Jak zrozumieć te mylące uprawnienia do plików / udostępniania w systemie Windows 7?

Czy kiedykolwiek próbowałeś rozgryźć wszystkie uprawnienia w systemie Windows? Dostępne są uprawnienia do udziału, uprawnienia NTFS, listy kontroli dostępu i wiele innych. Oto, jak wszyscy ze sobą współpracują.

Identyfikator bezpieczeństwa

Systemy operacyjne Windows używają identyfikatorów SID do reprezentowania wszystkich podmiotów zabezpieczeń. Identyfikatory SID to po prostu ciągi znaków alfanumerycznych o zmiennej długości, które reprezentują komputery, użytkowników i grupy. Identyfikatory SID są dodawane do list ACL (list kontroli dostępu) za każdym razem, gdy przyznajesz użytkownikowi lub grupie uprawnienia do pliku lub folderu. Za sceną identyfikatory SID są przechowywane w taki sam sposób, jak wszystkie inne obiekty danych, w postaci binarnej. Jednak gdy zobaczysz identyfikator SID w systemie Windows, zostanie on wyświetlony przy użyciu bardziej czytelnej składni. Rzadko zdarza się, że zobaczysz jakąkolwiek formę SID w systemie Windows, najczęstszym scenariuszem jest przyznanie komuś uprawnień do zasobu, a następnie jego konto użytkownika zostanie usunięte, a następnie pojawi się jako SID na liście ACL. Przyjrzyjmy się więc typowemu formatowi, w którym zobaczysz identyfikatory SID w systemie Windows.

Notacja, którą zobaczysz, ma określoną składnię, poniżej znajdują się różne części identyfikatora SID w tej notacji.

1. Przedrostek „S”
2. Numer wersji struktury
3. 48-bitowa wartość autorytetu identyfikatora
4. Zmienna liczba 32-bitowych wartości podrzędnych lub identyfikatora względnego (RID))

Używając mojego identyfikatora SID na poniższym obrazku, podzielimy różne sekcje, aby uzyskać lepsze zrozumienie.

Struktura SID:

„S” – Pierwszym składnikiem identyfikatora SID jest zawsze „S”. Jest to przedrostek przed wszystkimi identyfikatorami SID i służy do informowania systemu Windows, że to, co następuje, to identyfikator SID.
„1” – Drugim składnikiem identyfikatora SID jest numer wersji specyfikacji SID, jeśli specyfikacja SID miałaby się zmienić, zapewniłaby kompatybilność wsteczną. Począwszy od Windows 7 i Server 2008 R2 specyfikacja SID jest nadal w pierwszej wersji.
„5” – Trzecia sekcja identyfikatora SID nazywana jest organem identyfikacyjnym. To określa, w jakim zakresie został wygenerowany identyfikator SID. Możliwe wartości dla tych sekcji identyfikatora SID to:

1. 0 – Zerowy autorytet
2. 1 – Światowa Władza
3. 2 – Władze lokalne
4. 3 – Autorytet twórcy
5. 4 – Nieunikalny autorytet
6. 5 – Władza NT

’21’ – Czwarty składnik to podrzędna władza 1, wartość „21” jest używana w czwartym polu w celu określenia, że ​​kolejne podrzędne władze identyfikują komputer lokalny lub domenę.
’1206375286-251249764-2214032401′ – Nazywają się one odpowiednio podwładzą 2, 3 i 4. W naszym przykładzie jest to używane do identyfikacji komputera lokalnego, ale może być również identyfikatorem domeny.
„1000” – Sub-autorytet 5 jest ostatnim składnikiem naszego identyfikatora SID i jest nazywany RID (identyfikator względny), RID jest powiązany z każdym podmiotem zabezpieczeń, należy pamiętać, że wszelkie obiekty zdefiniowane przez użytkownika, te, które nie są dostarczane przez firmę Microsoft, będą miały RID 1000 lub większy.

Zleceniodawcy bezpieczeństwa

Podmiot zabezpieczeń to wszystko, co ma dołączony identyfikator SID, mogą to być użytkownicy, komputery, a nawet grupy. Podmioty zabezpieczeń mogą być lokalne lub znajdować się w kontekście domeny. Lokalnymi podmiotami zabezpieczeń zarządza się za pomocą przystawki Użytkownicy i grupy lokalne w ramach zarządzania komputerem. Aby się tam dostać, kliknij prawym przyciskiem myszy skrót komputera w menu Start i wybierz Zarządzaj.

Aby dodać nowego użytkownika zabezpieczeń, możesz przejść do folderu użytkowników, kliknąć prawym przyciskiem myszy i wybrać nowego użytkownika.

Jeśli klikniesz dwukrotnie na użytkownika, możesz dodać go do grupy bezpieczeństwa na karcie Członek.

