Как понять, что запутанные разрешения файлов для Windows 7 / Share

Вы когда-нибудь пытались выяснить все разрешения в Windows? Имеются разрешения на доступ к ресурсам, разрешения NTFS, списки управления доступом и многое другое. Вот как они все работают вместе.

Идентификатор безопасности

Операционные системы Windows используют SID для представления всех принципов безопасности. SID — это просто строки переменной длины буквенно-цифровых символов, которые представляют машины, пользователей и группы. SID добавляются в списки управления доступом (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе права на файл или папку. За сценой SID хранятся так же, как и все другие объекты данных, в двоичном формате. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более читаемого синтаксиса. Не часто вы увидите какую-либо форму SID в Windows, наиболее распространенным сценарием является предоставление кому-то разрешения на ресурс, после чего их учетная запись пользователя будет удалена, а затем будет отображаться как SID в ACL. Поэтому давайте рассмотрим типичный формат, в котором вы увидите SID в Windows.

Обозначения, которые вы увидите, имеют определенный синтаксис, ниже — разные части SID в этой нотации.

  1. Префикс ‘S’
  2. Номер пересмотра структуры
  3. Величина авторитета идентификатора 48 бит
  4. Переменное число значений 32-разрядных суб-полномочий или относительного идентификатора (RID)

Используя мой идентификатор SID на изображении ниже, мы разберем различные разделы, чтобы получить лучшее понимание.

Структура SID:

«S» — первый компонент SID всегда является «S». Это префикс для всех идентификаторов безопасности и должен информировать Windows о том, что следующим является SID.
‘1’ — Второй компонент SID — это номер версии спецификации SID, если спецификация SID должна была измениться, это обеспечило бы обратную совместимость. Начиная с Windows 7 и Server 2008 R2 спецификация SID все еще находится в первой ревизии.
‘5’ — Третий раздел SID называется Идентификатором. Это определяет, в какой области был создан SID. Возможными значениями для этих разделов SID могут быть:

  1. 0 — Null Authority
  2. 1 — Всемирная власть
  3. 2 — Местные власти
  4. 3 — Создатель
  5. 4 — Неисключительный авторитет
  6. 5 — Администрация NT

«21». Четвертым компонентом является суб-полномочия 1, значение «21» используется в четвертом поле, чтобы указать, что последующие подчиненные идентифицируют Локальный компьютер или Домен.
‘1206375286-251249764-2214032401’ — Они называются суб-полномочными 2,3 и 4 соответственно. В нашем примере это используется для идентификации локального компьютера, но также может быть идентификатором для домена.
«1000» — суб-полномочия 5 является последним компонентом нашего SID и называется RID (относительный идентификатор), RID относится к каждому принципу безопасности, обратите внимание, что любые пользовательские объекты, те, которые не отправлены Microsoft будет иметь МПОГ 1000 или более.

Принципы безопасности

Принцип безопасности — это все, что связано с SID, это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Управление локальными принципами безопасности осуществляется с помощью оснастки «Локальные пользователи и группы» при управлении компьютером. Чтобы попасть туда, щелкните правой кнопкой мыши на ярлыке компьютера в меню «Пуск» и выберите «Управление».

Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку пользователя и щелкнуть правой кнопкой мыши и выбрать нового пользователя.

Если вы дважды щелкните по пользователю, вы можете добавить их в группу безопасности на вкладке «Член».

Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши по пробелу и выберите новую группу.

Разрешения для общего доступа и разрешение NTFS

В Windows существует два типа разрешений файлов и папок, во-первых, есть разрешения на доступ к общим ресурсам, а во-вторых есть разрешения NTFS, также называемые разрешениями безопасности. Обратите внимание, что при совместном использовании папки по умолчанию группе «Все» предоставляется разрешение на чтение. Безопасность в папках обычно выполняется с комбинацией разрешения Share и NTFS, если это так, важно помнить, что самый ограничивающий всегда применяется, например, если для разрешения общего доступа установлено значение Everyone = Read (которое является значением по умолчанию) но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение на передачу будет предпочтительным, и пользователям не разрешат вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вам предоставляется токен доступа с вашим SID, когда вы переходите на доступ к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа), и если SID находится в ACL, он определяет, следует ли разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте взглянем, чтобы лучше понять, когда мы должны что-то использовать.

Разрешения для доступа:

  1. Используйте только те пользователи, которые обращаются к ресурсу по сети. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
  2. Он применяется ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более узкую схему ограничения, вы должны использовать разрешение NTFS в дополнение к общим разрешениям
  3. Если у вас есть тома FAT или FAT32, это будет единственной формой ограничения, доступной вам, поскольку разрешения NTFS недоступны в этих файловых системах.

