a kliknout pravým tlačítkem myši a vybrat nového uživatele.
Pokud dvakrát kliknete na uživatele, můžete je přidat do skupiny zabezpečení na kartě Člen.
Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně. Klikněte pravým tlačítkem myši na prázdné místo a vyberte novou skupinu.
Sdílení oprávnění a oprávnění NTFS
V systému Windows existují dva typy oprávnění k souborům a složkám, nejprve existují oprávnění ke sdílení a za druhé jsou k dispozici oprávnění NTFS nazývaná také oprávnění zabezpečení. Vezměte na vědomí, že pokud sdílíte složku ve výchozím nastavení, skupina "Everyone" dostane oprávnění ke čtení. Zabezpečení složek se obvykle provádí kombinací oprávnění ke sdílení a NTFS, pokud je to nutné, je nutné si uvědomit, že platí vždy nejvíce restriktivní, například pokud je oprávnění sdílení nastavena na hodnotu Everyone = Read (což je výchozí hodnota) ale oprávnění NTFS umožňuje uživatelům provádět změnu souboru, oprávnění ke sdílení bude mít přednost a uživatelům nebude povoleno provádět změny. Když nastavíte oprávnění, LSASS (Local Security Authority) řídí přístup k prostředku. Při přihlašování dostanete přístupový token s identifikací SID, při přístupu k prostředku LSASS porovnává SID, který jste přidali do seznamu ACL (Access Control List) a pokud je SID v ACL, určí, zda povolit nebo odmítnout přístup. Nezáleží na tom, jaké oprávnění používáte, existují rozdíly, takže se podívejte na lepší pochopení toho, kdy bychom měli používat co.
Oprávnění ke sdílení:
- Platí pouze pro uživatele, kteří přistupují k síti prostřednictvím sítě. Neaplikují se, pokud se přihlašujete místně, například prostřednictvím terminálových služeb.
- Platí pro všechny soubory a složky ve sdíleném prostředku. Chcete-li poskytnout podrobnější schéma omezení, měli byste kromě sdílených oprávnění používat oprávnění NTFS
- Pokud máte nějaké svazky ve formátu FAT nebo FAT32, bude to jediná forma omezení, které máte k dispozici, protože oprávnění NTFS nejsou k dispozici v těch systémech souborů.
Oprávnění NTFS:
- Jediným omezením oprávnění NTFS je to, že lze nastavit pouze na svazek, který je naformátován do systému souborů NTFS
- Nezapomeňte, že systém souborů NTFS je kumulativní, což znamená, že efektivní oprávnění uživatelů jsou výsledkem kombinace přidělených oprávnění uživatele a oprávnění všech skupin, do kterých uživatel patří.
Nové oprávnění ke sdílení
Systém Windows 7 si koupil novou "jednoduchou" techniku sdílení. Možnosti se změnily z položky Číst, Změnit a Úplné řízení na. Čtení a čtení / zápis. Myšlenka byla součástí celé mentality domácí skupiny a umožňuje snadné sdílení složky pro lidi, kteří nejsou počítačem gramotní. To se provádí prostřednictvím kontextové nabídky a sdílí snadno s vaší domovskou skupinou.
Pokud jste se chtěli podělit s někým, kdo není v domácí skupině, můžete vždy zvolit možnost "Specifické osoby ...". Což by vyvolalo více "propracovaný" dialog. Kde můžete určit konkrétní uživatele nebo skupinu.
Existují pouze dvě oprávnění, jak bylo dříve uvedeno, společně nabízejí schéma ochrany pro všechny složky nebo soubory.
- Číst oprávnění je možnost "vypadat, nedotýkejte se". Příjemci mohou otevírat soubor, ale nemodifikovat ani odstraňovat.
- Číst psát je možnost "dělat cokoliv". Příjemci mohou soubor otevřít, upravit nebo smazat.
