Как понять эти непонятные права доступа к файлам и общим ресурсам в Windows 7

НЕКЕШЕРОВАННЫЙ КОНТЕНТ

Вы когда-нибудь пытались выяснить все разрешения в Windows? Есть разрешения для общего доступа, разрешения NTFS, списки управления доступом и многое другое. Вот как все они работают вместе.

Идентификатор безопасности

В операционных системах Windows идентификаторы безопасности используются для представления всех участников безопасности. SID - это просто строки переменной длины, состоящие из буквенно-цифровых символов, которые представляют машины, пользователей и группы. SID добавляются в ACL (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе разрешение на доступ к файлу или папке. Идентификаторы безопасности хранятся так же, как и все остальные объекты данных, в двоичном формате. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более удобочитаемого синтаксиса. Нечасто вы увидите какую-либо форму SID в Windows, наиболее распространенный сценарий - когда вы предоставляете кому-то разрешение на ресурс, затем его учетная запись пользователя удаляется, а затем она отображается как SID в ACL. Итак, давайте посмотрим на типичный формат, в котором вы увидите SID в Windows.

Обозначение, которое вы увидите, имеет определенный синтаксис, ниже представлены различные части SID в этой записи.

1. Префикс "S"
2. Номер редакции конструкции
3. 48-битное значение авторитетного идентификатора
4. Переменное количество значений 32-битных дополнительных полномочий или относительных идентификаторов (RID).

Используя мой SID на изображении ниже, мы разделим разные разделы, чтобы лучше понять.

Структура SID:

‘С’ - Первым компонентом SID всегда является «S». Он добавляется ко всем SID и служит для информирования Windows о том, что следующее за ним - SID.
‘1’ - Второй компонент SID - это номер версии спецификации SID, если спецификация SID изменится, это обеспечит обратную совместимость. В Windows 7 и Server 2008 R2 спецификация SID все еще находится в первой редакции.
‘5’ - Третий раздел SID называется центром идентификации. Это определяет, в какой области был создан SID. Возможные значения для этого раздела SID могут быть:

1. 0 - нулевой авторитет
2. 1 - Мировая власть
3. 2 - Местные власти
4. 3 - Авторские полномочия
5. 4 - Неуникальный авторитет
6. 5 - Власть NT

’21’ - Четвертый компонент - это подчиненные полномочия 1, значение ’21’ используется в четвертом поле, чтобы указать, что подчиненные полномочия, следующие за ними, идентифицируют локальную машину или домен.
‘1206375286-251249764-2214032401’ - Они называются подчиненными 2, 3 и 4 соответственно. В нашем примере это используется для идентификации локального компьютера, но также может быть идентификатором домена.
‘1000’ - Субвласть 5 - это последний компонент в нашем SID и называется RID (относительный идентификатор), RID относится к каждому участнику безопасности, обратите внимание, что любые определенные пользователем объекты, которые не поставляются Microsoft, будут иметь RID 1000 или больше.

Принципы безопасности

Субъект безопасности - это все, к чему привязан SID, это могут быть пользователи, компьютеры и даже группы. Участники безопасности могут быть локальными или находиться в контексте домена. Вы управляете локальными участниками безопасности с помощью оснастки «Локальные пользователи и группы» под управлением компьютера. Чтобы попасть туда, щелкните правой кнопкой мыши ярлык компьютера в меню «Пуск» и выберите «Управление».

Чтобы добавить нового участника безопасности пользователя, вы можете перейти в папку пользователей, щелкнуть правой кнопкой мыши и выбрать нового пользователя.

Если вы дважды щелкните пользователя, вы можете добавить его в группу безопасности на вкладке «Членство».

Чтобы создать новую группу безопасности, перейдите в папку Группы справа. Щелкните правой кнопкой мыши на пустом месте и выберите новую группу.

Разрешения общего доступа и разрешение NTFS

В Windows есть два типа разрешений для файлов и папок: во-первых, это разрешения для общих ресурсов, а во-вторых, разрешения NTFS, также называемые разрешениями безопасности. Обратите внимание, что при предоставлении общего доступа к папке по умолчанию группе «Все» предоставляется разрешение на чтение. Безопасность папок обычно обеспечивается комбинацией разрешения общего доступа и NTFS, если это так, важно помнить, что всегда применяются самые строгие ограничения, например, если разрешение общего доступа установлено на Все = чтение (что по умолчанию), но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение на общий доступ будет иметь предпочтение, и пользователям не будет разрешено вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вам дается маркер доступа с вашим SID на нем, когда вы переходите к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список управления доступом), и если SID находится в ACL, он определяет, следует ли разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, существуют различия, поэтому давайте посмотрим, чтобы лучше понять, когда мы должны использовать что.

Разрешения для общего доступа:

1. Применяется только к пользователям, которые получают доступ к ресурсу по сети. Они не применяются, если вы входите в систему локально, например через службы терминалов.
2. Это применимо ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более детальную схему ограничений, вы должны использовать NTFS Permission в дополнение к общим разрешениям.
3. Если у вас есть тома в формате FAT или FAT32, это будет единственная доступная вам форма ограничения, поскольку разрешения NTFS недоступны для этих файловых систем.

