If-Koubou

Kako razumjeti one koje zbunjuju Windows 7 Permissions for File / Share

Kako razumjeti one koje zbunjuju Windows 7 Permissions for File / Share (Kako da)

Jeste li ikad pokušali shvatiti sva dopuštenja u sustavu Windows? Postoje dopuštenja za dijeljenje, dozvole za NTFS, popise za kontrolu pristupa i još mnogo toga. Evo kako oni rade zajedno.

Sigurnosni identifikator

Operacijski sustavi Windows koriste SID-ove za zastupanje svih sigurnosnih načela. SID-ovi su samo duljine dužine promjenjive dužine alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove (Popis za kontrolu pristupa) svaki put kada dodijelite korisniku ili grupi dopuštenje za datoteku ili mapu. Iza prizora SID se pohranjuju na isti način kao i svi ostali podatkovni objekti, u binarnom. Međutim, kada vidite SID u sustavu Windows, bit će prikazana pomoću čitljivije sintakse. Često nećete vidjeti bilo koji oblik SID-a u sustavu Windows, najčešći scenarij je kada dopustite nekome dopuštenje za resurs, a zatim se njihov korisnički račun briše, a zatim će se pojaviti kao SID u ACL-u. Tako možete pogledati tipičan format u kojemu ćete vidjeti SID-ove u sustavu Windows.

Zapis koji vidite ima određenu sintaksu, ispod su različiti dijelovi SID-a u ovoj notaciji.

  1. Prefiks "S"
  2. Broj revizija strukture
  3. 48-bitna vrijednost autoriteta identifikatora
  4. Varijabilni broj 32-bitnih pod-autoriteta ili relativnih identifikatora (RID)

Pomoću mog SID-a na donjoj slici razbit ćemo različite odjeljke kako bismo bolje razumjeli.

Struktura SID:

'S' - Prva komponenta SID-a uvijek je 'S'. Ovo je prefiksno za sve SID-ove i postoji li obavijestiti Windowse da ono što slijedi je SID.
'1' - Druga komponenta SID-a je broj revizije specifikacije SID, ako bi specifikacija SID trebala promijeniti, omogućila bi kompatibilnost unatrag. Od sustava Windows 7 i Server 2008 R2, specifikacija SID još uvijek je u prvoj reviziji.
'5' - treći odjeljak SID-a se zove Identifier Authority. Ovo određuje u kojem je opsegu generiran SID. Moguće vrijednosti za ove sekcije SID-a mogu biti:

  1. 0 - Null tijelo
  2. 1 - Svjetska vlast
  3. 2 - Lokalna uprava
  4. 3 - Tijelo Stvoritelja
  5. 4 - nejedinstvena ovlast
  6. 5 - NT autoritet

'21' - Četvrta komponenta je pod-autoritet 1, vrijednost "21" koristi se u četvrtoj polju kako bi odredio da potomke koje slijede idu na identifikaciju lokalnog stroja ili domene.
'1206375286-251249764-2214032401' - To se naziva poduprojalom 2,3 i 4. U našem primjeru ovo se koristi za prepoznavanje lokalnog stroja, ali može biti i identifikator domene.
'1000' - Potvrda 5 je posljednja komponenta našeg SID-a i naziva se RID (relativni identifikator), RID je u odnosu na svaki sigurnosni princip, imajte na umu da svi korisnički definirani objekti, one koje Microsoft ne isporučuje, imat će RID od 1000 ili više.

Načela sigurnosti

Načelo sigurnosti je sve što je povezano sa SID-om, a to mogu biti korisnici, računala i čak skupine. Načela sigurnosti mogu biti lokalna ili biti u kontekstu domene. Upravljajte lokalnim sigurnosnim načelima putem dodatka lokalnih korisnika i grupa, pod upravljanjem računalom. Da biste tamo stigli, desnom tipkom miša kliknite prečac na računalu u izborniku Start i odaberite Upravljanje.

Da biste dodali novi princip zaštite korisnika, možete otići do mape korisnika i desnom tipkom miša i odabrati novi korisnik.

Ako dvaput kliknete na korisnika, možete ih dodati u sigurnosnu grupu na kartici Član.

