Πώς να κατανοήσετε αυτούς που προκαλούν σύγχυση στα δικαιώματα αρχείων / κοινής χρήσης των Windows 7

ΑΠΕΛΕΥΘΕΡΩΣΗ ΠΕΡΙΕΧΟΜΕΝΟΥ

Έχετε προσπαθήσει ποτέ να καταλάβετε όλα τα δικαιώματα στα Windows; Υπάρχουν δικαιώματα κοινής χρήσης, δικαιώματα NTFS, λίστες ελέγχου πρόσβασης και πολλά άλλα. Δείτε πώς λειτουργούν όλοι μαζί.

Το αναγνωριστικό ασφαλείας

Τα λειτουργικά συστήματα των Windows χρησιμοποιούν SID για την εκπροσώπηση όλων των αρχών ασφαλείας. Τα SID είναι απλώς συμβολοσειρές αλφαριθμητικών χαρακτήρων μεταβλητού μήκους που αντιπροσωπεύουν μηχανές, χρήστες και ομάδες. Τα SID προστίθενται σε ACL (Λίστες ελέγχου πρόσβασης) κάθε φορά που χορηγείτε σε έναν χρήστη ή μια ομάδα άδεια σε ένα αρχείο ή φάκελο. Πίσω από τη σκηνή, τα SID αποθηκεύονται με τον ίδιο τρόπο που όλα τα άλλα αντικείμενα δεδομένων, είναι δυαδικά. Ωστόσο, όταν βλέπετε ένα SID στα Windows, θα εμφανίζεται χρησιμοποιώντας μια πιο ευανάγνωστη σύνταξη. Δεν είναι συχνά ότι θα δείτε οποιαδήποτε μορφή SID στα Windows, το πιο συνηθισμένο σενάριο είναι όταν παραχωρείτε σε κάποιον άδεια σε έναν πόρο, τότε ο λογαριασμός χρήστη του διαγράφεται, τότε θα εμφανιστεί ως SID στο ACL. Ας ρίξουμε μια ματιά στην τυπική μορφή στην οποία θα βλέπετε τα SID στα Windows.

Η σημείωση που θα δείτε παίρνει μια συγκεκριμένη σύνταξη, παρακάτω είναι τα διαφορετικά μέρη ενός SID σε αυτήν τη σημειογραφία.

1. Πρόθεμα «S»
2. Αριθμός αναθεώρησης δομής
3. Μια τιμή αρχής αναγνώρισης 48 bit
4. Ένας μεταβλητός αριθμός τιμών 32-bit sub-authority ή σχετικού αναγνωριστικού (RID)

Χρησιμοποιώντας το SID μου στην παρακάτω εικόνα θα χωρίσουμε τις διάφορες ενότητες για να κατανοήσουμε καλύτερα.

Η δομή SID:

'ΜΙΚΡΟ' - Το πρώτο συστατικό ενός SID είναι πάντα ένα «S». Αυτό είναι προκαταρκτικό σε όλα τα SID και υπάρχει εκεί για να ενημερώσουμε τα Windows ότι αυτό που ακολουθεί είναι SID.
‘1’ - Το δεύτερο συστατικό ενός SID είναι ο αριθμός αναθεώρησης της προδιαγραφής SID, εάν η προδιαγραφή SID επρόκειτο να αλλάξει θα παρείχε συμβατότητα προς τα πίσω. Από τα Windows 7 και Server 2008 R2, η προδιαγραφή SID βρίσκεται ακόμη στην πρώτη αναθεώρηση.
‘5’ - Η τρίτη ενότητα ενός SID ονομάζεται Αρχή Αναγνώρισης. Αυτό καθορίζει σε ποιο πεδίο δημιουργήθηκε το SID. Πιθανές τιμές για αυτές τις ενότητες του SID μπορεί να είναι:

1. 0 - Μηδενική αρχή
2. 1 - Παγκόσμια Αρχή
3. 2 - Τοπική αρχή
4. 3 - Αρχή δημιουργού
5. 4 - Μη μοναδική αρχή
6. 5 - Αρχή NT

’21’ - Το τέταρτο στοιχείο είναι υπο-αρχή 1, η τιμή «21» χρησιμοποιείται στο τέταρτο πεδίο για να καθορίσει ότι οι δευτερεύουσες αρχές που ακολουθούν προσδιορίζουν την τοπική μηχανή ή τον τομέα.
‘1206375286-251249764-2214032401’ - Αυτά ονομάζονται δευτερεύουσα αρχή 2,3 και 4 αντίστοιχα. Στο παράδειγμά μας αυτό χρησιμοποιείται για την αναγνώριση του τοπικού μηχανήματος, αλλά θα μπορούσε επίσης να είναι το αναγνωριστικό για έναν τομέα.
‘1000’ - Η δευτερεύουσα αρχή 5 είναι το τελευταίο στοιχείο στο SID μας και ονομάζεται RID (Relative Identifier), το RID είναι σχετικό με κάθε αρχή ασφαλείας, λάβετε υπόψη ότι τυχόν αντικείμενα που ορίζονται από τον χρήστη, αυτά που δεν αποστέλλονται από τη Microsoft θα έχουν RID 1000 ή μεγαλύτερη.

