혼란스러운 Windows 7 파일 / 공유 권한을 이해하는 방법

캐치되지 않은 콘텐츠

Windows의 모든 권한을 파악해 본 적이 있습니까? 공유 권한, NTFS 권한, 액세스 제어 목록 등이 있습니다. 모두 함께 작동하는 방법은 다음과 같습니다.

보안 식별자

Windows 운영 체제는 SID를 사용하여 모든 보안 주체를 나타냅니다. SID는 기계, 사용자 및 그룹을 나타내는 영숫자의 가변 길이 문자열입니다. SID는 파일 또는 폴더에 대한 사용자 또는 그룹 권한을 부여 할 때마다 ACL (액세스 제어 목록)에 추가됩니다. 이면 SID는 다른 모든 데이터 개체와 동일한 방식으로 바이너리로 저장됩니다. 그러나 Windows에서 SID가 표시되면 더 읽기 쉬운 구문을 사용하여 표시됩니다. Windows에서 어떤 형태의 SID도 볼 수있는 경우는 많지 않습니다. 가장 일반적인 시나리오는 누군가에게 리소스에 대한 권한을 부여한 다음 해당 사용자 계정이 삭제 된 다음 ACL에서 SID로 표시되는 경우입니다. 따라서 Windows에서 SID를 볼 수있는 일반적인 형식을 살펴 보겠습니다.

표시되는 표기법은 특정 구문을 사용합니다. 아래는이 표기법에서 SID의 다른 부분입니다.

1. ‘S’접두사
2. 구조 개정 번호
3. 48 비트 식별자 권한 값
4. 32 비트 하위 권한 또는 RID (상대 식별자) 값의 가변 개수

아래 이미지에서 내 SID를 사용하여 더 나은 이해를 위해 여러 섹션을 나눌 것입니다.

SID 구조 :

'에스' – SID의 첫 번째 구성 요소는 항상 'S'입니다. 이것은 모든 SID의 접두사이며 Windows에 SID라는 것을 알리기 위해 있습니다.
‘1’ – SID의 두 번째 구성 요소는 SID 사양의 개정 번호입니다. SID 사양이 변경되면 이전 버전과의 호환성을 제공합니다. Windows 7 및 Server 2008 R2부터 SID 사양은 여전히 ​​첫 번째 수정 버전입니다.
‘5’ – SID의 세 번째 섹션을 식별자 기관이라고합니다. 이것은 SID가 생성 된 범위를 정의합니다. 이 SID 섹션에 가능한 값은 다음과 같습니다.

1. 0 – Null 권한
2. 1 – 세계 권위
3. 2 – 지역 당국
4. 3 – 제작자 권한
5. 4 – 고유하지 않은 권한
6. 5 – NT 권한

’21’ – 네 번째 구성 요소는 하위 권한 1이고 값 '21'은 네 번째 필드에 사용되어 다음 하위 권한이 로컬 시스템 또는 도메인을 식별하도록 지정합니다.
‘1206375286-251249764-2214032401’ –이를 각각 하위 권한 2, 3 및 4라고합니다. 이 예에서는 로컬 컴퓨터를 식별하는 데 사용되지만 도메인의 식별자가 될 수도 있습니다.
‘1000’ – Sub-authority 5는 SID의 마지막 구성 요소이며 RID (상대 식별자)라고합니다. RID는 각 보안 주체와 관련이 있습니다. 사용자 정의 개체, Microsoft에서 제공하지 않는 개체는 RID가 1000 이상입니다.

보안 주체

보안 주체는 SID가 첨부 된 모든 것으로 사용자, 컴퓨터 및 그룹 일 수 있습니다. 보안 주체는 로컬이거나 도메인 컨텍스트에있을 수 있습니다. 컴퓨터 관리에서 로컬 사용자 및 그룹 스냅인을 통해 로컬 보안 주체를 관리합니다. 거기에 가려면 시작 메뉴에서 컴퓨터 바로 가기를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택하십시오.

새 사용자 보안 주체를 추가하려면 사용자 폴더로 이동하여 마우스 오른쪽 단추를 클릭하고 새 사용자를 선택할 수 있습니다.

사용자를 두 번 클릭하면 소속 그룹 탭의 보안 그룹에 추가 할 수 있습니다.