Stará školní cesta
Starý dialog pro sdílení měl více možností a dal nám možnost sdílet složku pod jiným aliasem, což nám umožnilo omezit počet simultánních připojení i konfigurovat ukládání do mezipaměti. Žádná z těchto funkcí není v systému Windows 7 ztracena, ale spíše je skrytá pod volbou "Pokročilé sdílení". Pokud klepnete pravým tlačítkem myši na složku a přejdete na její vlastnosti, můžete na kartě sdílení najít tato nastavení "Pokročilé sdílení".
Pokud klepnete na tlačítko Rozšířené sdílení, které vyžaduje pověření místního správce, můžete nakonfigurovat všechna nastavení, která jste obeznámili s předchozími verzemi systému Windows.
Kliknete-li na tlačítko oprávnění, zobrazí se Vám 3 nastavení, která všichni známe.
- Číst oprávnění umožňuje zobrazit a otevřít soubory a podadresáře stejně jako spouštět aplikace. Neumožňuje však žádné změny.
- Upravit povolení vám umožňuje dělat cokoli Číst povolení umožňuje, přidá také možnost přidat soubory a podadresáře, odstranit podsložky a měnit data v souborech.
- Plná kontrola je "dělat cokoliv" z klasických oprávnění, protože umožňuje provádět všechna předchozí oprávnění. Navíc vám poskytuje rozšířené oprávnění NTFS, platí pouze pro složky NTFS
Oprávnění NTFS
Povolení NTFS umožňuje velmi granulární kontrolu nad soubory a složkami. S tím lze říci, že množství granularity může být pro nováčkáře skličující. Můžete také nastavit oprávnění NTFS na základě souboru, stejně jako podle složky. Chcete-li nastavit oprávnění NTFS v souboru, měli byste pravým tlačítkem myši a přejděte na soubory souborů, kde musíte přejít na kartu zabezpečení.
Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klepněte na tlačítko Upravit.
Jak můžete vidět, je zde spousta NTFS oprávnění, takže je můžete rozdělit. Nejprve se podíváme na oprávnění NTFS, které můžete nastavit v souboru.
- Plná kontrola umožňuje číst, psát, upravovat, provádět, měnit atributy, oprávnění a převzít vlastnictví souboru.
- Upravit umožňuje číst, psát, upravovat, provádět a měnit atributy souboru.
- Čtení a spouštění vám umožní zobrazit data souboru, atributy, vlastníka a oprávnění a spustit soubor, pokud je jeho program.
- Číst vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
- Napsat vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.
Oprávnění NTFS pro složky mají mírně odlišné možnosti, takže se na ně můžete podívat.
- Plná kontrola umožňuje číst, psát, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů v rámci.
- Upravit umožňuje číst, psát, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v rámci.
- Čtení a spouštění vám umožní zobrazit obsah složky a zobrazit data, atributy, majitele a oprávnění pro soubory ve složce a spustit soubory ve složce.
- Seznam obsahu složky vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastník a oprávnění pro soubory ve složce.
- Číst vám umožní zobrazit data, atributy, majitele a oprávnění souboru.
- Napsat vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.
V dokumentaci společnosti Microsoft se také uvádí, že "Obsah složky složky" vám umožní spouštět soubory ve složce, ale budete muset pro tento účel stále zapnout funkci "Číst a spustit". Je to velmi zmatečně zdokumentované povolení.
souhrn
Stručně řečeno, uživatelská jména a skupiny jsou reprezentace alfanumerického řetězce s názvem SID (Security Identifier), Share a NTFS oprávnění jsou svázána s těmito identifikátory SID. Sdílení oprávnění kontroluje LSSAS pouze při přístupu přes síť, zatímco oprávnění NTFS jsou platná pouze na místních počítačích. Doufám, že jste všichni správně porozuměli, jak je implementace zabezpečení souborů a složek v systému Windows 7 implementována. Máte-li jakékoli dotazy, můžete v komentářích znít.