Αρχές ασφαλείας

Ένας υπεύθυνος ασφαλείας είναι οτιδήποτε έχει SID συνδεδεμένο σε αυτό, μπορεί να είναι χρήστες, υπολογιστές και ακόμη και ομάδες. Οι αρχές ασφαλείας μπορεί να είναι τοπικοί ή να βρίσκονται στο περιβάλλον τομέα. Διαχειρίζεστε τους τοπικούς υπεύθυνους ασφαλείας μέσω του συμπληρωματικού προγράμματος Τοπικοί χρήστες και ομάδες, υπό τη διαχείριση υπολογιστή. Για να φτάσετε εκεί, κάντε δεξί κλικ στη συντόμευση του υπολογιστή στο μενού έναρξης και επιλέξτε διαχείριση.

Για να προσθέσετε έναν νέο κύριο ασφαλείας χρήστη, μπορείτε να μεταβείτε στο φάκελο χρηστών και να κάνετε δεξί κλικ και να επιλέξετε νέο χρήστη.

Εάν κάνετε διπλό κλικ σε έναν χρήστη, μπορείτε να τον προσθέσετε σε μια ομάδα ασφαλείας στην καρτέλα Μέλος του.

Για να δημιουργήσετε μια νέα ομάδα ασφαλείας, μεταβείτε στο φάκελο "Ομάδες" στη δεξιά πλευρά. Κάντε δεξί κλικ στο κενό διάστημα και επιλέξτε νέα ομάδα.

Άδεια κοινής χρήσης και άδεια NTFS

Στα Windows υπάρχουν δύο τύποι δικαιωμάτων αρχείων και φακέλων, πρώτον υπάρχουν τα δικαιώματα κοινής χρήσης και δεύτερον υπάρχουν δικαιώματα NTFS που ονομάζονται επίσης δικαιώματα ασφαλείας. Λάβετε υπόψη ότι όταν κάνετε κοινή χρήση ενός φακέλου από προεπιλογή, στην ομάδα "Όλοι" παρέχεται η άδεια ανάγνωσης. Η ασφάλεια στους φακέλους γίνεται συνήθως με έναν συνδυασμό της άδειας κοινής χρήσης και NTFS, εάν συμβαίνει αυτό, είναι σημαντικό να θυμάστε ότι το πιο περιοριστικό ισχύει πάντα, για παράδειγμα εάν το δικαίωμα κοινής χρήσης έχει οριστεί σε Everyone = Read (που είναι η προεπιλογή), αλλά η άδεια NTFS επιτρέπει στους χρήστες να κάνουν μια αλλαγή στο αρχείο, η άδεια κοινής χρήσης θα προτιμά και οι χρήστες δεν θα επιτρέπεται να κάνουν αλλαγές. Όταν ορίζετε τα δικαιώματα, το LSASS (Τοπική αρχή ασφαλείας) ελέγχει την πρόσβαση στον πόρο. Όταν συνδέεστε, σας δίνεται ένα διακριτικό πρόσβασης με το SID σας, όταν πηγαίνετε για πρόσβαση στον πόρο, το LSASS συγκρίνει το SID που προσθέσατε στο ACL (Λίστα ελέγχου πρόσβασης) και εάν το SID είναι στο ACL, καθορίζει αν θα επιτρέψτε ή αρνηθείτε την πρόσβαση. Ανεξάρτητα από τα δικαιώματα που χρησιμοποιείτε, υπάρχουν διαφορές, οπότε ας ρίξουμε μια ματιά για να κατανοήσουμε καλύτερα πότε πρέπει να χρησιμοποιήσουμε τι.

Κοινή χρήση δικαιωμάτων:

1. Ισχύει μόνο για χρήστες που έχουν πρόσβαση στον πόρο μέσω του δικτύου. Δεν ισχύουν εάν συνδεθείτε τοπικά, για παράδειγμα μέσω τερματικών υπηρεσιών.
2. Ισχύει για όλα τα αρχεία και τους φακέλους στον κοινόχρηστο πόρο. Εάν θέλετε να παρέχετε ένα πιο λεπτομερές είδος συστήματος περιορισμού, θα πρέπει να χρησιμοποιείτε το NTFS Permission εκτός από τα κοινόχρηστα δικαιώματα
3. Εάν διαθέτετε τόμους με διαμόρφωση FAT ή FAT32, αυτή θα είναι η μόνη μορφή περιορισμού που έχετε στη διάθεσή σας, καθώς τα δικαιώματα NTFS δεν είναι διαθέσιμα σε αυτά τα συστήματα αρχείων.