새 보안 그룹을 생성하려면 오른쪽에있는 그룹 폴더로 이동합니다. 공백을 마우스 오른쪽 버튼으로 클릭하고 새 그룹을 선택합니다.

공유 권한 및 NTFS 권한

Windows에는 두 가지 유형의 파일 및 폴더 권한이 있습니다. 첫 번째는 공유 권한이고 두 번째는 보안 권한이라고도하는 NTFS 권한이 있습니다. 기본적으로 폴더를 공유하면 "Everyone"그룹에 읽기 권한이 부여됩니다. 폴더에 대한 보안은 일반적으로 공유 및 NTFS 권한의 조합으로 수행됩니다.이 경우 가장 제한적인 것이 항상 적용된다는 점을 기억해야합니다 (예 : 공유 권한이 Everyone = Read (기본값)로 설정된 경우). 그러나 NTFS 권한은 사용자가 파일을 변경할 수 있도록 허용하고 공유 권한은 우선권을 가지며 사용자는 변경할 수 없습니다. 권한을 설정하면 LSASS (Local Security Authority)가 리소스에 대한 액세스를 제어합니다. 로그온하면 SID가 포함 된 액세스 토큰이 제공되고 리소스에 액세스 할 때 LSASS는 ACL (액세스 제어 목록)에 추가 한 SID를 비교하고 SID가 ACL에 있는지 여부를 결정합니다. 액세스를 허용하거나 거부합니다. 어떤 권한을 사용하든 차이가 있으므로 언제 무엇을 사용해야하는지 더 잘 이해하기 위해 살펴 보겠습니다.

공유 권한 :

1. 네트워크를 통해 리소스에 액세스하는 사용자에게만 적용됩니다. 예를 들어 터미널 서비스를 통해 로컬로 로그온하는 경우에는 적용되지 않습니다.
2. 공유 리소스의 모든 파일과 폴더에 적용됩니다. 보다 세분화 된 제한 체계를 제공하려면 공유 권한 외에 NTFS 권한을 사용해야합니다.
3. FAT 또는 FAT32로 포맷 된 볼륨이있는 경우 해당 파일 시스템에서 NTFS 권한을 사용할 수 없기 때문에 이것이 사용할 수있는 유일한 제한 형식입니다.

NTFS 권한 :

1. NTFS 권한에 대한 유일한 제한은 NTFS 파일 시스템으로 포맷 된 볼륨에서만 설정할 수 있다는 것입니다.
2. NTFS는 누적되므로 사용자의 유효 사용 권한은 사용자에게 할당 된 사용 권한과 사용자가 속한 그룹의 사용 권한을 결합한 결과입니다.

새로운 공유 권한

Windows 7은 새로운 "쉬운"공유 기술과 함께 구입했습니다. 옵션이 읽기, 변경 및 모든 권한에서로 변경되었습니다. 읽기 및 읽기 / 쓰기. 이 아이디어는 전체 홈 그룹 정신의 일부였으며 컴퓨터에 익숙하지 않은 사람들이 쉽게 폴더를 공유 할 수 있도록합니다. 이것은 상황에 맞는 메뉴를 통해 이루어지며 홈 그룹과 쉽게 공유됩니다.

홈 그룹에 속하지 않은 사람과 공유하려면 항상 "특정 사람…"옵션을 선택할 수 있습니다. 더 "정교한"대화 상자가 나타납니다. 특정 사용자 또는 그룹을 지정할 수 있습니다.

앞서 언급했듯이 두 가지 권한 만 있으며, 함께 폴더 및 파일에 대한 보호 체계를 모두 제공하거나 전혀 제공하지 않습니다.

1. 읽다 권한은 "보기, 만지지 마십시오"옵션입니다. 수신자는 파일을 열 수 있지만 수정하거나 삭제할 수는 없습니다.
2. 읽기 / 쓰기 "무엇이든 수행"옵션입니다. 수신자는 파일을 열거 나 수정하거나 삭제할 수 있습니다.

올드 스쿨 방식

이전 공유 대화 상자에는 더 많은 옵션이 있었고 다른 별칭으로 폴더를 공유 할 수있는 옵션을 제공하여 동시 연결 수를 제한하고 캐싱을 구성 할 수있었습니다. 이 기능은 Windows 7에서 손실되지 않지만 "고급 공유"라는 옵션 아래에 숨겨져 있습니다. 폴더를 마우스 오른쪽 버튼으로 클릭하고 속성으로 이동하면 공유 탭에서 이러한 "고급 공유"설정을 찾을 수 있습니다.