Aby utworzyć nową grupę bezpieczeństwa, przejdź do folderu Grupy po prawej stronie. Kliknij prawym przyciskiem myszy białą przestrzeń i wybierz nową grupę.

Uprawnienia udostępniania i uprawnienia NTFS

W systemie Windows istnieją dwa rodzaje uprawnień do plików i folderów, po pierwsze są Uprawnienia udziału, a po drugie Uprawnienia NTFS zwane również Uprawnieniami Zabezpieczeń. Zwróć uwagę, że gdy domyślnie udostępniasz folder, grupa „Wszyscy” otrzymuje uprawnienia do odczytu. Ochrona folderów jest zwykle wykonywana za pomocą kombinacji uprawnień do udziału i uprawnień NTFS, w takim przypadku należy pamiętać, że zawsze obowiązuje najbardziej restrykcyjny, na przykład, jeśli uprawnienie do udziału jest ustawione na Wszyscy = Odczyt (co jest ustawieniem domyślnym), ale uprawnienie NTFS umożliwia użytkownikom wprowadzanie zmian w pliku, uprawnienie udziału będzie miało pierwszeństwo, a użytkownicy nie będą mogli wprowadzać zmian. Po ustawieniu uprawnień LSASS (Local Security Authority) kontroluje dostęp do zasobu. Kiedy się logujesz, otrzymujesz token dostępu z Twoim identyfikatorem SID, gdy przechodzisz do dostępu do zasobu, LSASS porównuje identyfikator SID dodany do ACL (listy kontroli dostępu) i jeśli SID znajduje się na ACL, określa, czy zezwalaj lub odmawiaj dostępu. Bez względu na to, jakich uprawnień używasz, istnieją różnice, więc przyjrzyjmy się, aby lepiej zrozumieć, kiedy powinniśmy używać czego.

Uprawnienia udostępniania:

1. Dotyczy tylko użytkowników, którzy uzyskują dostęp do zasobu przez sieć. Nie mają one zastosowania, jeśli logujesz się lokalnie, na przykład za pośrednictwem usług terminalowych.
2. Dotyczy wszystkich plików i folderów w udostępnionym zasobie. Jeśli chcesz zapewnić bardziej szczegółowy rodzaj schematu ograniczeń, powinieneś użyć uprawnień NTFS oprócz uprawnień współdzielonych
3. Jeśli masz jakiekolwiek woluminy sformatowane w systemie plików FAT lub FAT32, będzie to jedyna dostępna forma ograniczenia, ponieważ uprawnienia NTFS nie są dostępne w tych systemach plików.

Uprawnienia NTFS:

1. Jedynym ograniczeniem uprawnień NTFS jest to, że można je ustawić tylko na woluminie sformatowanym w systemie plików NTFS
2. Pamiętaj, że NTFS są skumulowane, co oznacza, że ​​efektywne uprawnienia użytkownika są wynikiem połączenia uprawnień przypisanych użytkownikowi oraz uprawnień dowolnych grup, do których użytkownik należy.

Nowe uprawnienia akcji

Windows 7 kupiony wraz z nową „łatwą” techniką udostępniania. Opcje zmieniły się z Odczyt, Zmień i Pełna kontrola na. Czytaj i Czytaj/Zapis. Pomysł był częścią mentalności całej grupy domowej i ułatwia udostępnianie folderu osobom nieumiejącym posługiwać się komputerem. Odbywa się to za pomocą menu kontekstowego i łatwo udostępnia się grupie domowej.

Jeśli chcesz podzielić się z kimś, kto nie jest w grupie domowej, zawsze możesz wybrać opcję „Określone osoby…”. Co wywołałoby bardziej „dopracowane” okno dialogowe. Gdzie możesz określić konkretnego użytkownika lub grupę.

Jak wcześniej wspomniano, istnieją tylko dwa uprawnienia, które razem oferują schemat ochrony „wszystko albo nic” dla twoich folderów i plików.

1. Czytać uprawnienie to opcja „patrz, nie dotykaj”. Odbiorcy mogą otwierać plik, ale nie mogą go modyfikować ani usuwać.
2. Odczyt/zapis to opcja „zrób wszystko”. Odbiorcy mogą otwierać, modyfikować lub usuwać plik.

Droga starej szkoły

Stare okno dialogowe udostępniania miało więcej opcji i dało nam możliwość udostępnienia folderu pod innym aliasem, pozwoliło nam ograniczyć liczbę jednoczesnych połączeń, a także skonfigurować buforowanie. Żadna z tych funkcji nie jest tracona w systemie Windows 7, ale raczej jest ukryta pod opcją o nazwie „Zaawansowane udostępnianie”. Jeśli klikniesz prawym przyciskiem myszy folder i przejdziesz do jego właściwości, możesz znaleźć te ustawienia „Zaawansowane udostępnianie” w zakładce udostępniania.