Δικαιώματα NTFS:

1. Ο μόνος περιορισμός στα δικαιώματα NTFS είναι ότι μπορούν να οριστούν μόνο σε έναν τόμο που έχει μορφοποιηθεί στο σύστημα αρχείων NTFS
2. Θυμηθείτε ότι το NTFS είναι αθροιστικό που σημαίνει ότι τα αποτελεσματικά δικαιώματα ενός χρήστη είναι το αποτέλεσμα του συνδυασμού των εκχωρημένων δικαιωμάτων του χρήστη και των δικαιωμάτων οποιωνδήποτε ομάδων στις οποίες ανήκει ο χρήστης.

Τα νέα δικαιώματα κοινής χρήσης

Τα Windows 7 αγόρασαν μαζί με μια νέα «εύκολη» τεχνική κοινής χρήσης. Οι επιλογές άλλαξαν από Read, Change και Full Control σε. Διαβάστε και διαβάστε / γράψτε. Η ιδέα ήταν μέρος ολόκληρης της νοοτροπίας της Οικιακής ομάδας και διευκολύνει την κοινή χρήση ενός φακέλου για άτομα που δεν έχουν γνώσεις υπολογιστών. Αυτό γίνεται μέσω του μενού περιβάλλοντος και μοιράζεται εύκολα με την αρχική σας ομάδα.

Αν θέλετε να μοιραστείτε περιεχόμενο με κάποιον που δεν ανήκει στην αρχική ομάδα, θα μπορούσατε πάντα να επιλέξετε την επιλογή "Συγκεκριμένα άτομα ...". Που θα έφερνε έναν πιο «περίπλοκο» διάλογο. Πού θα μπορούσατε να καθορίσετε έναν συγκεκριμένο χρήστη ή ομάδα.

Υπάρχει μόνο δύο άδειες όπως αναφέρθηκε προηγουμένως, μαζί προσφέρουν ένα σύστημα προστασίας καθόλου ή τίποτα για τους φακέλους και τα αρχεία σας.

1. Ανάγνωση Η άδεια είναι η επιλογή "εμφάνιση, μην αγγίζετε". Οι παραλήπτες μπορούν να ανοίξουν, αλλά να μην τροποποιήσουν ή να διαγράψουν ένα αρχείο.
2. Διαβάζω γράφω είναι η επιλογή "κάντε οτιδήποτε". Οι παραλήπτες μπορούν να ανοίξουν, να τροποποιήσουν ή να διαγράψουν ένα αρχείο.

Ο τρόπος του παλιού σχολείου

Ο παλιός διάλογος κοινής χρήσης είχε περισσότερες επιλογές και μας έδωσε την επιλογή να μοιραστούμε το φάκελο με διαφορετικό ψευδώνυμο, μας επέτρεψε να περιορίσουμε τον αριθμό των ταυτόχρονων συνδέσεων καθώς και να ρυθμίσουμε την προσωρινή αποθήκευση. Καμία από αυτές τις λειτουργίες δεν έχει χαθεί στα Windows 7 αλλά μάλλον κρύβεται κάτω από μια επιλογή που ονομάζεται "Advanced Sharing". Εάν κάνετε δεξί κλικ σε ένα φάκελο και μεταβείτε στις ιδιότητές του, μπορείτε να βρείτε αυτές τις ρυθμίσεις "Advanced Sharing" στην καρτέλα κοινής χρήσης.

Εάν κάνετε κλικ στο κουμπί "Κοινή χρήση για προχωρημένους", το οποίο απαιτεί διαπιστευτήρια τοπικού διαχειριστή, μπορείτε να διαμορφώσετε όλες τις ρυθμίσεις που γνωρίζετε με τις προηγούμενες εκδόσεις των Windows.

Εάν κάνετε κλικ στο κουμπί δικαιωμάτων, θα εμφανιστούν οι 3 ρυθμίσεις με τις οποίες όλοι γνωρίζουμε.

1. Ανάγνωση Η άδεια σάς επιτρέπει να προβάλλετε και να ανοίγετε αρχεία και υποκαταλόγους καθώς και να εκτελείτε εφαρμογές. Ωστόσο, δεν επιτρέπει να γίνουν αλλαγές.
2. Τροποποιώ Η άδεια σάς επιτρέπει να κάνετε κάτι τέτοιο Ανάγνωση Η άδεια επιτρέπει, προσθέτει επίσης τη δυνατότητα προσθήκης αρχείων και υποκαταλόγων, διαγραφής υποφακέλων και αλλαγής δεδομένων στα αρχεία.
3. Πλήρης έλεγχος είναι το "κάνει οτιδήποτε" των κλασικών δικαιωμάτων, καθώς σας επιτρέπει να κάνετε οποιαδήποτε και όλα τα προηγούμενα δικαιώματα. Επιπλέον, σας δίνει την προηγμένη μεταβαλλόμενη άδεια NTFS, αυτό ισχύει μόνο για φακέλους NTFS

