Jak porozumět zmateným oprávněním k souborům a sdíleným složkám systému Windows 7

NEBEZPEČNÝ OBSAH

Zkusili jste někdy zjistit všechna oprávnění v systému Windows? K dispozici jsou oprávnění ke sdílení, oprávnění NTFS, seznamy řízení přístupu a další. Takto fungují všichni společně.

Identifikátor zabezpečení

Operační systémy Windows používají SID k zastoupení všech principů zabezpečení. SID jsou pouze řetězce proměnné délky alfanumerických znaků, které představují stroje, uživatele a skupiny. SID se přidávají do ACL (Access Control Lists) pokaždé, když udělíte uživateli nebo skupině oprávnění k souboru nebo složce. Za scénou jsou SID uloženy stejným způsobem jako všechny ostatní datové objekty v binárním formátu. Když však uvidíte SID v systému Windows, zobrazí se pomocí čitelnější syntaxe. Nestává se často, že uvidíte jakoukoli formu SID v systému Windows, nejběžnějším scénářem je, když někomu udělíte oprávnění ke zdroji, poté se jeho uživatelský účet odstraní a poté se zobrazí jako SID v seznamu ACL. Pojďme se tedy podívat na typický formát, ve kterém uvidíte SID ve Windows.

Zápis, který uvidíte, vyžaduje určitou syntaxi, níže jsou různé části SID v tomto zápisu.

1. Předpona „S“
2. Číslo revize struktury
3. Hodnota autority 48bitového identifikátoru
4. Variabilní počet 32bitových hodnot sub-autorit nebo relativních identifikátorů (RID)

Pomocí mého SID na obrázku níže rozdělíme jednotlivé sekce, abychom lépe porozuměli.

Struktura SID:

‘S’ - První složka SID je vždy „S“. Toto má předponu pro všechny SID a slouží k informování systému Windows, že následující je SID.
‘1’ - Druhou součástí SID je číslo revize specifikace SID, pokud by se specifikace SID měla změnit, poskytla by zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
‘5’ - Třetí část SID se nazývá Identifikační autorita. To definuje, v jakém rozsahu byl vygenerován SID. Možné hodnoty pro tuto část SID mohou být:

1. 0 - Nulová autorita
2. 1 - Světová autorita
3. 2 - Místní úřad
4. 3 - Autorita autorů
5. 4 - Nejedinečná autorita
6. 5 - Oprávnění NT

’21’ - Čtvrtou složkou je podřízený orgán 1, hodnota „21“ se používá ve čtvrtém poli k určení, že následující podřízené orgány identifikují místní počítač nebo doménu.
‘1206375286-251249764-2214032401’ - Tito se nazývají dílčí autority 2,3 a 4. V našem příkladu se to používá k identifikaci místního počítače, ale může to být také identifikátor pro doménu.
‘1000’ - Sub-autorita 5 je poslední komponentou v našem SID a nazývá se RID (relativní identifikátor), RID je relativní ke každému bezpečnostnímu činiteli, mějte na paměti, že všechny uživatelem definované objekty, ty, které nejsou dodávány společností Microsoft, budou mít RID 1000 nebo vyšší.

Principály zabezpečení

Principál zabezpečení je cokoli, k němuž je připojeno SID, mohou to být uživatelé, počítače a dokonce i skupiny. Objekty zabezpečení mohou být místní nebo v kontextu domény. Místní instanční objekty zabezpečení můžete spravovat pomocí modulu snap-in Místní uživatelé a skupiny v části Správa počítače. Chcete-li se tam dostat, klikněte pravým tlačítkem na zástupce počítače v nabídce Start a vyberte Spravovat.

Chcete-li přidat nový instanční objekt zabezpečení uživatele, můžete přejít do složky users a kliknout pravým tlačítkem a vybrat nového uživatele.

Pokud na uživatele dvakrát kliknete, můžete je přidat do skupiny zabezpečení na kartě Člen.

Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně. Klikněte pravým tlačítkem na prázdné místo a vyberte novou skupinu.

Sdílet oprávnění a oprávnění NTFS

V systému Windows existují dva typy oprávnění k souborům a složkám, za prvé existují oprávnění ke sdílení a za druhé existují oprávnění NTFS, která se také nazývají oprávnění zabezpečení. Vezměte na vědomí, že když ve výchozím nastavení sdílíte složku, skupina „Všichni“ má oprávnění ke čtení. Zabezpečení složek se obvykle provádí kombinací oprávnění Sdílet a NTFS, pokud je to tak, je třeba si uvědomit, že vždy platí ta nejpřísnější, například pokud je oprávnění ke sdílení nastaveno na Všichni = Číst (což je výchozí nastavení), ale oprávnění NTFS umožňuje uživatelům provést změnu souboru, přednost bude mít oprávnění ke sdílení a uživatelé nebudou moci provádět změny. Když nastavíte oprávnění, LSASS (Local Security Authority) řídí přístup k prostředku. Když se přihlásíte, obdržíte přístupový token s vaším SID, při přístupu k prostředku porovná LSASS SID, který jste přidali do ACL (Access Control List), a pokud je SID v ACL, určí, zda povolit nebo zakázat přístup. Bez ohledu na to, jaká oprávnění používáte, existují rozdíly, takže se podívejme, abychom lépe porozuměli, kdy bychom měli co použít.

Sdílet oprávnění:

1. Platí pouze pro uživatele, kteří k prostředku přistupují přes síť. Neplatí, pokud se přihlašujete místně, například prostřednictvím terminálových služeb.
2. Platí pro všechny soubory a složky ve sdíleném prostředku. Pokud chcete poskytnout podrobnější druh schématu omezení, měli byste kromě sdílených oprávnění použít oprávnění NTFS
3. Pokud máte nějaké svazky naformátované na FAT nebo FAT32, bude to jediná dostupná forma omezení, protože v těchto souborových systémech nejsou k dispozici oprávnění NTFS.