Разрешения NTFS:

  1. Единственным ограничением в разрешениях NTFS является то, что их можно установить только на том, который отформатирован в файловой системе NTFS
  2. Помните, что NTFS являются кумулятивными, что означает, что эффективные разрешения пользователей являются результатом объединения назначенных ему прав доступа и разрешений любых групп, к которым принадлежит пользователь.

Новые разрешения для доступа

Windows 7 купила новую технику «простой» акции. Параметры изменились с Read, Change и Full Control на. Чтение и чтение / запись. Идея была частью всего менталитета группы Home и позволяет легко обмениваться папкой для неграмотных грамотных людей. Это делается через контекстное меню и легко разделяет вашу домашнюю группу.

Если вы хотите поделиться с кем-то, кто не находится в домашней группе, вы всегда можете выбрать опцию «Специальные люди …». Что вызвало бы более «сложный» диалог. Где вы можете указать конкретного пользователя или группу.

Существует только два разрешения, как упоминалось ранее, вместе они предлагают все или ничего схемы защиты для ваших папок и файлов.

  1. Разрешение на чтение — это опция «смотреть, не трогать». Получатели могут открывать, но не изменять или удалять файл.
  2. Чтение / запись — это опция «сделать что-нибудь». Получатели могут открывать, изменять или удалять файл.

Путь старой школы

В старом диалоговом окне общих ресурсов было больше опций, и мы предоставили возможность совместно использовать папку под другим псевдонимом, что позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией «Расширенный доступ». Если вы щелкните правой кнопкой мыши по папке и перейдите к ее свойствам, вы можете найти эти настройки «Расширенный доступ» на вкладке совместного доступа.

Если вы нажмете кнопку «Расширенный доступ», для которой требуются учетные данные локального администратора, вы можете настроить все параметры, которые были знакомы в предыдущих версиях Windows.

Если вы нажмете на кнопку «Разрешения», вам будут представлены 3 настройки, с которыми мы все знакомы.

  1. Разрешение чтения позволяет просматривать и открывать файлы и подкаталоги, а также выполнять приложения. Однако это не позволяет делать какие-либо изменения.
  2. Изменить разрешение позволяет делать все, что разрешает чтение, а также добавлять возможность добавлять файлы и подкаталоги, удалять вложенные папки и изменять данные в файлах.
  3. Полный контроль — это «сделать что-нибудь» из классических разрешений, так как он позволяет вам делать все и все предыдущие разрешения. Кроме того, он дает вам расширенное изменение разрешения NTFS, это применимо только к папкам NTFS

Разрешения NTFS

Разрешение NTFS позволяет очень детально контролировать ваши файлы и папки. С учетом сказанного объем детализации может быть сложным для новичков. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить разрешение NTFS для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файлов, где вам нужно перейти на вкладку безопасности.

Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку «Изменить».

Как вы можете видеть, существует довольно много разрешений NTFS, поэтому можно их разбить. Сначала мы рассмотрим разрешения NTFS, которые вы можете установить в файле.

  1. Полный контроль позволяет читать, писать, изменять, исполнять, изменять атрибуты, разрешения и владеть файлом.
  2. Modify позволяет читать, записывать, изменять, исполнять и изменять атрибуты файла.
  3. Читать Execute позволит вам отображать данные файла, атрибуты, владельца и разрешения и запускать файл, если его программа.
  4. Чтение позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
  5. Запись позволит вам записывать данные в файл, добавлять в файл и читать или изменять его атрибуты.

Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте взглянем на них.

  1. Полный контроль позволяет читать, записывать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и владеть папкой или файлами внутри.
  2. Modify позволяет вам читать, записывать, изменять и выполнять файлы в папке и изменять атрибуты папки или файлов внутри.
  3. Читать Execute позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке и запускать файлы в папке.
  4. Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке.
  5. Чтение позволит вам отображать данные файла, атрибуты, владельца и разрешения.
  6. Запись позволит вам записывать данные в файл, добавлять в файл и читать или изменять его атрибуты.

Документация Microsoft также гласит, что «Содержание списка папок» позволит вам выполнять файлы в папке, но вам все равно нужно включить «Чтение Execute «для этого. Это очень смутно документированное разрешение.

Резюме

Таким образом, имена пользователей и группы представляют собой представления буквенно-цифровой строки, называемой идентификатором SID (Security Identifier), Share и NTFS, привязаны к этим идентификаторам безопасности. Разрешения общего доступа проверяются LSSAS только при доступе по сети, а разрешения NTFS действительны только на локальных компьютерах. Я надеюсь, что вы все хорошо понимаете, как реализована безопасность файлов и папок в Windows 7. Если у вас есть какие-либо вопросы, не стесняйтесь звучать в комментариях.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.