Δικαιώματα NTFS

Η άδεια NTFS επιτρέπει πολύ λεπτομερή έλεγχο των αρχείων και των φακέλων σας. Με αυτό είπε ότι το ποσό της ευαισθησίας μπορεί να είναι τρομακτικό για έναν νεοφερμένο. Μπορείτε επίσης να ορίσετε άδεια NTFS ανά βάση αρχείου καθώς και ανά φάκελο. Για να ορίσετε την άδεια NTFS σε ένα αρχείο, πρέπει να κάνετε δεξί κλικ και να μεταβείτε στις ιδιότητες αρχείων όπου θα πρέπει να μεταβείτε στην καρτέλα ασφαλείας.

Για να επεξεργαστείτε τα δικαιώματα NTFS για έναν χρήστη ή ομάδα κάντε κλικ στο κουμπί επεξεργασίας.

Όπως μπορείτε να δείτε, υπάρχουν πολλά δικαιώματα NTFS, οπότε ας τα αναλύσουμε. Πρώτα θα ρίξουμε μια ματιά στα δικαιώματα NTFS που μπορείτε να ορίσετε σε ένα αρχείο.

1. Πλήρης έλεγχος σάς επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε, να εκτελείτε, να αλλάζετε χαρακτηριστικά, δικαιώματα και να έχετε την κυριότητα του αρχείου.
2. Τροποποιώ σάς επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε, να εκτελείτε και να αλλάζετε τα χαρακτηριστικά του αρχείου.
3. Διαβάστε και εκτελέστε θα σας επιτρέψει να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα του αρχείου και να εκτελέσετε το αρχείο εάν είναι πρόγραμμα.
4. Ανάγνωση θα σας επιτρέψει να ανοίξετε το αρχείο, να δείτε τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματά του.
5. Γράφω θα σας επιτρέψει να γράψετε δεδομένα στο αρχείο, να προσθέσετε στο αρχείο και να διαβάσετε ή να αλλάξετε τα χαρακτηριστικά του.

Τα δικαιώματα NTFS για φακέλους έχουν ελαφρώς διαφορετικές επιλογές, οπότε ας ρίξουμε μια ματιά σε αυτούς.

1. Πλήρης έλεγχος σάς επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε και να εκτελείτε αρχεία στο φάκελο, να αλλάζετε χαρακτηριστικά, δικαιώματα και να έχετε την κυριότητα του φακέλου ή των αρχείων μέσα.
2. Τροποποιώ σάς επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε και να εκτελείτε αρχεία στο φάκελο και να αλλάζετε χαρακτηριστικά του φακέλου ή των αρχείων μέσα.
3. Διαβάστε και εκτελέστε θα σας επιτρέψει να εμφανίσετε τα περιεχόμενα του φακέλου και να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα για αρχεία εντός του φακέλου και να εκτελέσετε αρχεία εντός του φακέλου.
4. Λίστα περιεχομένων φακέλων θα σας επιτρέψει να εμφανίσετε τα περιεχόμενα του φακέλου και να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα για αρχεία εντός του φακέλου.
5. Ανάγνωση θα σας επιτρέψει να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα του αρχείου.
6. Γράφω θα σας επιτρέψει να γράψετε δεδομένα στο αρχείο, να προσθέσετε στο αρχείο και να διαβάσετε ή να αλλάξετε τα χαρακτηριστικά του.

Τεκμηρίωση της Microsoft δηλώνει επίσης ότι το "List Contents Folder" θα σας επιτρέψει να εκτελέσετε αρχεία εντός του φακέλου, αλλά θα πρέπει να ενεργοποιήσετε το "Read & Execute" για να το κάνετε. Είναι μια πολύ συγκεχυμένη τεκμηριωμένη άδεια.

Περίληψη

Συνοπτικά, τα ονόματα χρηστών και οι ομάδες είναι παραστάσεις μιας αλφαριθμητικής συμβολοσειράς που ονομάζεται SID (Security Identifier), Share και NTFS Τα δικαιώματα συνδέονται με αυτά τα SID. Τα δικαιώματα κοινής χρήσης ελέγχονται από το LSSAS μόνο κατά την πρόσβαση στο δίκτυο, ενώ τα δικαιώματα NTFS ισχύουν μόνο στα τοπικά μηχανήματα. Ελπίζω να έχετε όλοι καλή κατανόηση του τρόπου εφαρμογής της ασφάλειας αρχείων και φακέλων στα Windows 7. Εάν έχετε απορίες, μη διστάσετε να ακούσετε τα σχόλια.