Da biste stvorili novu sigurnosnu grupu, idite do mape Grupe s desne strane. Desni klik na bijeli prostor i odaberite novu grupu.

Dozvole za dijeljenje i dozvola NTFS-a

U sustavu Windows postoje dvije vrste dozvola za datoteke i mape, prvo postoje Dopuštenja za dijeljenje, a drugo postoje dozvole za NTFS koje se nazivaju i dozvole za sigurnost. Imajte na umu da kada dijelite mapu prema zadanim postavkama, grupa "Svatko" dobiva dopuštenje za čitanje. Sigurnost na mapama obično se obavlja kombinacijom Dozvola za dijeljenje i NTFS, ako je to slučaj, važno je zapamtiti da se najrestriktivnije uvijek primjenjuje, na primjer, ako je dopuštenje za dijeljenje postavljeno na Svatko = Čitanje (što je zadano) ali dozvola NTFS dopušta korisnicima da izvrše izmjenu datoteke, dozvola za dijeljenje će imati prednost i korisnicima neće biti dopušteno izvršiti promjene. Kada postavite dopuštenja, LSASS (Local Security Authority) kontrolira pristup resursu. Kada se prijavite, dobivate pristupni tok s vašim SID-om, kada pristupate resursu, LSASS uspoređuje SID koji ste dodali ACL-u (Popis kontrole pristupa) i ako je SID na ACL-u, određuje hoće li dopustiti ili odbiti pristup. Bez obzira na dozvole koje upotrebljavate postoje razlike pa omogućuje da pogledate kako bismo bolje razumjeli kada bismo trebali koristiti ono što.

Dijeli dozvole:

  1. Primijenite samo korisnike koji pristupaju resursima putem mreže. Oni se ne primjenjuju ako se prijavite lokalno, na primjer putem terminalskih usluga.
  2. Primjenjuje se na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti više granularne vrste ograničenja sheme, trebate koristiti NTFS Dopuštenje uz dijeljene dozvole
  3. Ako imate bilo koji formatirani volumen FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan jer NTFS Dozvole nisu dostupne na tim datotekama.

NTFS dopuštenja:

  1. Jedino ograničenje dozvola NTFS je da se mogu postaviti samo na volumen koji je formatiran u NTFS datotečni sustav
  2. Imajte na umu da su NTFS kumulativni, što znači da su učinkovite dozvole korisnika rezultat kombiniranja korisničkih dozvoljenih dozvola i dozvola bilo koje grupe korisnika kojoj pripada.

Novi dozvole za dijeljenje

Windows 7 kupio je novu "jednostavnu" tehniku ​​dijeljenja.Opcije su izmijenjene iz čitanja, izmjene i potpune kontrole u. Čitanje i čitanje / pisanje. Ideja je bila dio cijelog mentaliteta Home grupe i olakšava dijeljenje mape za osobe koje nisu pismene. To se vrši putem kontekstnog izbornika i jednostavno dijeli sa svojom kućnom grupom.

Ako biste željeli podijeliti s nekim tko nije u kućnoj grupi, uvijek možete odabrati opciju "Specifični ljudi ...". Što bi donijelo više "razrađen" dijalog. Gdje možete odrediti određenog korisnika ili grupe.

Postoje samo dvije dozvole kao što je prethodno navedeno, zajedno nude sve ili ništa zaštitne sheme za vaše mape i datoteke.

  1. Čitati dopuštenje je opcija "izgled, ne dodiruj". Primatelji mogu otvoriti, ali ne mijenjati ili izbrisati datoteku.
  2. Read / Write je opcija "učiniti sve". Primatelji mogu otvoriti, mijenjati ili izbrisati datoteku.

Stari školski način

Stari dijaloški okvir za dijeljenje imao je više mogućnosti i omogućio nam dijeljenje mape pod drugim pseudonimom, što nam je omogućilo ograničavanje broja istovremenih veza i konfiguriranje predmemoriranja. Nijedna od tih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje". Ako desnom tipkom miša kliknete mapu i prijeđete na njezina svojstva, možete pronaći ove postavke "Napredno dijeljenje" pod karticom za dijeljenje.