Oprávnění NTFS:

1. Jediným omezením oprávnění NTFS je, že je lze nastavit pouze na svazku naformátovaném do systému souborů NTFS
2. Nezapomeňte, že NTFS jsou kumulativní, což znamená, že efektivní oprávnění uživatelů jsou výsledkem kombinace přiřazených oprávnění uživatele a oprávnění všech skupin, do kterých uživatel patří.

Nová oprávnění ke sdílení

Windows 7 koupil novou „snadnou“ techniku ​​sdílení. Možnosti se změnily z Číst, Změnit a Úplná kontrola na. Čtení a čtení / zápis. Tato myšlenka byla součástí mentality celé domácí skupiny a usnadňuje sdílení složky pro lidi, kteří nejsou počítačově gramotní. To se děje prostřednictvím kontextové nabídky a snadno se sdílí s vaší domácí skupinou.

Pokud jste chtěli sdílet s někým, kdo není v domácí skupině, můžete vždy zvolit možnost „Konkrétní lidé…“. Což by vedlo k „komplikovanějšímu“ dialogu. Kde můžete určit konkrétního uživatele nebo skupinu.

Existují pouze dvě oprávnění, jak již bylo zmíněno, společně nabízejí schéma ochrany všech nebo všech složek a souborů.

1. Číst povolení je možnost „dívat se, nedotýkat se“. Příjemci mohou soubor otevřít, nikoli jej však upravovat ani mazat.
2. Číst psát je možnost „dělat cokoli“. Příjemci mohou soubor otevřít, upravit nebo odstranit.

Old School Way

Starý dialog pro sdílení měl více možností a dal nám možnost sdílet složku pod jiným aliasem, umožnil nám omezit počet současných připojení a nakonfigurovat ukládání do mezipaměti. Žádná z těchto funkcí není ve Windows 7 ztracena, ale je skryta pod možností nazvanou „Pokročilé sdílení“. Pokud na složku kliknete pravým tlačítkem a přejdete na její vlastnosti, najdete tato nastavení „Pokročilého sdílení“ na kartě sdílení.

Pokud kliknete na tlačítko „Pokročilé sdílení“, které vyžaduje přihlašovací údaje místního správce, můžete nakonfigurovat všechna nastavení, která jste znali v předchozích verzích systému Windows.

Pokud kliknete na tlačítko oprávnění, zobrazí se 3 nastavení, která všichni známe.

1. Číst oprávnění vám umožňuje prohlížet a otevírat soubory a podadresáře i spouštět aplikace. Neumožňuje však provádět žádné změny.
2. Upravit povolení vám umožňuje dělat cokoli Číst povolení umožňuje, přidává také možnost přidávat soubory a podadresáře, mazat podsložky a měnit data v souborech.
3. Plná kontrola je „dělat cokoli“ z klasických oprávnění, protože vám umožňuje provádět všechna a všechna předchozí oprávnění. Kromě toho vám poskytuje pokročilé měnící se oprávnění NTFS, to platí pouze pro složky NTFS

Oprávnění NTFS

Oprávnění NTFS umožňuje velmi podrobnou kontrolu nad vašimi soubory a složkami. Díky tomu může být míra granularity odstrašující pro nováčka. Můžete také nastavit oprávnění NTFS na základě jednotlivých souborů i složek. Chcete-li nastavit oprávnění NTFS na soubor, měli byste kliknout pravým tlačítkem a přejít na vlastnosti souborů, kde budete muset přejít na kartu zabezpečení.

Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klikněte na tlačítko Upravit.

Jak můžete vidět, existuje spousta oprávnění NTFS, takže je můžete rozdělit. Nejprve se podíváme na oprávnění NTFS, která můžete nastavit pro soubor.

1. Plná kontrola umožňuje číst, zapisovat, upravovat, spouštět, měnit atributy, oprávnění a převzít vlastnictví souboru.
2. Upravit umožňuje číst, zapisovat, upravovat, spouštět a měnit atributy souboru.
3. Číst a spouštět vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru a spustit soubor, pokud je to program.
4. Číst vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
5. Psát si vám umožní zapisovat data do souboru, připojit se k souboru a číst nebo měnit jeho atributy.

Oprávnění NTFS pro složky mají mírně odlišné možnosti, takže se na ně podívejme.

1. Plná kontrola umožňuje číst, zapisovat, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů v ní.
2. Upravit umožňuje číst, zapisovat, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v ní.
3. Číst a spouštět vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění pro soubory ve složce a spouštět soubory ve složce.
4. Seznam obsahu složky vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění pro soubory ve složce.
5. Číst vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru.
6. Psát si vám umožní zapisovat data do souboru, připojit se k souboru a číst nebo měnit jeho atributy.

Dokumentace společnosti Microsoft také uvádí, že „Seznam obsahu složky“ vám umožní spouštět soubory ve složce, ale stále k tomu budete muset povolit „Číst a spouštět“. Je to velmi matoucí dokumentované povolení.

souhrn

Stručně řečeno, uživatelská jména a skupiny jsou reprezentacemi alfanumerického řetězce nazývaného SID (Security Identifier), oprávnění Share a NTFS jsou vázána na tyto SID. Oprávnění ke sdílení kontroluje služba LSSAS pouze při přístupu přes síť, zatímco oprávnění NTFS jsou platná pouze na místních počítačích. Doufám, že všichni dobře rozumíte implementaci zabezpečení souborů a složek v systému Windows 7. Pokud máte nějaké dotazy, neváhejte se ozvat v komentářích.