Jeśli klikniesz przycisk „Zaawansowane udostępnianie”, który wymaga poświadczeń administratora lokalnego, możesz skonfigurować wszystkie ustawienia, które znasz w poprzednich wersjach systemu Windows.

Jeśli klikniesz przycisk uprawnień, zobaczysz 3 ustawienia, które wszyscy znamy.

1. Czytać uprawnienie umożliwia przeglądanie i otwieranie plików i podkatalogów oraz uruchamianie aplikacji. Nie pozwala jednak na wprowadzanie jakichkolwiek zmian.
2. Modyfikować pozwolenie pozwala zrobić wszystko, co Czytać uprawnienia pozwalają, dodaje również możliwość dodawania plików i podkatalogów, usuwania podfolderów i zmiany danych w plikach.
3. Pełna kontrola to „zrób wszystko” z klasycznych uprawnień, ponieważ pozwala na wykonanie wszystkich poprzednich uprawnień. Ponadto zapewnia zaawansowaną zmianę uprawnień NTFS, dotyczy to tylko folderów NTFS

Uprawnienia NTFS

Zezwolenie NTFS pozwala na bardzo szczegółową kontrolę nad plikami i folderami. Mając to na uwadze, poziom szczegółowości może zniechęcać nowicjusza. Możesz także ustawić uprawnienia NTFS na podstawie pliku, a także folderu. Aby ustawić uprawnienia NTFS na pliku, kliknij prawym przyciskiem myszy i przejdź do właściwości plików, gdzie musisz przejść do zakładki zabezpieczeń.

Aby edytować uprawnienia NTFS dla użytkownika lub grupy, kliknij przycisk edycji.

Jak widać, jest całkiem sporo uprawnień NTFS, więc podzielmy je. Najpierw przyjrzymy się uprawnieniom NTFS, które możesz ustawić dla pliku.

1. Pełna kontrola pozwala czytać, pisać, modyfikować, wykonywać, zmieniać atrybuty, uprawnienia i przejmować plik na własność.
2. Modyfikować pozwala czytać, pisać, modyfikować, wykonywać i zmieniać atrybuty pliku.
3. Przeczytaj i wykonaj pozwoli Ci wyświetlić dane pliku, atrybuty, właściciela i uprawnienia oraz uruchomić plik, jeśli jest to program.
4. Czytać pozwoli Ci otworzyć plik, wyświetlić jego atrybuty, właściciela i uprawnienia.
5. pisać pozwoli na zapisywanie danych do pliku, dołączanie do pliku oraz odczytywanie lub zmienianie jego atrybutów.

Uprawnienia NTFS dla folderów mają nieco inne opcje, więc przyjrzyjmy się im.

1. Pełna kontrola umożliwia odczytywanie, zapisywanie, modyfikowanie i uruchamianie plików w folderze, zmianę atrybutów, uprawnień oraz przejęcie na własność folderu lub znajdujących się w nim plików.
2. Modyfikować umożliwia odczytywanie, zapisywanie, modyfikowanie i uruchamianie plików w folderze oraz zmianę atrybutów folderu lub plików w nim zawartych.
3. Przeczytaj i wykonaj pozwoli Ci wyświetlić zawartość folderu i wyświetlić dane, atrybuty, właściciela i uprawnienia do plików w folderze oraz uruchamiać pliki w folderze.
4. Lista zawartości folderu pozwoli Ci wyświetlić zawartość folderu i wyświetlić dane, atrybuty, właściciela i uprawnienia do plików w folderze.
5. Czytać pozwoli Ci wyświetlić dane, atrybuty, właściciela i uprawnienia pliku.
6. pisać pozwoli na zapisywanie danych do pliku, dołączanie do pliku oraz odczytywanie lub zmienianie jego atrybutów.

Dokumentacja Microsoftstwierdza również, że „Lista zawartości folderu” pozwoli ci wykonać pliki w folderze, ale nadal będziesz musiał włączyć „Odczyt i wykonanie”, aby to zrobić. To bardzo dezorientująco udokumentowane pozwolenie.

streszczenie

Podsumowując, nazwy użytkowników i grupy są reprezentacjami ciągu alfanumerycznego zwanego SID (identyfikator zabezpieczeń), z tymi identyfikatorami SID są powiązane uprawnienia udziału i NTFS. Uprawnienia udziału są sprawdzane przez LSSAS tylko podczas uzyskiwania dostępu przez sieć, podczas gdy uprawnienia NTFS są ważne tylko na komputerach lokalnych. Mam nadzieję, że wszyscy dobrze rozumiecie, w jaki sposób zaimplementowano zabezpieczenia plików i folderów w systemie Windows 7. Jeśli masz jakieś pytania, śmiało zapisz się w komentarzach.