Ako kliknete gumb "Napredno dijeljenje", koji zahtijeva vjerodajnice lokalnih administratora, možete konfigurirati sve postavke koje ste upoznali u prethodnim verzijama sustava Windows.

Ako kliknete gumb dopuštenja, prikazat će se 3 postavke s kojima smo svi upoznati.

  1. Čitati dopuštenje vam omogućuje pregled i otvaranje datoteka i poddirektorija te izvršavanje aplikacija. Međutim, ne dopušta nikakve izmjene.
  2. izmijeniti dopuštenje vam omogućuje da učinite sve što je Čitati dozvola dopušta, ona također dodaje mogućnost dodavanja datoteka i poddirektorija, brisanje podmapa i promjenu podataka u datotekama.
  3. Potpuna kontrola je "učiniti sve" klasičnih dopuštenja, jer vam omogućuje da učinite bilo koju i prethodnu dozvolu. Osim toga daje vam naprednu promjenu NTFS Dozvole, to vrijedi samo za NTFS mape

NTFS dopuštenja

Dozvola NTFS dopušta vrlo granularnu kontrolu nad vašim datotekama i mapama. Uz to, rekao je da se količina granularnosti može obeshrabriti novom korisniku. Također možete postaviti dozvolu NTFS po bazama podataka, kao i po mapi osnovi. Da biste postavili NTFS Dozvolu na datoteku, trebali biste kliknuti desnom tipkom miša i otići do svojstava datoteka na kojima ćete morati prijeći na sigurnosnu karticu.

Za uređivanje dozvola NTFS za korisnika ili grupu kliknite gumb za uređivanje.

Kao što vidite, postoje dosta dozvola NTFS-a, tako da ih možete slomiti. Prvo ćemo pogledati dozvole NTFS koje možete postaviti u datoteci.

  1. Potpuna kontrola omogućuje čitanje, pisanje, izmjenu, izvršavanje, promjenu atributa, dopuštenja i preuzimanje vlasništva nad datotekom.
  2. izmijeniti omogućuje čitanje, pisanje, izmjenu, izvršavanje i promjenu atributa datoteke.
  3. Pročitajte i izvršite omogućit će vam prikaz podataka, atributa, vlasnika i dopuštenja datoteke i pokretanje datoteke ako je njegov program.
  4. Čitati omogućit će vam da otvorite datoteku, pregledate njegove atribute, vlasnika i dopuštenja.
  5. Pisati omogućit će vam pisanje podataka u datoteku, dodavanje u datoteku i čitanje ili promjena njegovih atributa.

NTFS Dozvole za mape imaju blago različite opcije pa ih možete pogledati.

  1. Potpuna kontrola omogućuje čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi, izmjenu atributa, dopuštenja i preuzimanje vlasništva nad mapom ili datotekama unutar.
  2. izmijeniti omogućuje čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi i promjenu atributa mape ili datoteka unutar.
  3. Pročitajte i izvršite omogućit će vam prikaz sadržaja i prikaz podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape i pokretanje datoteka unutar mape.
  4. Sadržaj popisa popisa omogućit će vam prikazivanje sadržaja mape i prikazivanje podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape.
  5. Čitati omogućit će vam prikaz podataka, atributa, vlasnika i dozvola datoteke.
  6. Pisati omogućit će vam pisanje podataka u datoteku, dodavanje u datoteku i čitanje ili promjena njegovih atributa.

Microsoftova dokumentacija također navodi da će "Sadržaj mape popisa" omogućiti izvršavanje datoteka unutar mape, ali ćete morati omogućiti "Čitanje i izvršavanje" kako biste to učinili. To je vrlo konfuzno dokumentirano dopuštenje.

Sažetak

U sažetku, korisnička imena i skupine predstavljaju alfanumerički niz nazvan SID (Security Identifier), Dijele i NTFS Datoteke su vezane za te SID-ove. Dozvole za dijeljenje provjerava LSSAS samo kada se pristupa mreži, a dozvole za NTFS vrijede samo na lokalnim računalima. Nadam se da svi dobro razumijete kako se implementira sigurnosna zaštita datoteka i mapa u sustavu Windows 7. Ako imate bilo kakvih pitanja slobodno zvučite u komentarima.