Разрешения NTFS:

1. Единственное ограничение на разрешения NTFS заключается в том, что они могут быть установлены только на томе, отформатированном в файловую систему NTFS.
2. Помните, что NTFS является кумулятивным, что означает, что действующие разрешения пользователя являются результатом объединения назначенных пользователю разрешений и разрешений любых групп, к которым он принадлежит.

Новые разрешения для общего доступа

Windows 7 приобрела новую «легкую» технику совместного использования. Параметры изменены с «Чтение», «Изменить» и «Полный доступ» на. Чтение и чтение / запись. Эта идея была частью менталитета всей домашней группы и упрощает общий доступ к папке для людей, не владеющих компьютером. Это делается через контекстное меню и легко делится с вашей домашней группой.

Если вы хотите поделиться с кем-то, кто не входит в домашнюю группу, вы всегда можете выбрать вариант «Определенные люди…». Это вызовет более «сложный» диалог. Где вы могли указать конкретного пользователя или группу.

Как упоминалось ранее, существует только два разрешения, вместе они предлагают схему защиты всех или ничего для ваших папок и файлов.

1. Читать разрешение - это вариант «смотри, не трогай». Получатели могут открывать, но не могут изменять или удалять файл.
2. Читай пиши это вариант «делать что угодно». Получатели могут открывать, изменять или удалять файл.

Старый школьный путь

В старом диалоговом окне общего доступа было больше опций и мы могли предоставить общий доступ к папке под другим псевдонимом, это позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией «Расширенный общий доступ». Если щелкнуть папку правой кнопкой мыши и перейти к ее свойствам, вы найдете эти параметры «Расширенный общий доступ» на вкладке общего доступа.

Если вы нажмете кнопку «Advanced Sharing», для которой требуются учетные данные локального администратора, вы сможете настроить все параметры, с которыми вы были знакомы в предыдущих версиях Windows.

Если вы нажмете кнопку разрешений, вам будут представлены 3 настройки, с которыми мы все знакомы.

1. Читать Разрешение позволяет просматривать и открывать файлы и подкаталоги, а также запускать приложения. Однако он не позволяет вносить какие-либо изменения.
2. Изменить разрешение позволяет делать все, что Читать разрешение позволяет, он также добавляет возможность добавлять файлы и подкаталоги, удалять подпапки и изменять данные в файлах.
3. Полный контроль это классические разрешения «делать что угодно», поскольку они позволяют вам выполнять любые и все предыдущие разрешения. Кроме того, он дает вам расширенное изменение разрешения NTFS, это применимо только к папкам NTFS.

Разрешения NTFS

Разрешение NTFS позволяет очень детально контролировать ваши файлы и папки. С учетом сказанного, уровень детализации может отпугнуть новичка. Вы также можете установить разрешение NTFS как для каждого файла, так и для каждой папки. Чтобы установить разрешение NTFS для файла, щелкните правой кнопкой мыши и перейдите в свойства файлов, где вам нужно будет перейти на вкладку безопасности.

Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку редактирования.

Как видите, разрешений NTFS довольно много, поэтому давайте разберем их. Сначала мы рассмотрим разрешения NTFS, которые вы можете установить для файла.

1. Полный контроль позволяет вам читать, писать, изменять, выполнять, изменять атрибуты, разрешения и становиться владельцем файла.
2. Изменить позволяет читать, писать, изменять, выполнять и изменять атрибуты файла.
3. Прочитать и выполнить позволит вам отобразить данные, атрибуты, владельца и разрешения файла, а также запустить файл, если это программа.
4. Читать позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
5. Написать позволит вам записывать данные в файл, добавлять в файл и читать или изменять его атрибуты.

Разрешения NTFS для папок имеют несколько другие параметры, поэтому давайте взглянем на них.

1. Полный контроль позволяет читать, записывать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и становиться владельцем папки или файлов внутри.
2. Изменить позволяет читать, записывать, изменять и выполнять файлы в папке, а также изменять атрибуты папки или файлов внутри.
3. Прочитать и выполнить позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке.
4. Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке.
5. Читать позволит вам отобразить данные, атрибуты, владельца и разрешения файла.
6. Написать позволит вам записывать данные в файл, добавлять в файл и читать или изменять его атрибуты.

Микрософт’с документатион также заявляет, что «Список содержимого папки» позволит вам выполнять файлы в папке, но вам все равно нужно будет включить «Чтение и выполнение» для этого. Это очень запутанно задокументированное разрешение.

Резюме

Таким образом, имена пользователей и группы представляют собой буквенно-цифровую строку, называемую SID (идентификатор безопасности), с этими SID привязаны разрешения общего доступа и NTFS. Разрешения общего ресурса проверяются LSSAS только при доступе по сети, тогда как разрешения NTFS действительны только на локальных машинах. Я надеюсь, что вы все хорошо понимаете, как реализована безопасность файлов и папок в Windows 7. Если у вас есть вопросы, не стесняйтесь озвучивать их в комментариях.