로컬 관리자 자격 증명이 필요한 "고급 공유"버튼을 클릭하면 이전 버전의 Windows에서 익숙했던 모든 설정을 구성 할 수 있습니다.

권한 버튼을 클릭하면 우리 모두에게 익숙한 3 가지 설정이 표시됩니다.

1. 읽다 권한을 사용하면 파일과 하위 디렉터리를보고 열 수있을뿐만 아니라 응용 프로그램을 실행할 수도 있습니다. 그러나 변경은 허용되지 않습니다.
2. 수정 허가를 받으면 읽다 권한을 허용하면 파일 및 하위 디렉토리를 추가하고 하위 폴더를 삭제하고 파일의 데이터를 변경하는 기능도 추가됩니다.
3. 완전한 통제하에있는 이전 권한을 모두 수행 할 수 있도록 허용하므로 클래식 권한의 "무엇이든 수행"입니다. 또한 고급 변경 NTFS 권한을 제공하며 이는 NTFS 폴더에만 적용됩니다.

NTFS 권한

NTFS 권한을 사용하면 파일과 폴더를 매우 세부적으로 제어 할 수 있습니다. 그것으로 인해 세분화의 양은 신규 이민자에게 어려울 수 있습니다. 파일 단위 및 폴더 단위로 NTFS 권한을 설정할 수도 있습니다. 파일에 대한 NTFS 권한을 설정하려면 마우스 오른쪽 버튼을 클릭하고 보안 탭으로 이동해야하는 파일 속성으로 이동해야합니다.

사용자 또는 그룹의 NTFS 권한을 편집하려면 편집 버튼을 클릭합니다.

보시다시피 NTFS 권한이 상당히 많으므로 분류 해 보겠습니다. 먼저 파일에 설정할 수있는 NTFS 권한을 살펴 보겠습니다.

1. 완전한 통제하에있는 읽기, 쓰기, 수정, 실행, 속성, 권한 변경 및 파일 소유권 가져 오기를 허용합니다.
2. 수정 파일의 속성을 읽고, 쓰고, 수정하고, 실행하고, 변경할 수 있습니다.
3. 읽기 및 실행 파일의 데이터, 속성, 소유자 및 권한을 표시하고 프로그램 인 경우 파일을 실행할 수 있습니다.
4. 읽다 파일을 열고 해당 속성, 소유자 및 권한을 볼 수 있습니다.
5. 쓰다 파일에 데이터를 쓰고, 파일에 추가하고, 속성을 읽거나 변경할 수 있습니다.

폴더에 대한 NTFS 권한은 옵션이 약간 다르므로 살펴 보겠습니다.

1. 완전한 통제하에있는 폴더에있는 파일을 읽고, 쓰고, 수정하고, 실행하고, 속성과 권한을 변경하고, 폴더 내의 파일에 대한 소유권을 가질 수 있습니다.
2. 수정 폴더에있는 파일을 읽고, 쓰고, 수정하고, 실행할 수 있으며, 폴더에있는 파일의 속성을 변경할 수 있습니다.
3. 읽기 및 실행 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시하고 폴더 내의 파일을 실행할 수 있습니다.
4. 폴더 내용 나열 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.
5. 읽다 파일의 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.
6. 쓰다 파일에 데이터를 쓰고, 파일에 추가하고, 속성을 읽거나 변경할 수 있습니다.

Microsoft의 문서 또한 '폴더 콘텐츠 나열'을 사용하면 폴더 내에서 파일을 실행할 수 있지만 이렇게하려면 '읽기 및 실행'을 사용 설정해야한다고 명시되어 있습니다. 매우 혼란스럽게 문서화 된 허가입니다.

요약

요약하면 사용자 이름과 그룹은 SID (Security Identifier)라고하는 영숫자 문자열의 표현이며 공유 및 NTFS 권한은 이러한 SID에 연결됩니다. 공유 권한은 네트워크를 통해 액세스 할 때만 LSSAS에 의해 확인되는 반면 NTFS 권한은 로컬 컴퓨터에서만 유효합니다. 여러분 모두가 Windows 7에서 파일 및 폴더 보안이 구현되는 방식을 제대로 이해 하셨기를 바랍니다. 질문이 있으시면 의견을 남겨주세요.